지불/결제 시장의 변화와 새로운 사기 위협

0

지불/결제(Payments) 사기는 악의를 가진 누군가가 다른 사람의 개인 결제 정보를 훔치거나 속여 빼낸 다음 해당 정보로 허위 또는 불법 거래에 사용할 때 발생합니다. 새로운 결제 수단이나 서비스가 인기를 끌 때마다 결제 환경과 트렌드가 바뀝니다. 사기범들도 마찬가지입니다. 그들은 새롭고 점점 더 교묘해지는 지불/결제 사기 수법을 개발하여 새로운 환경에 적응합니다.

사기범은 사기를 벌이기 위해 가장 취약한 부분인 ‘사람’을 노립니다. 결제를 하거나 결제 서비스를 이용하는 사람은 누구나 잠재적인 표적이 될 수 있습니다. 사기범들은 전 세계적으로 아직 준비가 되지 않은 조직과 개인을 대상으로 빠르게 사기를 벌이고 그 범위를 넓혀갔습니다. 현재와 같은 사기 발생 추세가 계속된다면 온라인 결제 사기 손실은 2023년까지 최대 480억 달러가 발생할 것이라고 Juniper Research는 말합니다.

지금부터 지불/결제 환경의 변화를 살펴보고 이러한 지불/결제 서비스가 새로운 사기 위협을 받게 된 이유와 각 금융기관 및 기업, 규제 당국과 PSP가 고려해야 할 사항들을 살펴보겠습니다.

새로운 지불/결제 트렌드로 생겨난 새로운 사기 위협

오늘날의 지불/결제 생태계는 핀테크, 챌린저 뱅크 및 지불 서비스 제공업체(PSP)들이 다양하고 새로운 혁신적인 서비스를 내놓으면서 기존 은행의 서비스를 훨씬 뛰어넘어 확장되었습니다. 동시에, 우리는 간편(또는 ‘즉시’) 결제의 종류가 엄청나게 증가하는 것을 보았습니다. 이러한 결제수단은 개설에서 결제까지 몇 초면 가능합니다.

팬데믹으로 전세계적 디지털화가 가속화되면서 지불/결제 환경은 점점 더 현금이 필요 없는 사회, 새롭고 더 빠른 서비스의 문을 열었습니다. 그러나 모든 혁신과 함께 새로운 사기 위협이 발생하고 있으며 전 세계 여러 지역에서 동시 다발적으로 다양하게 발생하고 있습니다.

기관은 편의성과 유연성에 대한 고객의 요구를 충족하기 위해 새로운 지불 방법을 채택해야 한다는 것을 알고 있습니다. 그러나 그들은 또한 이러한 새로운 지불/결제 시스템이 새로운 형태의 사기에 노출되어 있다는 것을 알고 있습니다.

한 지역의 새로운 사기수법은 다른 지역의 금융기관과 기업에 새로운 사기 수법에 대응할 수 있는 학습의 기회를 제공하지만 이는 사기범들에게도 동등한 기회를 제공합니다. 어느 한 지역에서 작동하는 결제모형/프로세스와 유사한 결제모형/프로세스를 가진 다른 지역이 있다면, 사기범들도 유사한 사기 수법을 그 지역으로 수출하기 때문에 사기가 더 빠르게 발생합니다. 이로 인해 미처 준비를 하지 못한 기관과 기업은 막대한 피해를 입게 됩니다.

금융 기관과 기업에게 시급한 당면 과제와 고려 사항

  • 즉시/간편 결제는 즉시 발생 가능한 사기를 의미합니다. 부정 행위 공격이 빠르게 확장되고 손실이 기하급수적으로 증가하기 때문입니다. 조직이 신속하게 대응하려면 적절한 이상금융거래 탐지 프로세스를 갖춰야 합니다. 규칙 기반 탐지 방식만 사용한다면 정책 변경에 며칠이 걸릴 수도 있기 때문에 규칙 기반 탐지만 운영 중인 기관과 기업은 위협에 노출될 위험이 높습니다.
  • 모바일 월렛, 개인간(P2P) 및 크로스채널 서비스와 같이 진화하는 디지털 결제환경은 사기범들이 이용할 수 있는 새로운 공간을 제공합니다. 이상금융거래 탐지 부서는 이러한 새로운 지불/결제 옵션에 대한 경험과 과거 데이터가 부족하여 전통적인 방법인 규칙기반 사기탐지 솔루션으로 대응하지만 해당 방식만으로 사기를 근절하는 것은 거의 불가능합니다. 또한 오픈뱅킹과 같은 새로운 결제 서비스 도입 속도에만 신경을 쓸 경우 사기 통제 정책이 이를 따라가지 못하는 현상이 발생할 수도 있습니다.
  • 지불/결제 사기와 함께 대포통장/허위계정도 증가합니다. 이런 계정은 불법 자금을 세탁하기 위한 용도로 많이 사용됩니다(자금세탁방지 업무에서 종종 적발). 이러한 계정은 신규 계정 온보딩 프로세스를 관리하는 측면에서 금융기관 및 PSP에 문제를 일으킵니다. 또한 이러한 계정이 늘어나면서 금융기관과 기업들은 대포통장/허위계정으로 악용되는 계정을 식별, 관리 및 해지하는 프로세스를 강화해야 할 필요성이 더욱 증가하고 있습니다.

