비자의 최근 보고서에 따르면 2023년 결제 생태계에 대한 위협은 주로 금융 사기로 구성되며, 많은 사이버 공격자가 우위를 점하기 위해 AI 기술을 점점 더 많이 채택하고 있는 것으로 나타났다.
Foundry
2023년 6월부터 2023년 12월까지 7개월 동안의 위협 데이터를 기반으로 작성된 비자의 보고서에 따르면, 2023년 인기를 끈 주요 사기 유형은 돼지 도살 사기(pig butchering, 초기에는 돈을 불려주고 안심시킨 뒤 투자 규모를 높여 거액을 가로채는 수법), 상속 사기, 인도주의적 구호 사기, 삼각 사기(triangulation fraud, 혹은 삼자 사기)가 대표적이다.
돼지 도살 스캠은 2023년 발생한 주요 사기 수법으로, 피해자를 속여 겉으로는 건전해 보이는 투자 계획에 암호화폐를 기반으로 거액을 기부하도록 유도하는 신뢰 사기 또는 투자 사기다. 비자는 위협 행위자가 휴가철 '로맨스 스캠'을 암호화폐 기반 돼지 도살 미끼로 진화됐다고 설명했다.
비자의 사기 서비스 글로벌 책임자 마이클 자바라는 "금융 사기의 범위와 폭이 놀라울 정도로 증가하고 있으며, 범죄자들은 전 세계적으로 상당한 수익을 올리고 있다. 특히 사기의 주요 채널인 소셜 미디어와 이메일 플랫폼에서 경계를 늦추지 말아야 한다. 이런 위협을 완화, 예방, 차단하고 전 세계 소비자와 기업을 보호하는 베스트 프랙티스를 구현해야 할 책임이 그 어느 때보다 막중해졌다"라고 말했다.
이어 자바라는 "돼지 도살 사기에서는 소셜 미디어, 데이트 웹사이트, 다양한 앱을 사용해 피해자를 온라인 관계로 유인한 후 특정 암호화폐 거래 플랫폼에 투자하도록 유도한다. 이런 사기는 발렌타인데이나 새해처럼 사람이 외로움을 느끼고 독신에 대한 불안감이 높아지는 연말연시에 발생하는 경향이 있으며, 공격자는 이런 심리 상태가 고조된 취약한 개인을 노린다"라고 지적했다.
비자는 설문조사에 참여한 응답자 중 10%가 돼지 도살 사기의 표적이 된 것으로 나타났다고 보고했다. 2023년 4월, 미국 법무부는 돼지 도살 사기와 관련해 1억 1,200만 달러(약 1,486억 원) 이상의 자금을 압수한 바 있다.
보고서 집필팀은 공격자가 기업체의 시스템 취약점과 개인 카드 소지자 데이터를 악용해 부정한 금전적 이득을 취하기 위해 생성형 AI와 같은 혁신적인 기술을 지속적으로 채택하고 적용할 가능성이 있음을 강조하며, "범죄자들은 AI와 다른 기술을 휴가철 미끼와 결합해 가장 설득력 있는 프로필을 만들기 위해 AI와 딥페이크를 사용한 데이트 프로필 등 더욱 그럴듯한 피싱 캠페인을 전개하기 시작했다. 또한 초기 안내와 같은 공격 단계를 AI 기술에 아웃소싱하기 시작했다"라고 설명했다.
한편 공격자가 이메일, 문자 메시지, 전화 또는 소셜 미디어 게시물을 보내 피해자가 바이러스를 다운로드하거나 개인 또는 금융 정보를 유출하도록 속이는 피싱 기반 사기도 2023년 급증세를 기록했다. 특히 응답자 15%는 오래전에 세상을 떠난 친척이 남긴 유산에 대해 피해자에게 통보하는 상속 사기의 표적이 됐는데, 합법적으로 보이는 로펌이나 기타 전문 기관을 사칭하는 경우가 많았다. 비자에 따르면 비밀, 긴급성, 개인 정보 요청, 미래 이익을 확보하기 위한 초기 지불 필요성 등이 사기를 나타내는 징후다.
또한 이스라엘-하마스 분쟁과 같은 비극적인 시사에 대해 소셜 미디어를 통해 기부를 요청하는 인도주의적 구호 사기가 증가했으며, 분쟁과 관련된 사기 이메일이 500건 이상 유포됐다. 삼각 사기는 한 달에만 최대 10억 달러(약 1조 3,000억 원)의 손실을 입힌 것으로 조사됐다. 삼각 사기에서 공격자는 결제 정보를 수집하기 위해 수요가 많은 제품을 저렴한 비용으로 제공하는 불법 온라인 상점을 만들어 구매자를 끌어들인다.
랜섬웨어 공격은 2023년 결제 생태계 전반에 걸쳐 꾸준히 증가했으며, 그중 59%가 미국에서 발생했다. 2023년 6월부터 12월까지의 공격은 2022년 같은 기간보다 92% 증가했다. 결제 업체의 환불 프로세스인 구매 반품 승인(Purchase Return Authorization, PRA)을 악용한 사기로 인해 은행은 공격당 11만 5,000달러(약 1억 5,000만 원)의 손실을 입은 것으로 나타났다.
보고서는 사기범이 은행이 구현한 사기 방지 시스템의 취약점을 파악하기 위해 AI를 점점 더 많이 채택하고 있다고 지적했다. 자바라는 "AI, 고급 ML 모델, AI 챗봇이 민감한 정보를 훔치기 위한 악성 코드 조작에 점점 더 많이 사용되고 있다. 사기성 AI 프로그램 제작 외에도 각 문자 끝에 공백이 포함된 악성 프롬프트를 통해 일반적인 LLM 응답을 제한하는 제어를 우회하고 합법적인 LLM이 악의적으로 응답하도록 LLM을 학습시킬 수 있다. '마스터키(Masterkey)' 모델로 알려진 수법으로 위협 행위자는 기본적으로 LLM을 '탈옥'해 자신의 이익을 위해 악의적인 응답을 생성할 수 있다"라고 경고했다.
자바라는 가짜 자선 단체를 경계하고, MFA(Multi-factor Authentication)을 활성화하고, 수신 메시지와 이메일을 확인하고, 직접/전신송금 및 P2P 모바일 애플리케이션보다 안전한 결제 방법을 사용하는 것이 금융 사기를 피할 수 있는 대표적인 베스트 프랙티스라고 조언했다.
editor@itworld.co.kr
원문보기:
https://www.itworld.co.kr/news/330398#csidx3f5b93a4e02b5209fbdc4791529bbf6