계정 인수 사기 및 고객 마찰 위험 없이 디지털 혁신을 수용하기 위한 4가지 팁
많은 온라인 상인과 서비스 조직은 다음과 같은 역설에 직면합니다. 고객들은 더욱 편리한 디지털 서비스를 요구하고 있는 반면, 전자상거래와 온라인 서비스를 표적으로 삼는 사이버 공격은 그 수와 영향력 면에서 급증하고 있습니다. 이로 인해 온라인 사업체는 디지털 혁신에 대한 고객 선호도를 수용하려고 노력하는 한편, 사기 및 기타 형태의 사이버 범죄의 위험이 증가함에 따라 불편한 입장에 처하게 됩니다.
이 난제의 핵심에는 세 가지 주요 원인이 있습니다. 첫째, 기업이 새로운 디지털 서비스나 전자상거래 사이트를 출시할 때마다 기존 공격 표면이 확장되어 범죄자들의 표적이 더 커지고 탐지 및 완화가 더욱 복잡해집니다. 다음으로, 대부분의 조직에서 사이버 범죄에 대한 방어에 가장 중점을 두는 그룹은 보안 및 사기 대응 팀입니다. 이들은 종종 자체적으로 운영되며 사이버 전략이나 방어 전술에 대해 협업하는 경우가 거의 없습니다. 이는 공격을 제한하거나 방지하고 침해와 사기를 보다 신속하게 차단할 수 있는 사이버 보안에 대한 조직적인 접근 방식을 방해합니다.
마지막으로, 다소 아이러니컬하게도 특정 고객의 습관과 행동은 자신도 모르게 온라인 공급업체와 서비스 제공업체의 노출을 증가시킵니다. Google 조사에 따르면 , 약 2/3의 소비자가 여러 웹사이트에서 동일한 인증정보(사용자 이름과 비밀번호)를 재사용합니다. 그리고 누가 그들을 비난할 수 있겠는가? BuiltWith의 전자상거래 사용 분포 보고서에 따르면 인터넷에는 거의 3,300만 개의 전자상거래 사이트가 있으며, 거의 대부분의 사이트에서 구매를 위해서는 어떤 형태로든 사용자 이름과 비밀번호가 필요합니다.
그러나 자격 증명을 반복적으로 재사용하면 사이버 범죄자와 자동화된 봇 군대가 쉽게 악용할 수 있는 취약점이 발생합니다. Hacker News에 따르면 , 도난당하거나 손상된 자격 증명은 전체 보안 침해의 54%를 차지하며, 가장 큰 영향을 미치는 사이버 위협 벡터 중 하나인 계정 인수(ATO)의 길을 열고 있습니다. 공격자는 봇 군대를 사용하여 대규모로 자동화된 로그인 시도를 수행합니다. 이를 자격 증명 스터핑이라고 하며 여러 로그인 양식에서 유효한 자격 증명 쌍을 발견합니다. 침해된 자격 증명의 상당 부분은 다른 사이트의 계정에 액세스하는 데에도 사용되므로 공격자는 계정을 장악하고 자격 증명을 변경하여 합법적인 계정 소유자를 잠그고 자산을 고갈시키고, 계정을 사용하여 추가 사기 행위를 저지를 수 있습니다.
VentureBeat의 보고서에 따르면 ATO는 2022년 상반기에 급증하여 전년 동기 대비 131% 증가했습니다. 영향은 실제적입니다. Javelin 2022 ID 사기 연구 에 따르면 미국 성인의 22%가 ATO의 피해를 입었으며, American Banker 보고서에 따르면 2023년부터 2027년 사이에 전 세계 디지털 사기 손실이 3,430억 달러를 넘어설 것으로 예상됩니다.
많은 전자상거래와 온라인 서비스의 경우 디지털 혁신을 도입하면 사이버 공격과 잠재적인 사기 손실의 위험도 커지는 것은 분명한 사실입니다. 하지만 그렇다고 해서 조직이 새로운 디지털 고객 서비스와 경험에 대한 혁신과 투자를 제한해야 한다는 의미는 아닙니다. 즉, 조직에서는 디지털 채널을 보안 및 사기 위협으로부터 보호하기 위해 기술 혁신을 받아들여야 함을 의미합니다.
디지털 혁신을 보호하기 위한 4단계
기업이 디지털 채널 내에서 위험을 완화하는 데 도움이 되는 사전 예방 조치 4가지를 소개합니다.
