보안

신용카드 사기에 대해 지금 알아야할 것

John Mello | CSO 2020.08.03
지불 카드는 소비자와 기업뿐 아니라 사기꾼에게 편리한 구매를 돕는다. 카드 및 모바일 결제 거래 관련 닐슨 보고서에 따르면, 2018년의 지불 카드로 인한 전 세계적인 사기 손실이 278억 5,000만 달러에 달한 것으로 나타났다. 손실 금액은 신용카드 사용자가 100달러 지출할 때마다 10.83달러 수준이며, 실제로 지난해의 100달러당 11.12달러보다 낮다.
 
ⓒ Getty Images Bank

그래서 신용카드 발행업체가 사기를 통제하고 있다고 생각하는 것인지도 모른다. 보안인식 교육업체 노우비포(KnowBe4)의 에반젤리스트 로저 그림스는 “신용카드 후원업체들이 사기보다 더 걱정하는 것은 소비자의 정당한 거래를 불공정하게 차단하는 것이다. 새로운 시스템의 대부분은 신용카드 사기를 더욱 잘 탐지하기 위한 노력을 기울이지 않는다. 이들은 정당한 거래를 차단해 고객을 잃는 것을 방지하기 위해 더 많이 노력하고 있다. 그래서 충격적이게도 대부분의 활동은 실제로 진짜 사기를 줄이는 것이 아니라 ‘긍정 오류(false-positives)’를 방지하는 것에 집중되어 있다”라고 설명했다.

사기는 소비자와 기업에 제한적으로 즉각적인 영향을 미친다. 카드번호가 유출되고 도둑이 흥청망청 써도 책임이 50달러로 제한된다. 소비자와 기업들은 제품 판매자와 신용카드 발행업체에게 손실 비용을 떠넘기고 있지만 이는 향후에 재화와 서비스의 가격 인상 형태로 사기 비용을 감당하게 될 수 있다. 영국의 기술 정보 웹사이트인 컴페리테크(Comparitech)의 프라이버시 지지자 폴 비쇼프는 “궁극적으로 사기의 일부는 우리가 계속 신용카드를 사용하는 한 항상 존재할 것이다. 신용카드에 대한 이자 지불액의 상당 부분이 사기 보상에 사용하고 있다”라고 말했다.

 
신용카드 사기의 범위와 트렌드

카드 발행업체는 EMV(Europay Mastercard Visa) PIN과 칩 기술을 사용해 물리적인 카드의 보안을 강화했다. 사기 방지 및 디지털 거래 관리 솔루션 업체 원스팬(OneSpan)의 수석 관리자 그렉 한셀은 “EMV는 큰 발전이었다. 이 기술을 도입한 국가에서는 카드 제시 사기(card-present fraud)가 하룻밤 사이에 사라졌다. 문제는 온라인으로 이동해 카드 부제 사기(card-not-present fraud)가 증가했다는 점이다”라고 설명했다.

2018년 연방준비제도 이사회(Federal Reserve Board, FRB)가 공개한 연구에서 미국에서 EMV 카드가 발행되고 1년이 지난 후 사기 거래를 위해 물리적인 신용카드를 사용했던 카드 제시 사기가 2015년의 36억 8,000만 달러에서 2016년의 29억 1,000만 달러로 감소했다고 밝혔다. 

한편, 같은 기간 동안 전화 또는 온라인 거래에서 신용카드 번호를 사용하는 카드 부제 사기는 34억 달러에서 45억 7,000만 달러로 크게 증가했다. JSR(Javelin Strategy & Research)에 따르면, 온라인 사기가 지속적으로 증가했으며 현재 카드 부제 사기는 카드 제시 사기보다 81%나 발생할 확률이 높다.

하지만 EMV 기술이 전 세계적으로 도입된 것이 아니어서 글로벌 도적이 파고들 수 있는 틈이 생겼다. 범죄 조직은 EMV를 지원하는 국가에서 사용자가 모르는 사이에 신용카드 정보를 획득하기 위한 하드웨어 기기인 무선 지원 스키머를 ATM 또는 POS(Point Of Sale) 단말기에 심고 데이터를 이런 스키머로부터 EMV를 지원하지 않는 국가의 공범에게 전송할 수 있다. 한셀은 “그들은 해당 정보를 통해 1분 안에 카드를 인쇄할 수 있다. 그리고 EMV에 대해 걱정하지 않고 이 카드를 사용할 것이다”라고 말했다.

