보안과 사기를 조정하여 사이버 범죄자보다 앞서 나가기

때때로 사기는 고양이와 쥐의 게임처럼 보일 수 있습니다. 범죄자들은 대개 공격적이며 공격을 하는 반면, 기업들은 자신을 보호하기 위해 고군분투하며 방어에 나섭니다. 기업의 입장에서는 게임이 점점 어려워지고 있습니다. 범죄 조직의 도구는 점점 더 정교해지고 공격도 더욱 복잡해지고 있습니다. 금융 서비스 기업과 상인들은 빠르게 진화하는 공격에 대응하기 위해 보안 및 사기 방어책을 지속적으로 조정하는 데 어려움을 겪습니다. 그리고 만약 당신이 따라가지 못한다면, 당신은 뒤처지게 될 것입니다. 위험은 손실 증가, 거래 중단, 고객 불만족 등입니다. 돈과 고객을 잃는다는 건 좋은 조합이 아니죠.

사기 예방에 대한 접근 방식을 재고해야 할 때입니다. 하지만 지금은 들립니다. "저는 인력도 부족하고 자금도 부족합니다. 더욱 민첩하고 자금이 풍부한 범죄 조직을 어떻게 따라잡을 수 있을 거라고 기대하세요?" 이런 어려운 환경에서는 더 열심히가 아닌 더 현명하게 일해야 할 때입니다. 이 문제를 해결한 상인과 금융 서비스 회사는 내부와 외부를 모두 살핌으로써 이를 달성했습니다.

내면을 들여다보다

내부적으로 살펴보면, 성공적인 회사들은 보안 및 사기 완화 측면에서 비효율적임을 인정했습니다. 컴퓨팅 네트워크와 외부 애플리케이션을 침투, 악용, 서비스 거부 공격으로부터 보호하는 사이버보안 부서와 온라인/디지털 거래, 이벤트 상관 관계, 사고 대응에 중점을 둔 사기 관리 부서를 두는 것이 일반적입니다. 이로 인해 책임이 분리되고 두 부서가 서로 다른 도구, 데이터 세트, 성과 지표, 직원, 예산을 사용하게 됩니다. 이것이 회사에 어떤 피해를 주는지 살펴보겠습니다.

데이터 침해와 신원 정보 유출로 인해 사용자 이름/비밀번호 쌍을 포함한 수십억 개의 개인 식별 정보 기록이 노출되었습니다. 전형적인 공격에서 공격자는 고도로 분산된 봇넷을 사용하여 자격 증명 채우기를 수행하여 이러한 쌍을 대규모로 테스트하고 어떤 사용자 이름/비밀번호 쌍이 여전히 유효한지 식별합니다. 유효한 쌍이 있으면 공격자는 고객의 온라인 계정을 인수하여 돈을 빼내거나, 로열티 포인트를 세탁하거나, 무단 구매를 하는 등 쉽게 사이버 범죄자가 될 수 있습니다. 사이버범죄자는 발견된 보안 대책에 따라 네트워크 스크립트 및 봇넷부터 인간의 행동을 에뮬레이트하는 것, CAPTCHA를 해결하기 위해 인간 클릭 팜에 API 호출을 할 수 있는 프레임워크에 이르기까지 다양한 도구를 사용하여 공격을 수정할 수 있습니다.

이러한 유형의 공격은 보안팀과 사기 대응팀의 책임 모두에 적용됩니다. 보안팀과 사기 대응팀 또는 해당 툴이 서로 소통하지 않는다면 위협 정보와 맥락이 손실되고, 공격의 전체를 파악하는 것이 어렵거나 불가능할 수도 있습니다. 그 결과, 사기꾼들은 틈새를 파고들고 회사와 고객은 재정적 손실을 입게 됩니다.

조직의 고립을 해소할 때가 왔습니다. 여러 팀과 기술 간의 협업은 융합, 수익 증대, 궁극적으로 회사의 성공을 향한 수단이 될 수 있습니다. 또한, 리소스와 데이터를 모으는 것은 가시성을 향상시켜 범죄 조직을 차단하고 안전한 고객은 마찰 없이 통과시킬 수 있습니다. 최근 Aite-Novarica Group이 핀테크 회사 110곳을 대상으로 실시한 연구에 따르면, 통합 사기 방지 시스템을 갖춘 회사는 별도의 사기 방지 시스템을 갖춘 회사보다 사기를 관리하기가 다소 쉽거나 매우 쉽다고 말할 가능성이 두 배나 더 높았습니다.

통합 플랫폼을 사용하면 데이터를 모으고 지속적으로 분석하여 사기 상황을 더 자세히 파악할 수 있다는 이점이 있습니다. 더 큰 데이터 세트를 사용하면 더 많은 사기 신호가 생성되므로, 보다 예측 가능하고 정확한 머신 러닝 모델을 만들 수 있습니다. 이를 통해 보다 사전 예방적이고 실행 가능한 정보를 얻을 수 있을 뿐만 아니라 정확도가 높아져 인증을 신속하게 진행하고 사기를 늘리지 않고도 고객이 원활하게 거래할 수 있는 방법을 제공할 수 있으므로 사용자 경험도 향상됩니다.

바깥을 바라보며

효과적인 사기 생태계를 만들려면 외부를 살피는 것도 중요합니다. 금융 서비스 회사와 상인이 사기를 방지하기 위해 도구를 구매하고 사내에서 사기를 관리하며, 직원이 사기를 방지하기 위해 도구를 구성하는 것이 일반적인 관행입니다. 시간이 지남에 따라 사기 공격이 변함에 따라 회사는 사기 공격에 대응하기 위한 사기 전략을 조정하고, 인증 규칙을 조정하고, 거짓 양성 반응을 조사해야 합니다. 다시 말해, 회사는 미래의 사기 공격을 방지하기 위해 먼저 새로운 사기 공격(과 재정적 손실)을 경험해야 합니다. 이러한 대응적 전략은 내부 부서가 보안 격차를 조사하고 시정하는 동안 회사를 노출시킵니다.

왜 주도적으로 나서지 않나요? 상업적 솔루션을 제공하는 공급업체는 광범위한 경험과 가시성을 활용하여 개별 고객이 스스로를 보호하는 것보다 더 효과적으로 고객을 보호합니다. 어떻게? 여러 지역과 산업 분야에 걸쳐 대규모 고객 기반을 보유한 공급업체는 사기에 대한 매우 광범위한 관점을 가지고 있습니다. 특히 위협 정보가 집단 방어 네트워크에서 공유되는 경우 더욱 그렇습니다. 새로운 사기 공격 벡터가 나타나면 공급업체는 사기 방어책을 신속히 수정하여 모든 고객을 보호할 수 있습니다.

윈-윈-윈 솔루션

범죄 조직과 그들의 공격이 날로 정교해지는 데 발 빠르게 대응하기란 어려운 일입니다. 특히 인력과 자원이 부족한 상황에서는 더욱 그렇습니다. 이제 내면과 외면을 살펴볼 때입니다. 사이버 보안과 사기 관리를 통합된 팀으로 통합하고 외부 전문 지식을 활용하면 세 가지 주요 이점이 있습니다. 사이버보안/사기 관리가 간소화되고, 손실이 줄어들며, 고객은 더 나은 온라인 경험을 얻게 됩니다. 모든 사람에게 이로운 솔루션입니다.

David Mattei, 전략 고문, Aite-Novarica Group 작성

_____

추가적인 관점을 얻으려면 Aite 보고서를 읽고 사기로 인한 손실을 최소화하기 위한 새로운 전략을 알아보세요.