용어집: 사이버 보안 용어 및 정의

계정 인수 사기(ATO)란 무엇인가요?

F5의 계정 인수 사기에 대한 정의와 사기 발생 방식, 그리고 탐지 및 예방 전략에 대해 알아보세요.

계정 인수(ATO)는 금융 기관, 전자 상거래 및 기타 온라인 디지털 서비스를 표적으로 삼는 가장 흔하고 비용이 많이 드는 공격입니다. 범죄자는 자동화된 봇과 기타 사이버범죄 방법을 사용하여 훔친 자격 증명을 사용해 사용자 계정에 접근하여 이를 제어하고 금전적 이익을 얻거나 사기를 저지릅니다. 계정 인수 사기의 영향은 실제적입니다. Javelin 2022 ID 사기 연구 에 따르면, 미국 성인의 22%가 ATO의 피해를 입은 것으로 나타났습니다.

작동 원리: 계정 인수 사기 기술

계정 인수 사기는 일련의 사이버 범죄 활동의 결과이며, 일반적으로 신원 정보를 도난당하거나 침해하는 것으로 시작하여 신원 정보 주입 공격으로 이어지고, 그 결과 고객의 온라인 계정이 인수될 수 있습니다. 범죄자가 일단 범죄를 저지르면 계좌의 자금을 싹쓸이하고, 저장된 가치를 현금화하고, 그 계좌를 이용해 추가적인 사기를 저지를 수 있습니다.  

자격 증명 채우기의 가장 기본적인 형태는 봇을 통한 무차별 대입 공격 으로, 공격자가 계정 자격 증명과 일치하는 항목을 찾을 때까지 로그인 양식에 무작위 문자 조합을 제출합니다.

자격 증명은 어떻게 도난당합니까?

더욱 진보된 자격 증명 채우기 공격은 데이터 침해 중에 도용되거나 손상된 유효한 사용자 이름과 비밀번호 쌍으로 시작됩니다. 도난당한 자격 증명은 다크 웹 마켓플레이스에서 쉽게 구입할 수 있습니다 ( Cyber Security Hub에 따르면 2022년에만 220억 개의 데이터 기록이 노출되었습니다).

자격 증명은 다음을 포함한 다양한 사이버 공격 및 기타 사이버 범죄 기술을 통해서도 도용될 수 있습니다.

  • 피싱 공격은 범죄자가 이메일, 문자 메시지 또는 소셜 미디어 메시지를 이용해 사람들을 속여 로그인 자격 증명, 은행 계좌 정보, 사회보장번호 또는 기타 민감한 데이터와 같은 개인 정보를 공개하도록 하는 일종의 사회 공학적 공격입니다.
  • 키로깅, 메이지카트, 스키밍 및 기타 형태의 클라이언트 측 맬웨어 는 악의적인 행위자가 온라인 결제 양식에 악성 스크립트를 삽입하여 자격 증명을 훔치는 방식입니다. 피해자가 자격 증명과 신용카드 정보를 입력하면 스크립트는 해당 데이터를 공격자에게 전송하고, 공격자는 해당 정보를 사기에 사용하거나 다른 범죄자에게 판매할 수 있습니다.
  • 중간자 공격(MitM)은 공격자가 데이터 통신에 참여하는 두 합법적 당사자 사이에 프록시 역할을 하여 메시지나 데이터 거래를 가로채는 공격입니다. 이를 통해 공격자는 양측의 정보 및 데이터 전송을 "도청"하고 로그인 자격 증명이나 기타 개인 정보를 수집할 수 있습니다.

사이버 범죄자들이 유효한 자격 증명을 축적하면 종종 대규모로 자격 증명 채우기 프로세스를 시작할 수 있습니다. 소비자의 약 3분의 2가 여러 웹사이트에서 동일한 사용자 이름과 비밀번호를 재사용하기 때문에 이러한 재활용된 자격 증명은 사이버 범죄자와 자동화된 봇 군대에 의해 쉽게 악용됩니다. 침해된 자격 증명의 상당수는 다른 사이트의 계정에 접근하는 데에도 사용됩니다. 공격자가 계정을 인수하면 자격 증명을 변경하여 합법적인 계정 소유자를 잠그고 자산을 고갈시키고 계정을 사용하여 추가 사기 행위를 저지를 수 있습니다.

계정 인수 사기의 영향

American Banker의 보고서에 따르면 ATO와 같은 공격으로 인한 디지털 사기 손실은 2023년부터 2027년 사이에 전 세계적으로 3,430억 달러를 넘어설 것으로 예상됩니다. 