- 악의적인 봇을 완화합니다. 인터넷 트래픽의 절반 이상은 봇에서 비롯되며, 이러한 봇 중 일부는 유용하지만(챗봇, 검색 엔진 크롤러) 대부분은 악성입니다. 악성 봇은 상품을 싹쓸이로 빼앗고, 재고를 쌓아두고, 사기를 저지르기 위해 가짜 계정을 만들고, 웹 및 앱 성능을 저하시키고, 자격 증명을 채워 ATO를 수행하는 자동화된 공격을 규모 있게 확대합니다. 풍부한 클라이언트 측 신호 수집, 집계된 데이터 수집 및 머신 러닝을 사용하여 ATO 예방을 자동화함으로써 실시간으로 봇 공격을 방지하는 고급 봇 완화 솔루션으로 네트워크 및 웹 속성의 봇 활동을 제어하세요.
- 수동 사기를 중단하세요. 투자수익률(ROI)이 충분히 높으면 공격자는 모니터링하기 어려운 수동 사기를 통해 자동화 방지 제어를 우회할 수 있습니다. 디지털 채널에서 수동 ATO 사기를 식별하려면 사용자 신원의 진실성을 평가하고 의도를 확립해야 하지만, 이는 합법적 고객의 사용자 경험에 영향을 미치지 않고 수행되어야 합니다. 오늘날의 정교한 사기 솔루션은 검증된 인간 데이터를 기반으로 훈련된 AI 기반 시스템을 사용하여 실제 고객의 고객 여정을 방해하지 않으면서 실시간으로 수동 사기를 중단할 수 있도록 진실과 의도를 평가합니다.
- 보안팀과 사기 대응팀 간의 조직적 장벽을 허물어보세요. 사기 대응팀과 보안팀 모두 사이버 공격의 복잡한 문제를 다루지만, 종종 서로 다른 각도에서 서로 다른 도구를 사용하여 문제에 접근합니다. 보안팀은 컴퓨팅 네트워크와 외부 애플리케이션을 침투와 악용으로부터 보호하는 반면, 사기 관리팀은 온라인 디지털 거래와 사고 대응을 보호하는 데 집중합니다. 두 팀 모두 동일한 사고나 익스플로잇의 영향을 다루고 있을 수 있지만, 팀이 통신하지 않으면 위협 인텔리전스가 손실되고 공격의 규모가 밝혀지지 않을 수 있으며, 이는 공격자에게만 이로운 상황입니다. 사기 대응팀과 보안팀이 협력하면 공격에 대한 가시성이 높아지고, 모니터링과 탐지 기능이 개선되며, 보다 집중적인 대응이 가능해집니다.
- 고객 경험을 방해하지 않고 사기를 줄이세요. 조직에서 자동화된 봇 트래픽을 완화하고, 수동 사기에 대한 보호 기능을 설정하고, 사기 및 보안 팀을 통합하여 더욱 긴밀한 협업과 악용에 대한 보다 효과적인 대응을 위한 조치를 취하면 고객 여정 프로세스에 마찰을 더하는 기존 사기 방지 방어 수단을 축소할 수 있습니다. 다시 말해, 사기 위험이 통제되면 기업은 성가신 CAPTCHA 퍼즐 및 기타 성가신 챌린지-응답 테스트를 크게 제거하여 합법적인 고객에게 크게 향상된 사용자 경험을 제공할 수 있으며 디지털 채널에 사기 위험을 도입하지 않습니다.
전자상거래 사이트와 기타 디지털 서비스를 확장한다고 해서 사이버공격 위험도 커질 필요는 없습니다. F5 Distributed Cloud Bot Defense 와 같은 첨단 봇 및 사기 완화 솔루션을 사용하면 공격자보다 앞서 나가는 동시에 짜증나는 보안 문제를 제거하여 고객의 안전과 온라인 경험을 개선할 수 있습니다. 위협 인텔리전스 모델링, 머신 러닝과 같은 정교한 기술을 사용하여 공격자의 기술을 탐지하는 Distributed Cloud Bot Defense는 사기와 ATO에 최대의 효과를 내는 적절한 대책을 실시간으로 구축하여 조직이 사기와 고객 마찰의 위험 없이 디지털 혁신을 도입할 수 있도록 지원합니다.
봇이 조직에 미치는 경제적 영향을 알아보려면 무료 봇 관리 사업 ROI 컨설팅 세션을 예약하세요. 계정 인수로 이어지는 자격 증명 스터핑 공격에 대해 자세히 알아보려면 F5 eBook Credential Stuffing 2022를 읽어보세요. 최신 공격 동향 및 도구 . 또는 이 솔루션 개요를 읽고 F5 Distributed Cloud Bot Defense가 온라인 채널을 공격과 사기로부터 보호하는 데 어떻게 도움이 될 수 있는지 알아보세요.