한셀은 카드 부제 공격이 정보 없이 확장될 수 있기 때문에 더욱 광범위한 위협이 될 수도 있다고 경고했다. 한셀은 “한 대의 기기에 스키머가 장착되어 있으면 해당 기기를 사용하는 소수의 사람만 위험에 처하거나 스키머를 신속하게 발견할 수 있다. 카드 부제 세상에서는 피싱 공격을 일련의 피해자에게 전송해 신용카드 세부 정보를 제공하도록 하거나 악성코드로 감염시켜 세부 정보를 훔칠 수 있다”라고 설명했다.

P2P 사용자 ID 네트워크 제공업체인 아이덴티크(Identiq)의 공동 설립자 우리 아라드는 전문 사기꾼들은 대규모로 활동하는 경우가 많다고 밝혔다. 아라드는 “전문 사기꾼들은 ROI를 극대화하기 위해 봇넷을 활용해 가능한 많은 사이트를 공격할 뿐 아니라 새로운 공격을 위해 프로그램을 사용해 새로운 ID와 일치하는 IP를 쉽고 빠르게 자동으로 찾아낼 수 있다”라고 말했다.

사기 탐지 시스템이 더욱 정교해지는 반면, 온라인 사기꾼들의 활동을 파악하기가 더욱 어려워졌다. 아라드는 “온라인 사기꾼들은 다양한 종류의 프록시를 사용해 IP를 숨기려고 할 것이다. 더욱 정교한 사기꾼들은 훔친 카드의 청구 주소에 가까운 IP를 표적으로 삼을 것이다. 마찬가지로 그들은 에뮬레이터를 사용해 모바일 기기를 사용하는 것처럼 속이거나 관련된 표준 시간대에 맞춰 컴퓨터의 시간을 변경하거나 가상머신 또는 삭제하거나 탈옥할 기기를 사용해 정상적인 기기를 사용하는 것처럼 꾸밀 수 있다”라고 덧붙였다.

신용카드 사기가 기업화 되었으며 너무 정교해서 정당한 사업의 특성을 갖게 되었다. 예를 들어, 명확한 분업화가 발달했다. 보안 및 분석 제품 업체 앱게이트(AppGate)의 제품 관리 책임자 브라이언 자딘은 “지난 몇 년 동안 여러 데이터 유출을 통해 악성코드 제작자가 경제 시스템을 해킹하는 사람들과 해킹된 신용카드 정보를 패키지화해 판매하는 사람들과 대규모로 조직적으로 협력하는 것을 목격했다”라고 말했다.

자딘은 "디지털 지갑도 신용카드 도둑들의 표적이 됐다. 암시장에서 거래되는 도난당한 신용카드 정보를 사용해 예금이 없는 계좌로 잔액을 입금한다. 그리고 잔액을 P2P 결제를 이용해 다른 사람에게 송금, 사용 시 추적할 수 없는 기프트 카드나 선불카드를 구매한다. 그리고 이런 결제 유형의 카드는 온라인에서 완벽하게 익명으로 사용할 수 있다”라고 설명했다.

러시아어를 사용하는 지하 조직이 2000년대 초반에 신용카드 도난의 선두주자였으며 여전히 사기를 주도하면서 서비스형 사이버 범죄 모델을 구축하고 있다. 기업용 사이버보안 업체인 트렌드 마이크로의 CCO(Chief Cybersecurity Officer) 에드 카브레라는 “이들은 초보 사이버 범죄자부터 숙련자에 이르는 E2E 서비스를 개발해 악용 기법의 혁명을 이루어냈다”라고 밝혔다.

지난 수년 동안 사기꾼들의 구매 습관도 바뀌었다. 사이버 범죄자들은 현금으로 바꾸기가 어렵고 사법기관에서 쉽게 추적할 수 있는 물리적인 재화를 멀리하고 있다. 컴패리테크의 비쇼프는 “일반적으로 그들은 기프트 카드, 암호 화폐, 디지털 재화 등 더 추적하기 어려운 무형의 것들을 구매한다. 그들은 카드 포인트 프로그램에서 보상을 얻으려 시도할 수도 있다”라고 말했다.