계좌 인수는 금융 영역을 넘어서는 영향을 미칩니다. 조직의 브랜드와 평판도 손상되어 사업 손실과 보안의 취약성에 대한 부정적인 홍보로 이어질 수 있습니다. 장기적으로는 브랜드 이미지가 손상될 수 있으며, 긍정적인 평판을 회복하는 데는 수년이 걸릴 수 있습니다.

조직은 고객의 신뢰와 충성도를 잃을 수도 있으며, 그로 인해 상업적 관계가 종료될 수도 있습니다. 회사의 부적절한 보안 조치로 인해 계정이 인수되고 비용이 많이 드는 사기 행위가 발생하면 고객이 불만을 품는 것은 당연합니다.

기업은 소비자 데이터를 보호하지 못할 경우 규정 준수 및 법적 결과에 직면할 수도 있습니다. EU의 일반 데이터 보호 규정(GDPR), 캘리포니아 소비자 보호법(CCPA), 지불 카드 업계 데이터 보안 표준(PCI-DSS)과 같은 법률과 표준은 소비자 데이터 프라이버시를 보장하고 데이터 침해 발생 시 막대한 금전적 벌금을 부과하도록 설계되었습니다. 여기에는 개인 데이터를 봇에 노출시키는 ATO 공격이 포함됩니다.

계정 인수 사기 감지

ATO 징후를 감지하려면 사용자 계정과 활동을 모니터링하는 것이 중요합니다.

  • 예상치 못한 계정 활동 변화에 주의하세요. 이러한 변경 사항에는 새 거래나 승인되지 않은 거래, 대규모 인출, 트래픽의 무작위적이거나 산발적인 급증 또는 비밀번호, 주소 또는 지불 수혜자를 변경하라는 요청이 포함될 수 있습니다. 이러한 비정상적인 활동은 해당 계정이 공격을 받고 있다는 신호일 수 있습니다. 이런 경우, 비밀번호나 전화번호와 같은 사용자 세부 정보가 변경되었는지 확인하기 위해 계정을 확인하세요. 이는 계정이 해킹당했을 수 있음을 나타낼 수 있습니다.
  • 인식되지 않은 로그인 시도에 주의하세요 . 일련의 로그인 시도 실패는 악의적인 행위자가 자격 증명 채우기 방법을 사용하여 계정을 침해하려고 시도하고 있음을 나타낼 수 있습니다. 특히 로그인 시도가 비정상적인 위치에서 이루어지거나, 계정이 일반적으로 비활성화되는 시간대에 발생하는 경우 특히 주의하세요. 
  • 계정에 액세스하는 새 기기나 인식되지 않은 기기에 주의하세요. 새 기기나 알 수 없는 기기에서 활동이 발생하면 계정이 손상되었거나 사기꾼이 도용한 자격 증명으로 로그인을 시도하고 있다는 의미일 수 있습니다. 마찬가지로, 하나의 계정에 여러 기기가 로그인하는 것도 해당 계정이 범죄자의 공격을 받고 있다는 신호일 수 있습니다.
  • 의심스러운 이메일이나 문자 메시지. 피싱 이메일과 스팸 메일이 증가했다는 것은 사용자가 사기꾼의 표적이 되고 있다는 신호일 수 있습니다. 고객에게 알 수 없는 발신자가 보낸 디지털 메시지에 있는 첨부 파일이나 라이브 링크를 절대 클릭하지 말고, 전화나 인터넷을 통해 누구에게도 사용자 이름, 비밀번호, 개인 또는 금융 정보를 제공하지 말 것을 상기시킵니다. 합법적인 회사는 이메일이나 문자 메시지로 계정 정보를 요청하지 않습니다.

계정 인수 사기 방지

ATO를 예방하기 위한 사전적 접근 방식 에는 여러 수준의 보호와 전략이 포함됩니다. 여기에는 모범 사례 방법론, 사용자 교육에 대한 중점, 실시간 인프라 모니터링, 강력한 인증 보호 등이 포함됩니다.

사용자 교육 및 인식

계정 탈취를 방지하는 가장 효과적인 방법 중 하나는 사용자에게 위험을 식별하고 저항하는 방법을 교육하는 교육 프로그램을 제공하는 것입니다. ATO 공격은 종종 피싱으로 시작되는데, 이는 악의적인 공격자가 사용자를 속여 계정 자격 증명을 공개하거나 악성 링크를 클릭하게 하려는 시도입니다. 피싱 이메일과 문자 메시지는 매우 설득력이 강할 수 있는데, 특히 범죄자가 소셜 미디어에서 수집할 수 있는 개인 정보가 통신에 포함되어 있는 경우 더욱 그렇습니다. 또한 사용자가 양호한 비밀번호 관리의 중요성을 이해하고 강력한 비밀번호 프로토콜을 사용하도록 해야 합니다.

