계정 탈취(ATO) 사기란?
계정 탈취(ATO) 사기란 무엇이며, 어떻게 발생하는지, F5의 탐지 및 예방 전략은 무엇인지 알아보십시오.
계정 탈취(ATO)는 금융 기관, 전자 상거래 및 기타 온라인 디지털 서비스를 대상으로 하는 가장 일반적이고 경제적 손실이 큰 공격입니다. 자동화된 봇 및 기타 사이버 범죄 방법을 사용하는 범죄자는 훔친 크리덴셜을 통해 사용자 계정에 대한 액세스 권한 및 제어권을 확보하여 금전적 이익을 취하거나 사기를 저지릅니다. 계정 탈취 사기의 영향은 실제적입니다. Javelin 2022 ID Fraud Study에 따르면, 미국 성인의 22%가 ATO의 피해자입니다.
작동 방식: 계정 탈취 사기 기법
계정 탈취 사기는 일반적으로 도난당하거나 유출된 크리덴셜으로 시작하여 고객의 온라인 계정을 탈취할 수 있는 크리덴셜 스터핑 공격으로 이어지는 일련의 사이버 범죄 활동의 정점입니다. 공격 후에 범죄자는 계정의 자금을 빼내고, 저장된 가치로 수익을 창출하고, 추가적인 사기에 해당 계정을 이용할 수 있습니다.
가장 기본적인 형태의 크리덴셔 스터핑은 봇 기반 무차별 대입 공격으로, 공격자가 계정 크리덴셜과 일치하는 것을 발견할 때까지 로그인 양식을 사용하여 임의의 문자 조합을 제출합니다.
인증정보는 어떻게 도용되나요?
보다 지능적인 크리덴셜 스터핑 공격은 데이터 유출 중에 도난당하거나 유출된 유효한 사용자 이름 및 암호 쌍으로 시작됩니다. 도난당한 크리덴셜 즉 인증정보는 다크 웹 마켓플레이스에서 쉽게 구매할 수 있습니다(Cyber Security Hub에 따르면 2022년에만 220억 개의 데이터 기록이 유출됨).
다음과 같은 다양한 사이버 공격 및 기타 사이버 범죄 기법을 통해 크리덴셜을 도용할 수도 있습니다.
- 피싱 공격: 범죄자가 사람들을 속여 이메일, 문자 메시지 또는 소셜 미디어 메시지를 통해 로그인 인증 정보, 은행 계좌 정보, 주민등록번호 또는 기타 민감한 데이터 등의 개인 정보를 공개하도록 만드는 일종의 소셜 엔지니어링 공격입니다.
- 키로깅, 메이지카트, 스키밍 및 기타 형태의 클라이언트 측 맬웨어: 악의적인 행위자가 온라인 결제 양식에 악성 스크립트를 주입하여 크리덴셜을 훔칩니다. 피해자가 크리덴셜 및 신용 카드 정보를 입력하면 해당 스크립트가 데이터를 공격자에게 전송하고, 공격자는 이 정보를 사기에 사용하거나 다른 범죄자에게 판매할 수 있습니다.
- 중간자(MitM) 공격: 공격자가 데이터 통신 시 정상적으로 연계된 두 당사자 사이에 자신을 프록시로 삽입하여 메시지 또는 데이터 트랜잭션을 가로채는 공격입니다. 이를 통해 공격자는 양 당사자의 정보 및 데이터 전송 내용을 "도청"하고 로그인 인증 정보 또는 기타 개인 정보를 수집할 수 있습니다.
사이버 범죄자가 은닉해둔 유효한 크리덴셜이 축적되면 크리덴셜 스터핑 프로세스를 시작할 수 있으며, 종종 대규모로 이루어집니다. 소비자의 약 3분의 2가 여러 웹사이트에서 동일한 사용자 이름과 암호를 재사용하기 때문에 이러한 재활용된 인증 정보를 사이버 범죄자 및 자동화된 봇이 쉽게 악용하게 됩니다. 유출된 인증 정보 중 상당수는 다른 사이트의 계정에 액세스하는 데도 효과가 있습니다. 공격자는 계정을 탈취한 후 인증 정보를 변경하여 정상적인 계정 소유자가 이용하지 못하게 하고, 자산을 빼내고, 해당 계정을 사용하여 추가적인 사기 행위를 저지를 수 있습니다.
계정 탈취 사기의 영향
American Banker의 보고서에 따르면 ATO와 같은 공격으로 인한 디지털 사기 손실은 2023년과 2027년 사이에 전 세계적으로 3,430억 달러를 상회할 것으로 예상됩니다.