하지만 신용카드 도둑들은 결국 자멸할 수 있다. 비쇼프는 “훔친 신용카드의 공급은 많지만 이를 사용할 범죄자들의 수요는 충분하지 않은 상황이다. 이로 인해 다크 웹에서 훔친 신용카드의 가격이 몇 달러 수준으로 낮아졌다”라고 말했다.


지불 카드 사기의 종류

- 계정 탈취(Account takeover)
사이버 범죄자가 계정의 자격 증명을 획득하게 되면 해당 계좌와 연동된 아무 지불 카드나 사용해 물품을 구매할 수 있다. 또한 계정 주인의 프로필을 확인하고 거기에 저장된 신용 정보를 복사해 계좌를 통하지 않고 물품을 구매하는 데 사용할 수 있다. 예를 들어, 누군가 아마존 계정을 해킹한 경우 해당 계정과 연동된 지불 수단을 통해 물품을 구매하고 물품을 배송할 주소를 추가할 수 있다.

계정 해킹에 사용된 자격 증명은 다크 웹에서 구매하거나 속임수로 획득하는 등 다양한 방법으로 획득할 수 있다. 온라인 사기 예방 솔루션 업체 볼스터 시큐리티(Bolster Security)의 뎁 래드클리프는 “한 사람이 계정에 문제가 있다는 이메일이나 텍스트 경고 메시지를 수신한다. 그들은 링크를 따라가고 자격 증명을 로그인하는 가짜 사이트로 이동하게 되며, 공격자를 이를 사용하여 계정을 획득하게 된다”라고 설명했다.

- 스키머와 시머(Shimmer)
스키머는 카드의 자기 띠에서 지불 카드 정보를 획득한다. 시머는 EMV 카드에서 데이터를 강탈한다. 일반적으로 정당한 거래를 완료하기 위해 사용되는 정보를 훔치기 위해 고안되어 ATM 또는 POS 단말기에 장착되는 하드웨어 기기다. 하드웨어를 심는 일은 노동 집약적일 수 있기 때문에 사기꾼들은 악성코드를 선택하고 POS를 감염시키는 경우가 많다.

- 폼재킹(Formjacking)
스키밍(Skimming) 악성코드를 통해 수천 개의 전자상거래 사이트에서 쇼핑 카트를 감염시킨 최소 7개의 범죄 조직으로 구성된 메이지카트(Magecart)로 인해 인기 있는 온라인 사기 형태가 되었다. 범죄 조직의 눈에 잘 띄는 표적으로는 티켓마스터(Ticketmaster), 영국항공(British Airways), 뉴에그(Newegg) 등이 있다.

네트워크 보안 업체인 주니퍼 네트웍스(Juniper Networks)의 위협 연구소 책임자 모우니르 하하드는 “폼재킹은 가장 많이 활용되는 기법이다. 악성 스크립트가 해킹된 상업 기업의 사이트의 결제 페이지에 주입되고 쇼핑하는 사람이 입력한 신용카드 정보를 훔쳐 공격자에게 전송한다”라고 설명했다.

- 취약성 악용(Exploiting vulnerabilities)
소프트웨어 결함을 악용해 기기에서 신용카드 데이터 등의 모든 정보를 훔칠 수 있다. 예를 들어, 메이지카트 공격은 매그니토 기반 온라인 스토어용 플러그인 MAGMI의 버그를 이용해 사이트에 악성코드를 심고 지불 정보를 훔친다.

- 피싱(Phishing)
사용자에게 이메일의 링크를 클릭하는 것에 대해 아무리 경고해도 고쳐지지 않는다. 일반적으로 이런 링크를 클릭하면 방문자의 신용카드 정보를 훔치거나 컴퓨터에 악성코드를 심으려고 시도하는 악성 웹 사이트로 이어진다. 애플리케이션 및 인프라 보안 제공업체 사빈트(Saviynt)의 사이버보안 전문가 멜로디 J. 카우프만은 “악성코드는 모든 텍스트를 훔치는 단순한 키로거(Keylogger)부터 구체적으로 신용카드와 관련된 데이터를 찾아 분석하는 더욱 복잡한 스타일까지 다양할 수 있다”라고 말했다.