강력한 인증 조치

강력한 인증을 위해서는 사용자가 로그인을 시도할 때 사용자 이름과 비밀번호 외에 두 가지 이상의 확인 요소를 제시해야 합니다. 강력한 인증에는 여러 가지 접근 방식이 있습니다.

  • 2단계 인증(2FA)은 리소스와 데이터에 액세스하기 위해 신원을 확인하기 위해 두 가지 검증 요소가 필요한 신원 및 액세스 관리 보안 방법입니다. 일반적으로 이는 이메일이나 문자 메시지의 일회용 암호를 스마트폰이나 가정용 컴퓨터의 브라우저와 같은 알려진 장치에 입력하는 것을 포함합니다.
  • 다중 인증 요소(MFA) 2FA와 비슷하지만, 성공적인 로그인을 위해서는 최소 세 가지 확인 요소를 제공해야 합니다. 대부분의 경우, 여기에는 알려진 장치에서 일회성 코드를 받고 지문 판독, 망막 스캔 또는 음성 인식과 같은 생체 인식 형태를 제공하는 것이 포함됩니다. 2FA와 MFA는 모두 온라인 계정의 보안을 강화하는 데 귀중한 도구이기는 하지만, 범죄적 공격에 의해 쉽게 우회될 수 있고 사용 경험을 저하시킬 수 있기 때문에 더 이상 ATO 공격에 대한 최종 방어 수단으로 충분하지 않습니다 .
  • 위험 기반 인증은 로그인 시도로 인해 발생하는 위험 수준에 맞게 인증 프로세스의 요구 사항을 조정하는 액세스 관리 방법입니다. 예를 들어, 계좌 잔액을 확인하기 위해 로그인하는 경우 비밀번호를 변경하거나 새 계좌로 자금을 이체하기 위해 로그인하는 경우보다 제한적인 인증 절차가 필요하지 않습니다. 기본적으로 위험 수준이 높아질수록 인증 절차는 더욱 엄격해지고, 추가적인 요소와 감독이 필요하게 됩니다.

계정 모니터링 및 감사

소비자와 기업 모두 의심스러운 활동이 있는지 계정을 정기적으로 모니터링하고 감사해야 합니다. 소비자의 경우, 잔액과 계좌 활동을 확인하기 위해 금융 계좌 및 가치가 저장된 기타 계좌(충성도 프로그램 및 기프트 카드 포함)에 정기적으로 로그인하는 것이 여기에 포함됩니다.

기업과 조직은 계정의 지속적인 모니터링 및 감사를 자동화하기 위해 다양한 기술을 사용할 수 있습니다. 여기에는 기계 학습과 AI 기반 감지를 사용하여 사용자의 일반적인 동작과 일치하지 않는 비정상적인 활동을 식별하여 사기를 방지하는 데 도움이 되는 계정 추적 시스템이 포함됩니다.

웹 애플리케이션 방화벽(WAF)

WAF는 웹 애플리케이션으로 이동하는 모든 악성 HTTP/S 트래픽을 필터링, 모니터링 및 차단하여 웹 앱을 보호하고, 승인되지 않은 데이터가 앱을 떠나는 것을 방지합니다. 이는 어떤 트래픽이 악성이고 어떤 트래픽이 안전한지 결정하는 데 도움이 되는 일련의 정책을 준수하여 이를 수행합니다. WAF는 잠재적으로 악의적인 클라이언트로부터 웹 앱 서버를 보호하는 중개자 역할을 합니다.

ATO 활동을 감지하도록 특별히 설계된 것은 아니지만, WAF 정책은 계정 인수 공격을 식별하고 차단하는 데 도움이 될 수 있습니다. WAF는 종종 무차별 대입 공격에 선행하는 악의적인 봇 활동을 식별하는 데에도 도움이 됩니다.

네트워크에 봇 감지 및 완화 기능 추가

봇 군대를 이용하면 범죄자들이 공격을 확대하고, MFA 통제를 우회하고, 사기를 저지를 수 있습니다. 자동화란 봇을 대량으로 배치해 지정된 작업을 수행할 수 있다는 의미로, 자격 증명 입력이나 피싱 공격 등이 여기에 해당합니다. 봇 탐지 솔루션은 가짜 계정 생성, 재고 축적, 스크래핑, 신임장 정보의 디지털 스키밍과 같은 악의적인 활동에 대한 가시성을 제공합니다. 봇 탐지 솔루션은 폼재킹, 디지털 스키밍, Magecart 및 기타 브라우저 기반 JavaScript 취약점과 같은 클라이언트 측 공격에 대한 경고도 제공할 수 있습니다.

