디지털 결제 분야의 글로벌 선도기업인 비자(Visa)가 ‘머니20/20 US(Money20/20 US)’를 앞두고 ‘사기 현황: 2024년 가을 반기별 위협 보고서(State of Scams: Fall 2024 Biannual Threats Report)’를 발표했다. 이 최신 보고서에서는 은행과 소비자를 겨냥한 여러 새로운 위협과 사기 수법을 밝히고, 소규모 물리적 범죄가 놀랍도록 다시 증가하고 있다고 전한다.
비자의 최고 리스크 및 고객 서비스 책임자인 폴 파바라(Paul Fabara)는 “비자는 지난 5년간 기술과 인프라에 110억달러를 투자했으며, 비자의 네트워크는 그 어느 때보다 보안이 강화되었다”고 설명했다. 이어 그는 “결제가 더 안전해지면서 사기범들은 생태계에서 가장 취약한 고리인 소비자를 겨냥한 검증된 수법으로 회귀하고 있다”며 “비자는 결제 방식에 관계없이 거래 전반의 위험을 제거하기 위해 노력하고 있지만, 그렇다고 소비자가 경계를 늦춰서는 안된다”고 전했다.
보고서에서 강조된 주요 주제는 다음과 같다.
· 다시 급증하는 물리적 절도: 지난 6개월 동안 물리적 절도가 증가하고 있으며, 사기범들은 다시 기본 수법으로 돌아가 절도와 피해자의 인식 사이의 틈을 이용하고 있다. 도난 후 범죄자들이 절도품을 이용하는 가장 흔한 방식은 기프트 카드나 실제 상품을 구매하여 재판매하거나 심지어 온라인에서 카드 번호를 사용해 현금 송금을 하는 것이다. 이와 유사하게 2023년 3월에 비자가 식별했던 소위 ‘디지털 소매치기’라는 새로운 위협은 사이버 범죄자들이 모바일 POS 기기를 사용하여 무방비 상태의 소비자의 지갑에서 결제를 유도하는 수법이며, 이는 주로 사람이 붐비는 지역에서 발생했다.
· 정부 사칭 사기: 사기범들이 USPS, FBI, 국세청 등 정부 기관을 사칭하는 사기에서 피해자들이 속출하고 있다. 2024년 첫 3개월 동안 미국의 정부 사칭 사기 피해자들은 평균 1만4000달러의 현금을 잃었으며, 총 피해액은 2000만달러가 넘는다. 또한 2022년과 2023년 사이에 정부 사칭 사기로 인한 현금 결제 손실액은 90% 증가했다[1]. 정부를 사칭한 사기 수법이 현금으로 이동함에 따라 은행 ATM에서 고객의 거액 현금 인출 사례가 증가하게 될 것이라고 비자는 예상했다.
· 인증 우회 사기의 증가: 2단계 인증을 우회할 방법을 찾고 있는 사기꾼들은 일회용 비밀번호 피싱 사기에 더욱 몰두하고 있다. 점점 더 그럴듯한 문자, 이메일 또는 전화를 통해 범죄자가 전체 계좌의 자금과 정보에 접근할 수 있게 되기 때문이다. 이러한 사기가 더 설득력을 갖춰가고 있는 이유는 부분적으로 생성형 AI의 확산 때문이다.
이 보고서에서 강조된 많은 사기가 소비자를 겨냥한 것이지만, 이 연구에는 금융기관과 가맹점에 대한 주요 시사점도 포함되어 있다.
· 주유소 사기: 소액 승인에 성공한 후 사기범이 총액을 충당할 금액이 충분하지 않은 계정을 사용하여 주유소에서 거액의 연료를 구매하는 사기 수법이다. 지난 6개월 동안 미국, 남미 및 카리브해 지역의 카드 발급사를 대상으로 하던 활동이 중앙 유럽, 중동 및 아프리카의 발급사로 대이동을 하면서 이 사기가 전 세계로 확산되는 추세이다.
· 열거 공격: 빠른 속도와 대규모로 결제 데이터를 테스트 (https://cts.businesswire.com/ct/CT?id=smartlink&url=https%3A%2F%2Fusa.visa.com%2Fabout-visa%2Fnewsroom%2Fpress-releases.releaseId.20661.html&esheet=54140741&lan=en-US&anchor=test+payment+data+with+scale+and+speed&index=1&md5=06c760512185fa50c666b2269374e43b)하여 소비자 계좌 정보에 액세스하는 사이버 범죄자들이 가맹점을 지속적으로 노리고 있다. 열거 공격, 즉 일반적인 결제 데이터를 자동으로 테스트하여 계좌번호를 추측하는 공격은 여전히 결제 생태계에 가장 큰 위협으로 남아 있으며, 열거 공격이 성공한 이후 그 해에는 심각한 사기 사건이 발생한다. 작년에 가장 큰 영향을 받은 업종으로는 레스토랑, 정부 서비스, 자선 및 사회 서비스 단체 등이 있다.