규제 당국이 고려해야 할 표준화, 상호 운용성

규제 당국은 지불/결제 환경의 변화에 크게 관여하고 영향을 주기 때문에 아래와 같은 다양한 사항들을 고려하여 정책과 규제의 방향을 수립해야 합니다.

예를 들어 오픈 뱅킹 모델은 API를 사용하여 제3자 금융 서비스 제공자(PSP)가 은행의 소비자 금융 데이터 및 다양한 유형의 기타 거래에 대한 공개 액세스를 제공합니다. 전 세계적으로 오픈 뱅킹 프로그램이 확산됨에 따라, 규제 당국은 이러한 새로운 서비스 제공자를 포함한 많은 뱅킹 및 결제 서비스를 고려하여 감독방향 수립을 검토해야 합니다.

또 다른 예는 지불/결제 생태계에 커다란 변화를 가져오고 있는 EU의 지불 서비스 지침 (PSD2 - payment services directive) 입니다. 전 세계의 규제 당국들은 해당 국가 및 지역에서 PSD2와 유사한 정책을 수립하고 적용을 진행하고 있기 때문에 상호 운용성을 고려하여야 합니다.

추가적으로 규제 당국이 표준화와 상호 운용성을 고려해야 할 영역은 아래와 같으며 해당 영역에서도 마찬가지로 규제 방향과 운영 감독에 대한 가이드를 준비하는 움직임은 계속되고 있습니다.

  • ISO 20022 지불 메시징 표준과 같은 변경 사항
  • P27(범 노르딕 지불체계) 및 SWIFT gpi와 같은 계획으로, 즉시/간편 결제를 국가별 및 글로벌 다중 통화 서비스로의 이동

지급/결제 사기의 주요 유형

지급/결제 사기에는 다양한 유형이 있습니다. 이를 이해하는 한 가지 방법은 무단 결제 사기와 고객이 승인한 사기라는 두 가지 가장 광범위한 범주로 나누는 것입니다. 각 유형의 발생 방식과 이를 차단하기 위해 수행할 수 있는 일을 살펴보겠습니다.

무단 결제 사기(계정 탈취)

무단 결제 사기(또는 계정 탈취)는 사기범이 고객의 자격 증명을 훼손하거나 고객 인증을 우회하여 합법적으로 계정에 접근하는 경우 발생합니다. 일반적으로 이것은 온라인 로그에서 고객 정보를 수집하는 피싱 또는 악성코드를 통해 발생합니다. 사기범이 고객의 계정에 액세스하면 고객 모르게 변경하고 결제할 수 있습니다.

무단 결제 사기로부터 방어

즉시/간편 결제 편의성과 결제 사기 위험 관리를 동시에 충족시키기 위해 은행과 PSP의 거의 대부분이 다단계 인증 및 실시간 이상금융거래 탐지 모니터링을 채택했습니다. 이러한 방식은 사기 통제 방식을 의무화하는 PSD2 규정으로 유럽 전역에 더욱 확산되고 있습니다. 추가적인 보호를 위해 여기에 다른 추가적인 사기 프로파일링 도구를 추가할 수 있습니다. 예를 들어 :

  • 단말정보 수집은 금융기관과 기업이 계정에 액세스하거나 결제하는데 사용되는 기기의 위험을 평가하는 데 도움이 됩니다.
  • 행동 및 생체 인식 은 온라인 세션 동안 사용자와 단말기의 상호작용을 추적합니다.

고급 분석 및 기계 학습을 사용하여 실시간 이상금융거래 탐지 시스템과 결합된 이러한 도구 및 위험 관리 방식은 무단 계정 액세스 및 사기에 대한 효과적인 방어를 제공합니다. 금융기관, 기업과 PSP는 모든 위험거래를 막지는 못하더라도 높은 확률로 공격시도를 차단할 수 있습니다.

지급/결제 수단의 5가지 트렌드. Click on the infographic to learn more.

지급/결제 수단의 5가지 트렌드는 여기서 확인하실 수 있습니다.