계정 인수 사기에 대응하기

다크 웹에는 도난당하거나 손상된 자격 증명이 쉽게 제공되기 때문에 조만간 조직이 사이버 공격을 경험할 가능성이 점점 커지고 있습니다. 사이버 공격이 기관과 고객 모두에게 미치는 영향을 해결하기 위해 조직에서는 사전에 강력한 대응책과 프로세스를 준비하는 것이 필수적입니다.

사고 대응 계획

사고 대응 계획은 위협 사건이 식별되었을 때 실행될 활동 단계, 사용 가능한 리소스, 커뮤니케이션 전략을 정의합니다. 사고 대응 계획에서는 사건에 대응하기 위한 프로토콜을 정의하고, 계획을 실행하기 위해 훈련을 받은 사고 대응팀을 파악해야 합니다.

고객 알림 및 지원

사고 대응팀이 영향을 받은 고객에게 직접 통보하고 무슨 일이 일어났는지 설명하고, 고객을 보호하기 위해 어떤 조치를 취하고 있는지 알리고, 손상된 비밀번호가 다른 계정에 사용된 경우 해당 비밀번호를 변경하도록 촉구하는 것이 중요합니다. 피해를 입은 고객과 연락을 유지하는 것은 신뢰를 회복하는 데 중요합니다.

조사 및 시정

공격이 감지된 후에는 사고를 평가하고 억제하고, 사고의 성격과 범위, 영향을 받은 시스템을 파악하는 것이 중요합니다. 액세스 지점을 식별한 후 조직은 영향을 받는 계정에 대한 공격자의 무단 액세스를 제거하고 손상된 계정을 복구하여 더 이상 악의적으로 사용될 수 없도록 해야 합니다. 사기 회복 검토의 일환으로 이러한 공격이 다시 발생하지 않도록 방지하는 방법을 분석합니다.

커뮤니케이션과 투명성

보안 침해 및 공격에 대해 투명하게 전달하는 것이 중요합니다. 정보를 숨기는 것은 규제 기관, 미디어 또는 소비자에게 은폐로 인식될 수 있으며 공격의 재정적 영향이 상당히 커질 수 있습니다.

요약

오늘날 디지털 결제를 발급하거나 수락하는 모든 조직은 ATO의 표적이 되고 있으며, 공격 위협은 계속해서 증가하고 있습니다. 이는 온라인 상인, 금융 기관 및 서비스 조직을 역설적인 상황에 빠뜨립니다. 고객이 더욱 편리한 온라인 서비스와 앱을 선호하게 되면서 사기 및 기타 형태의 사이버범죄 위험이 커졌습니다.  계정이 침해되면 사기꾼은 자금을 흘릴 수도 있고, 상품이나 서비스를 훔칠 수도 있고, 다른 사이트에서 사용하기 위해 결제 정보에 접근할 수도 있습니다. 이로 인해 고객이 소외되고 수익이 감소합니다.

기존의 2FA와 MFA 통제는 점점 더 정교해지는 ATO 공격을 감행하는 사이버 범죄자를 막기에 더 이상 충분하지 않습니다. ATO를 방지하려면 의도를 평가하고, 디지털 경험을 간소화하고, 사기 패턴과 위험한 거래가 발생하기 전에 이를 식별하여 ATO를 중단하는 종단 간 보안 및 사기 방지 접근 방식이 필요합니다.

F5가 어떻게 도울 수 있는지

F5 보안 및 사기 방지 솔루션은 단일 플랫폼에서 업계에서 가장 포괄적인 계정 인수 보호 기능을 제공합니다 . 위협 인텔리전스 모델링, 머신 러닝과 같은 정교한 기술을 사용하여 공격자의 기술을 탐지하고, Distributed Cloud Bot Defense는 봇 기반 사기와 ATO에 최대의 효과를 내며 실시간으로 적절한 대책을 구축합니다. 분산형 클라우드 인증 인텔리전스는 고객 여정 전반에서 합법적인 사용자를 인식하고, 분산형 클라우드 클라이언트 측 방어는 클라이언트 측 디지털 스키밍 공격에 대한 실시간 통찰력을 제공합니다.

F5 분산 클라우드 보안 및 사기 방지 플랫폼은 분산 클라우드 계정 보호를 통해 로그인 후 사기를 신속하게 제거하는 것과 더불어 의도를 평가하고, 디지털 경험을 간소화하고, 사기, 매출 손실, 고객 충성도 저하로 이어질 수 있는 ATO 시도를 차단하는 종단 간 접근 방식을 제공합니다.