- 내부자 위협
금융기관, 신용카드 제조사, 식당, 소매 기업 등의 부도덕한 직원이나 기타 신용카드를 취급하는 사람이 사기에 가담할 수 있다.


사기 방지 규정

주요 제공업체의 신용카드를 취급하는 기관은 PCI DSS(Payment Card Industry Data Security Standard)를 준수해야 한다. 제품 판매자, ISV, 카드 소유주 데이터를 저장, 처리, 전송하는 사람, 카드 소유주 데이터 보안에 영향을 미치는 서비스 제공자는 다음을 포함해 PCI DSS의 요건을 충족해야 한다.
 
  • 카드 소유주 데이터를 보호하기 위해 방화벽 구성을 설치하고 유지보수 한다.
  • 시스템 비밀번호 및 기타 보안 파라미터에 공급업체가 제공한 기본값을 사용하지 않는다.
  • 저장된 카드 소유주 데이터를 보호한다.
  • 공개 네트워크에서 카드 소유주 데이터 전송 시 암호화한다.
  • 안티바이러스 소프트웨어나 프로그램을 사용하고 주기적으로 업데이트한다.
  • 안전한 시스템과 애플리케이션을 개발하고 유지보수 한다.
  • 카드 소유주 데이터의 액세스를 반드시 알아야 하는 기업들로 제한한다.
  • 컴퓨터에 액세스하는 사람마다 고유한 ID를 할당한다.
  • 카드 소유주 데이터에 대한 물리적인 액세스를 제한한다.
  • 네트워크 자원 및 카드 소유주 데이터에 대한 모든 액세스를 추적하고 모니터링한다.
  • 보안 시스템과 프로세스를 정기적으로 시험한다.
  • 모든 직원의 정보 보안을 처리하는 정책을 유지한다.

사빈트의 카우프만은 “PCI는 기관과 기업이 의무적인 통제, 침투 테스트, 연간 감사를 통해 자체 신용카드 거래 및 저장된 카드 데이터를 보호하는 데 많은 도움을 주었다”라고 말했다. 카우프만은 “이로 인해 사기 거래가 제한되는 것은 아니지만, 카드 처리자를 해킹해 수천 개의 카드를 훔치기가 어려워지기 때문에 사기 가능성이 제한된다”라고 덧붙였다.

산업계에서는 사기 문제를 해결하기 위해 더욱 심도 깊은 협업 형태를 연구하기 시작했다. 아이덴티크의 아라드는 “많은 프로젝트가 데이터 공유 문제 때문에 방해를 받았지만 제공자가 없는 새로운 옵션이 등장하기 시작하면서 실제로 개인 사용자 데이터를 공유하지 않고 데이터 수준에서 협업할 수 있게 되었다. 기업과 산업 기업이 더 긴밀하게 협력할 수 있게 되면 사기꾼들과 더욱 효과적으로 싸울 수 있기 때문에 앞으로의 행보가 흥미로울 것이다”라고 예상했다.


신용카드 사기를 완화하는 방법 

지불 카드 사기를 방지하기 위해 인정받는 우수 사례는 다음과 같다.
 
  • 신용 카드 데이터가 들어 있는 데이터베이스를 암호화한다.
  • 전자상거래 서버와 스키머가 사용하는 알려진 지휘 및 통제 서버와의 통신에 대한 반복적인 점검 수단을 마련한다.
  • 전자상거래 사이트의 취약점과 악성코드를 주기적으로 검사한다.
  • 파트너와 콘텐츠 제공 네트워크가 로딩한 서드파티 악성코드를 철저히 조사한다.
  • 쇼핑 카트 소프트웨어와 기타 서비스를 최신 패치 상태로 유지한다.
  • 강력한 관리 비밀번호를 사용하고 전자상거래 웹 사이트의 관리 포털에 대한 액세스를 제한한다.
  • 다크 웹에 도난당한 카드 데이터가 있는지 모니터링한다.
  • 이상 탐지 소프트웨어를 사용해 의심스러운 활동을 확인하여 표시한다.
  • 고객이 특히 개인 및 지불 정보 변경에 대해 다중 인증을 선택하도록 독려한다.
  • 고객에게 지불 카드가 해킹되었을 때의 조짐을 확인하는 방법에 대해 교육한다. 의심스러운 활동을 보고하기 쉽도록 한다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.