또한 사기범들은 종종 "악마는 디테일에 있다"고 말합니다. 일반적으로 고액이지만 거래량이 많지 않고 이상패턴으로 보기엔 추가 증거가 충분하지 않아 경보가 트리거 되지 않게 만듭니다. 그러나 다른 관점에서 보면 새로운 방식이나 대규모 조직적 사기를 발견할 수 있습니다. 링크 분석 또는 소셜 네트워크와 같은 오버레이 기술은 이러한 새로운 위협을 감지하고 CPP(공통 구매 지점)에 의한 공모 행위 (사기 판매자, POS 해킹 또는 악성 프로그램에 감염된 손상된 ATM)를 발견하는 데 도움이 될 수 있습니다 .

고객이 승인한 결제 사기 (보이스피싱, 스미싱 등)

사기범들은 사기탐지 시스템에 탐지되지 않고 더 쉽게 우회하는 방법을 찾았습니다. 그 전술 중 하나는 고객에게 연락하여 스스로 결제를 승인하도록 하는 것입니다. 고객이 승인한 결제 사기는 금융기관과 기업, PSP 및 규제당국이 만들어 놓은 다양한 사기 탐지 방식을 우회할 수 있고 고객이 스스로 본인의 디바이스로 요청하기 때문에 다단계 인증을 모두 통과할 수 있습니다.

고객이 승인한 결제 사기는 탐지하기 어려울 뿐만 아니라 탐지 후의 관리도 어렵습니다. 사기 조사관은 일반적으로 사기 발생 시 “이 사용자가 진짜 고객인가?”와 같은 사항을 먼저 확인하지만, 고객이 승인한 결제 사기의 경우 적용되지 않습니다. 이런 경우의 질문은 다음과 같습니다. “이 고객이 속고 있습니까?” 이것은 확인하기 훨씬 어려운 문제입니다.

고객이 승인한 결제 사기를 축소하기 위해

고객이 승인한 결제 사기에서는 이상 금액 결제 시도, 테스트 결제 모니터링 등의 일반적 제3자 사기 탐지 방법을 활용하기 어렵습니다. 이는 규제 당국, 금융기관 및 기업과 PSP 그리고 공급업체와 같은 모든 결제 조직이 직면한 가장 큰 문제입니다. 전 세계 소비자와 기업이 이러한 유형의 사기에 점점 더 많이 노출되고 있습니다.

고객이 승인한 결제 사기를 해결하는 방법은 대 고객 알림 및 교육을 업계 공동으로 진행하고, 위험이 탐지되면 고객에게 메시지를 전달하여 고객이 올바른 결정을 내리도록 지원을 하는 것입니다. 위험이 탐지된 고객에게 메시지를 전달하는 활동에는 다음과 같은 사항도 포함이 되어야 합니다.

  • 사기 수취인/계좌/디바이스 정보를 업계 공유
  • 대포통장/허위계정 의심 시 계정 블록, 거래 정지, 지급 보류 등의 조치
  • 실제 지급 단계 이전에 계정/거래를 차단할 수 있도록 운영 전략 강화

금융기관과 기업 및 PSP를 위한 핵심 팁

사기범들이 수법을 변형하는 것처럼 금융기관과 기업, PSP는 이상한 행태의 고객 행동을 보다 효과적으로 탐지할 수 있도록 대응 방식을 유연하게 가져가야 합니다. 예를 들어 :

  • 제3 자 금융서비스 제공자(PSP)와의 입금과 송금 서비스를 개별 모니터링이 아니라 통합 모니터링 할 수 있는 적응형 실시간 이상금융거래 탐지 시스템을 운영합니다.
  • 지급인 및 수취인 계정을 보다 다각도로 파악하여 대포통장/허위계정을 보다 효과적으로 탐지합니다.
  • 적응형 머신러닝 기슬과 행동 프로파일링을 사용하여 고객의 이상행동 패턴을 식별하고 찾아냅니다. 이를 통해 더 빠르고 정확하게 진짜 고객을 파악할 수 있습니다.

지급/결제 환경은 끊임없이 변화하고 있으며 그 진화는 금융 산업에 더 많은 기회를 제공합니다. 그러나 잠재적인 새로운 사기 위협에 대한 인식도 새로운 혁신의 채택만큼 동등하고 중요하게 고려되어야 합니다. 금융기관과 기업 및 PSP는 행동 지표에서 이상 징후를 발견하고 빠르게 적응할 수 있는 고급 분석을 사용함으로써 새로운 사기 위협에도 민첩하게 대응할 수 있습니다.

Tags Fraud
Share

About Author

WooSeong Jeon

Principal Systems Engineer, Business Solution

Related Posts

Leave A Reply

Back to Top