또한 계정 탈취는 금융 영역을 넘어서 영향을 미칩니다. 조직의 브랜드와 평판 역시 손상되어 비즈니스 손실을 초래할 수 있으며 보안이 취약하다는 인식으로 인해 부정적인 여론으로 이어질 수 있습니다. 이로인해 장기적인 브랜드 손상이 발생할 수 있으며 이에 따른 긍정적인 평판을 회복하는 데는 수년이 걸릴 수 있습니다.
조직은 고객 신뢰와 충성도를 잃어 상업적 관계가 종료될 수 있습니다. 회사의 부적절한 보안 조치로 인해 계정 탈취 및 큰 대가를 치뤄야 하는 사기 행위가 발생하는 경우 고객은 당연히 불만을 갖습니다.
또한 소비자 데이터를 보호하지 못한 조직은 규정 준수 및 법적 결과에 직면할 수 있습니다. EU의 General Data Protection Regulation(GDPR), California Consumer Protection Act(CCPA), Payment Card Industry Data Security Standard(PCI-DSS)와 같은 법률 및 표준은 소비자 개인정보 보호를 보장하고 데이터 유출 시 큰 벌금을 부과하도록 마련되었습니다. 여기에는 개인 데이터를 봇에 노출시키는 계정 탈취(ATO) 공격이 포함됩니다.
계정 탈취(ATO) 사기 감지
계정 탈취(ATO)의 징후를 감지하기 위해서는 사용자 계정과 활동을 모니터링해야 합니다.
- 계정 활동에 예기치 않은 변화가 있는지 확인해야하며, 이러한 변화에는 신규 거래 또는 무단 거래, 대규모 인출, 트래픽의 무작위 및 단발성 급증 또는 암호, 주소, 지급 수익자 변경 요청이 포함될 수 있습니다. 이러한 비정상적인 활동은 계정이 공격받고 있다는 신호일 수 있습니다. 이런 경우, 계정에서 암호나 전화번호 등의 사용자 세부 정보도 변경되었는지 여부를 알아보십시오. 이는 계정이 탈취되었음을 나타낼 수 있습니다.
- 인식되지 않은 로그인 시도가 있는지 확인하세요. 연이은 로그인 시도 실패는 악의적 행위자가 크리덴셜 스터핑 방법을 사용하여 계정 유출을 시도하고 있음을 나타낼 수 있습니다. 로그인 시도가 비정상적인 위치에서 발생했거나 일반적으로 계정을 사용하지 않는 시간에 발생하는 경우 특히 주의하십시오.
- 계정에 액세스하는 새로운 장치나 인식되지 않은 장치에 대한 주의. 새로운 장치 또는 인식되지 않은 장치에서 수행되는 활동은 계정이 도용되었거나 사기범이 도난당한 크리덴셜으로 로그인을 시도하고 있음을 나타낼 수 있습니다. 마찬가지로, 단일 계정에 여러 장치가 로그인하는 경우 해당 계정이 범죄자의 공격을 받고 있음을 나타낼 수도 있습니다.
- 의심스러운 이메일 또는 문자 메시지. 피싱 이메일이 증가하는 것은 사용자가 사기꾼의 표적이 된 것임을 나타낼 수 있습니다. 따라서 알 수 없는 발신자의 디지털 메시지에 포함된 첨부 파일이나 라이브 링크를 클릭하지 말고, 전화나 인터넷을 통해 사용자 이름, 암호, 개인 정보 또는 금융 정보를 누구에게도 제공하지 않도록 해야 함을 고객에게 당부하십시오. 정상적인 회사는 이메일이나 문자 메시지로 계정 정보를 요청하지 않습니다.
계정 탈취(ATO) 사기 방지
ATO를 방지하기 위한 사전 예방적 접근 방식에는 다양한 수준의 보호 대책과 전략이 포함됩니다. 여기에는 사용자 교육, 실시간 인프라 모니터링 및 강력한 인증 보호에 중점을 둔 모범 사례 방법론이 포함됩니다.
사용자 교육 및 인식
계정 탈취를 방지하는 가장 효과적인 방법 중 하나는 사용자가 위험을 식별하고 이에 대응하도록 훈련하는 교육 프로그램을 이용하는 것입니다. ATO 공격은 악의적 행위자가 사용자를 속여 계정 크리덴셜을 공개하거나 악성 링크를 클릭하도록 유도하는 피싱으로 시작되는 경우가 많습니다. 특히 통신 내용에 범죄자가 소셜 미디어에서 수집할 수 있는 개인 정보가 포함되어 있는 경우, 피싱 이메일과 문자가 확실할 수 있습니다. 또한 사용자가 올바른 비밀번호 관리의 중요성을 이해하고 강력한 비밀번호 프로토콜을 사용하도록 해야 합니다.