· 토큰 프로비저닝 사기: 토큰화는 여전히 가장 안전한 결제 수단 중 하나 (https://cts.businesswire.com/ct/CT?id=smartlink&url=https%3A%2F%2Fusa.visa.com%2Fabout-visa%2Fnewsroom%2Fpress-releases.releaseId.20251.html&esheet=54140741&lan=en-US&anchor=Tokenization+remains+one+of+the+safest+ways+to+pay&index=2&md5=29dc8484f7affd0804125c7bbaad0009)이지만, 기술이 탄력을 받는 가운데 사기범들이 불법적으로 토큰을 획득하고 금융기관의 감시망을 피해 현금화하고 있다. 최근 비자는 사이버 범죄자들이 초기 프로비저닝 사기 이후 탐지를 피하고 싶어서 침해된 계좌에서 현금을 인출할 때 상당한 시간 지연을 두는 점에 주목했다.
· 랜섬웨어: 더욱 정교해진 랜섬웨어 공격이 더 많은 기업과 개인에게 영향을 미치고 있다. 비록 이 보고서의 해당 기간에 랜섬웨어 공격 시도는 전체적으로 12.3% 감소했지만, 클라우드 또는 웹 호스팅 서비스와 같은 써드파티 제공업체를 노리는 공격은 24% 증가하여 공격당 사기 발생의 기회는 증가했다. 써드파티 제공업체에 대한 단 한 번의 공격으로 약 2620개의 조직과 7720만 명의 개인이 영향을 받았으며, 이러한 써드파티 제공업체는 범죄자들의 주요 표적이 되고 있다[2].
이 보고서는 새롭게 확장된 비자의 결제 사기 방지팀(Payment Fraud Disruption team)에서 발간한 첫 보고서다. 이 팀은 현재 결제 생태계 위험 및 통제(Payment Ecosystem Risk and Control, PERC) 팀에 속해 있으며, 리스크 통제를 혁신하고 인텔리전스 기반 솔루션을 활용하며 비자의 규칙 및 표준을 준수함으로써 글로벌 결제 생태계를 위협과 악용으로부터 보호하기 위해 노력하고 있다.
보고서 전문은 여기 (https://cts.businesswire.com/ct/CT?id=smartlink&url=https%3A%2F%2Fcorporate.visa.com%2Fen%2Fsites%2Fvisa-perspectives%2Ftrends-insights%2Fdocuments%2Fvisa-pfd-biannual-threats-report-fall-2024.pdf&esheet=54140741&lan=en-US&anchor=HERE&index=3&md5=34325c34960a7f579cc0b75eef983e14)에서 확인할 수 있다. 비자가 사기를 방지하고 결제 생태계를 보호하기 위해 기울이는 노력에 대해 자세히 알아보려면 visa.com/security를 방문하면 된다.
비자 소개
비자(뉴욕증권거래소: V)는 200여 개국과 영토에 걸쳐 소비자, 가맹점, 금융기관 및 정부 기관 간의 거래를 촉진하는 디지털 결제 분야의 세계적 리더이다. 당사의 임무는 가장 혁신적이고 편리하며 신뢰할 수 있고 안전한 결제 네트워크를 통해 세계를 연결하여 개인, 기업 및 경제가 번영하도록 지원하는 것이다. 우리는 어디서든 모든 사람을 포용하는 경제가 어디서든 모두를 향상시킨다고 믿으며, 액세스를 자금 이동의 미래의 근간이라고 본다. 웹사이트: Visa.com
[1] 2024년 가을 비자 반기별 위협 보고서
[2] 2024년 가을 비자 반기별 위협 보고서
이 보도자료는 해당 기업에서 원하는 언어로 작성한 원문을 한국어로 번역한 것이다. 그러므로 번역문의 정확한 사실 확인을 위해서는 원문 대조 절차를 거쳐야 한다. 처음 작성된 원문만이 공식적인 효력을 갖는 발표로 인정되며 모든 법적 책임은 원문에 한해 유효하다.
사진/멀티미디어 자료: https://www.businesswire.com/news/home/54140741/en
VISA Inc. 다른 기사 보기