자동화된 카드 테스트 공격: 디지털 사기의 증가하는 위협
공격자들은 카드 테스트 공격을 수행하기 위해 자동화를 점점 더 많이 활용하고 있으며, 봇넷과 스크립트를 무기로 카드 없는 거래(CNP)에서의 사기를 쉽게 하고 있습니다. 이러한 우려스러운 추세로 인해 작년 한 해에만 11억 달러의 사기 손실이 발생했습니다.
속도와 규모의 카드 테스트 공격
카드 테스트 공격은 빠르고 대규모로 진행됩니다. 공격자들은 고급 자동화 기술을 활용하여 짧은 시간 안에 수천 건의 자동화된 봇넷 공격을 시작합니다. 이러한 능력은 전통적인 사이버 방어를 초월하여 탐지와 예방을 극도로 어렵게 만듭니다.
사이버 전술의 진화
사이버 범죄자들은 기술을 지속적으로 정교화하며, 단순한 탐지를 피해가는 최첨단 자동화 방법을 포함시킵니다. 그들은 생성형 AI와 대형 언어 모델(LLM) 등 사용 가능한 모든 최신 기술과 예전의 자동화 도구를 활용하고 있습니다.
Telesign의 CEO Christophe Van de Weyer는 이에 대해 언급하며, "이들은 생성형 AI와 같은 기술을 일찍 도입하여 공격의 질과 규모를 향상시킵니다."라고 말했습니다. 그는 또한 사기범들이 사회공학 전술을 개선해 직원을 가장해 IT 부서가 비밀번호와 MFA 장치를 재설정하도록 유도하는 경향이 있다고 덧붙였습니다. 이로 인해 전 세계적인 사기는 6조 달러 규모의 산업으로 확대되었습니다.
Michael Jabbara, VISA의 수석 부사장은 상거래의 디지털화와 온라인 소매의 확산으로 인해 카드 테스트 공격이 급증하고 있다고 언급했습니다. VISA의 데이터에 따르면, 카드가 열람된 계정의 33%가 공격자가 결제 정보에 접근한 지 불과 5일 만에 사기를 경험했습니다.
카드 테스트 공격의 메커니즘
카드 테스트 공격이 특히 위험한 이유는 고유한 결제 값 조합(주계좌번호(PAN), 카드 검증 값(CVV2), 만료 날짜, 우편번호 등)을 신속하게 제출하여 CNP 거래를 뚫을 수 있기 때문입니다. 이러한 공격은 사용자 피드백을 제공하는 시스템을 목표로 하여 공격자가 생성한 추측이 정확할 때를 알 수 있게 합니다.
VISA의 연구에 따르면, 카드 테스트 공격은 강력한 비율 제한이나 검증 조치가 부족한 전자상거래 플랫폼의 취약점을 자주 악용합니다. VISA는 상인에게 CAPTCHA를 구현하고, 이상 거래를 모니터링하며, 강력한 암호화와 다중 인증을 도입하여 위험을 최소화할 것을 권고합니다.
AI의 사기 방지 역할
사기 전술의 정교함이 증가함에 대응하여, VISA는 2019년에 Visa Account Attack Intelligence (VAAI)를 출시하여 결제 사기 공격의 급증에 맞서 싸우고 있습니다. 이 솔루션은 위반, 사이버, 결제 정보 통찰력을 통합한 통합 방어 방식을 통해 CNP 거래를 식별하는 데 중점을 두고 있습니다.
이제 VISA는 새로운 genAI 기반의 VAAI Score로 그 기능을 강화하여 실시간으로 카드 테스트 공격을 평가합니다. 각 거래는 위험 점수를 부여받아 발급자가 신속하게 정보에 입각한 결정을 내리고 합법적인 고객 거래를 보호하면서 재정 손실을 최소화할 수 있도록 합니다. VAAI Score는 VisaNet을 통해 공유되어 상인과 파트너에게 사기 거래 가능성에 대한 즉각적인 통찰을 제공합니다.
VAAI Score는 거래가 처리된 후 20밀리초 이내에 위험 평가를 생성하며, 182개 이상의 위험 속성을 분석하여 사기 가능성을 평가합니다. 150억 건 이상의 VisaNet 거래를 분석하여 개발된 이 점수는 이전 모델 대비 여섯 배의 기능을 자랑하여 사기 탐지 능력을 크게 강화하고, 거짓 긍정율을 85% 줄일 수 있습니다. 생성형 AI와 기계 학습을 통합하여 VAAI Score는 CNP 보안 조치를 우회하려는 공격자의 시도를 지속적으로 식별합니다. VISA는 사기 방지 및 네트워크 보안을 강화하기 위해 AI와 기계 학습 기술에 100억 달러 이상을 투자하여, 단일 연도에 400억 달러의 사기 거래를 차단하는 데 성공했습니다.
실시간 정확성 및 속도의 도전
Jabbara는 실시간 위험 평가의 중요성을 강조하며, VisaNet이 ISO 기준을 기반으로 파트너 및 상인과 원활하게 통합하여 VAAI Score를 배포한다고 설명했습니다. “우리는 거래 메시지 내에서 VAAI Score를 제공합니다.”라고 그는 말하며, 고객이 특정 운영 요구에 따라 위험 관리 전략을 맞춤화할 수 있도록 합니다.
사기 탐지 분야는 빠르게 진화하고 있으며, Jabbara는 기업이 전체 고객 여정 동안 사기 위험을 평가할 필요성을 강조했습니다. Telesign도 유사한 목적으로 AI와 기계 학습을 활용하고 있습니다.
“Telesign에서는 Intelligence API를 통해 위험과 그 이면의 패턴에 대한 통찰력을 제공합니다.”라고 Van de Weyer는 언급했습니다. “전화번호 활동, 이메일 사용, IP 주소, 통화 패턴을 분석하여 위험한 번호를 식별하고, 이를 통해 위험 추천 및 점수를 개선하여 인증 프로세스를 강화합니다.”
순위 목록