강력한 인증 조치
강력한 인증을 위해서는 로그인 시도 중에 사용자 이름과 암호 외에도 두 가지 이상의 검증 요소를 제시해야 합니다. 강력한 인증에는 여러 가지 접근 방법이 있습니다.
- 2단계 인증(2FA)은 신원 및 액세스 관리 보안 방법으로, 리소스와 데이터에 액세스하는 데 필요한 신원 확인을 위해 두 가지 검증 요소가 필요합니다. 일반적으로 이메일이나 문자를 통해 스마트폰 또는 컴퓨터의 브라우저와 같은 알려진 장치에 일회용 암호를 입력하는 경우가 많습니다.
- 다단계 인증(MFA)은 2단계 인증(2FA)과 유사하지만, 성공적인 로그인을 위해서는 최소 3가지 이상의 검증 요소를 제공해야 하는 것이 다릅니다. 대부분의 경우, 알려진 장치에서 일회성 코드를 수신하고 지문 판독, 망막 스캔 또는 음성 인식 등과 같은 생체 인식 방식을 제공합니다. 2FA와 MFA는 모두 온라인 계정의 보안을 강화하는 유용한 도구로 계속 사용되지만, 범죄자의 공격에 의해 쉽게 우회될 수 있으며 사용 경험을 손상시킬 수 있으므로 ATO 공격에 대한 최종 방어 대책으로는 더 이상 충분하지 않습니다.
- 위험 기반 인증은 인증 프로세스의 요구 사항을 로그인 시도에 따라 제시되는 위험 수준으로 조정하는 액세스 관리 방법입니다. 예를 들어, 단순히 계좌 잔액을 조회하기 위한 로그인에는 암호를 변경하거나 새 계정으로 자금을 이체하기 위해 로그인하는 것보다 덜 제한적인 인증 프로세스가 필요합니다. 기본적으로 위험 수준이 높아질수록 인증 프로세스가 더 엄격해지므로 추가적인 인증 요소와 감독이 필요합니다.
계정 모니터링 및 감사
소비자와 기업 모두 계정의 의심스러운 활동을 정기적으로 모니터링하고 감사해야 합니다. 소비자의 경우 여기에는 금융 계좌 및 보관된 가치(고객 보상 프로그램 및 기프트 카드 포함)가 있는 기타 계정에 정기적으로 로그인하여 잔고와 계정 활동을 살펴보아야 합니다.
기업과 조직은 다양한 기술을 사용하여 계정의 지속적인 모니터링 및 감사를 자동화할 수 있으며, 여기에는 머신러닝을 사용하는 계정 추적 시스템 및 사용자의 일반적인 행동과 일치하지 않는 비정상적인 활동을 식별하여 사기를 방지하는 AI 기반 탐지 기능이 포함됩니다.
Web Application Firewall(WAF)
WAF는 웹 애플리케이션으로 이동하는 악의적인 HTTP/S 트래픽을 필터링, 모니터링 및 차단하여 웹 앱을 보호하고, 승인되지 않은 데이터가 앱에서 나가는 것을 차단합니다. 이 작업은 악성 트래픽과 안전한 트래픽을 판단하는 데 도움이 되는 일련의 정책을 준수함으로써 이루어집니다. WAF는 잠재적으로 악의적인 클라이언트로부터 웹 앱 서버를 보호하는 중개자 역할을 합니다.
WAF 정책은 ATO 활동을 탐지하도록 특별히 설계되지는 않았지만 계정 탈취 공격을 식별하여 차단하는 데 도움이 되는 것이 목표가 될 수 있습니다. 또한 WAF는 종종 무차별 대입 크리덴셜 스터핑 공격에 선행하는 악성 봇 활동을 식별하는 데도 도움이 될 수 있습니다.
네트워크에 봇 탐지 및 완화 조치 추가
범죄자는 여러 봇을 통해 공격 규모를 확대하고 MFA 제어를 우회하며 사기가 가능하도록 만들 수 있습니다. 자동화는 크리덴셜 스터핑이든 피싱 공격이든 관계없이 할당된 작업을 수행하기 위해 봇을 대량으로 배포할 수 있음을 의미합니다. 봇 탐지 솔루션은 가짜 계정 생성, 싹쓸이 구매, 스크래핑 및 크리덴셜 정보의 디지털 스키밍과 같은 악성 활동에 대한 가시성을 제공합니다. 또한 봇 탐지 솔루션은 폼재킹, 디지털 스키밍, 메이지카트 및 기타 브라우저 기반 JavaScript 취약점 등의 클라이언트 측 공격에 대한 경보를 제공할 수도 있습니다.
계정 탈취(ATO) 사기에 대한 대응
다크 웹에는 쉽게 이용할 수 있는 도난 및 유출된 크리덴셜이 많기 때문에 조만간 조직에서 사이버 공격을 경험하게 될 가능성이 높아지고 있습니다. 조직은 기관과 고객 모두에게 미치는 사이버 공격의 영향을 해결하기 위해 강력한 대응책과 프로세스를 사전에 준비해야 합니다.
사고 대응 계획
사고 대응 계획에서는 위협 이벤트 식별 시 적용할 활성 단계, 사용 가능한 리소스 및 커뮤니케이션 전략을 정의합니다. 또한 사고 대응 계획에서는 사고에 대응하기 위한 프로토콜을 정의하고 계획을 운영할 수 있도록 훈련받은 사고 대응팀을 파악해 두어야 합니다.
고객 알림 및 지원
사고 대응팀은 영향 받는 고객에게 직접 사고를 알리고, 무슨 일이 일어났는지 설명하고, 보호하기 위해 어떤 조치를 취하고 있는지 알리고, 유출된 암호가 다른 계정에서도 사용되는 경우 변경하도록 요청해야 합니다. 영향 받는 고객과 지속적으로 연락을 취하는 것은 신뢰를 회복하는 데 있어 매우 중요합니다.
조사 및 해결
공격이 탐지된 후에는 해당 사고를 평가 및 격리하고 사고의 성격과 범위 및 영향 받는 시스템을 파악하는 것이 중요합니다. 액세스 지점이 식별되면 조직은 영향 받는 계정에 대한 공격자의 무단 액세스를 차단하고 유출된 계정을 더 이상 악의적으로 사용할 수 없도록 조치를 취해야 합니다. 또한 사기 복구 검토의 일환으로 이러한 공격이 다시 발생하지 않도록 방지하는 방법을 분석해야 합니다.
의사 소통 및 투명성
정보를 공개하지 않으면 규제 기관, 언론 또는 소비자가 은폐로 인식할 수 있으며 공격에 따른 재정적 영향을 크게 악화시킬 수 있기 때문에 보안 침해 및 공격에 대해 투명하게 전달해야 합니다.
요약
오늘날 디지털 결제를 제공하거나 수락하는 모든 조직은 계정 탈취(ATO) 대상이 되며 공격 위협은 계속 증가하고 있습니다. 이로 인해 온라인 업체, 금융 기관 및 서비스 조직은 모순에 빠지게 됩니다. 보다 편리한 온라인 서비스 및 앱에 대한 고객의 선호를 수용하면 사기 위험 및 기타 형태의 사이버 범죄가 증가하는 상황에 놓이게 됩니다. 계정이 유출되면 사기범이 자금을 빼내거나, 상품 또는 서비스를 훔치거나, 결제 정보에 액세스하여 다른 사이트에서 사용할 수 있으며, 이로 인해 고객이 멀어지고 수익 저하가 발생하게 됩니다.
기존의 2FA 및 MFA 제어는 갈수록 정교해지는 ATO 공격을 실행하는 사이버 범죄자를 차단하기에 더 이상 충분하지 않습니다. ATO를 차단하기 위해서는 의도를 평가하고, 디지털 경험을 간소화하며, 사기 패턴과 위험한 거래를 발생 전에 식별하여 ATO를 중단시킬 수 있는 보안 및 사기 예방에 대한 End-to-end 접근 방식이 필요합니다.
F5의 지원 방법
F5 보안 및 사기 방지 솔루션은 업계에서 가장 포괄적인 계정 탈취 방어 기능을 단일 플랫폼에서 제공합니다. Distributed Cloud Bot Defense는 위협 인텔리전스 모델링 및 머신러닝과 같은 정교한 기술을 사용하여 공격자 기법을 탐지하며, 최대의 효과로 봇 기반 사기 및 ATO에 대응하기 위해 실시간으로 적절한 대응 조치를 배포합니다. Distributed Cloud Authentication Intelligence는 고객 여정 전체에서 정상적인 사용자를 인식하며 Distributed Cloud Client-Side Defense는 클라이언트 측 디지털 스키밍 공격에 대한 실시간 통찰력을 제공합니다.
F5 Distributed Cloud 보안 및 사기 방지 플랫폼은 Distributed Cloud Account Protection을 통한 로그인 후 사기의 신속한 제거 기능과 연계되어 의도를 평가하고 디지털 경험을 간소화하며 사기, 수익 손실 및 고객 충성도 저하로 이어지는 ATO 시도를 차단하는 End-to-end 접근 방식을 제공합니다.
