‘선구매 후지불’ 소매업체를 겨냥한 위협과 이를 방지하는 방법

많은 소매업체가 선구매 후지불(Buy Now, Pay Later, BNPL)을 허용함으로써 제품 판매를 확대하는데 박차를 가하고 있다. 고객은 판매 시점(Point of Sales, POS)에 즉시 신용을 얻어 추후에 결제하거나 추가 비용 없이 분할 납부도 가능하다. 즉, 한 번에 모든 비용을 지불하지 않아도 된다. 이런 점은 고객에게 매력적으로 다가올 수 있다. BNPL은 특히 블랙 프라이데이나 휴가 시즌 등 분주한 쇼핑 기간에 많이 사용되는 것으로 밝혀졌다.
 

하지만 BNPL은 온라인 사기꾼의 주목을 끌고 있기도 하다. BNPL 시장은 신생 공급업체 및 제품이 시장에 진입하면서 성장하고 있지만 사이버 범죄자가 BNPL 프로세스 악용을 시도하고 있어 소매업체에 대한 사기 위험도 증가하고 있다.
 

BNPL에 중요한 2022년

법무법인 스티븐슨 로(Stephenson Law)가 최근 발표한 핀테크 동향 보고서에 따르면, 올 한 해는BNPL에 중요한 시기일 것이다. 작년 BNPL은 신용카드, 대출, 당좌 차월, 전통적인 POS 금융에 대한 세간의 이목을 상당 부분 잠식했다. 스티븐슨 로는 “작년에는 BNPL 업체가 증가하는 추세를 보였다. 특히, 클라나(Klarna)가 지배적이고 세계적인 입지를 확고히 다지면서, 수많은 업체가 BNPL의 인기에 서둘러 편승했다”라고 말했다.

그 중에서도 몬조(Monzo)는 자체 BNPL 상품을 출시했다. 버진 머니(Virgin Money)는 BNPL 기능이 탑재된 디지털 지갑을 개발한다고 발표했다. 보고서에 따르면, “기타 BNPL 업체는 브라우저 확장 프로그램 형식으로 BNPL 구매를 지원하고 있다.

한편, 영국의 금융행위감독청(Financial Conduct Authority, FCA)은 2022년 BNPL에 대한 규제를 시행해 소비자 보호를 강화하고 BNPL이 현행 신용 구매 표준에 부합하도록 할 것이라고 밝혔다.
 

BNPL 사기 위험에 처한 소매업체

시장의 번영과 규제 감독의 증가는 BNPL 업체와 소비자 관점에서 긍정적인 현상이지만 BNPL을시행하는 소매업체는 사기 행위를 우려할 것이다. 포레스터의 수석 애널리스트인 앤드러스 서는 CSO와의 인터뷰를 통해 “BNPL은 소매업체에 있어 이해 및 측정이 어렵고 모호한 거래 경로이다. 신용도를 판정할뿐만 아니라 지불을 조정하기도 한다. 그래서 사기꾼이 거래 생태계를 악용할 수 있는 기회가 생긴다”라고 설명했다.

스티븐슨 로 핀레그(FinReg) 담당자인 개러스 맬너에 따르면, BNPL은 다른 사용자로 위장했지만 최소한의 사용자 정보만 가진 사이버 범죄자가 사기 행위를 쉽게 벌일 수 있는 빌미를 제공한다.예를 들어, 웹 스토어의 경우 사용자의 이메일 주소와 비밀번호 만으로도 전체 구매 과정을 뚫을 수 있다.

맬너는 플랫폼에 내장된 BNPL 상품의 문제점은 소매업체가 승인된 계정을 통한 로그인을 무조건 정당한 것으로 간주하고 추가 대출을 허용하는 것이라고 덧붙였다. 또한, 그 결과, 사기꾼이 사용자 계정에 액세스할 경우, 해당 사용자의 이름으로 사전 승인된 신용으로 상품을 구매한 후, 추적이 불가능한 주소로 배송되도록 할 수 있다고 경고했다.

BNPL 사기가 발생하면 소매업체는 일반적으로 손해를 입기 때문에 위험이 크다. 사기꾼은 결제 없이 상품을 획득한다. 앤드라스 서는 소매업체의 경우 가능하면 사기 관리 및 회수에 따른 비용을 부담해야 한다고 강조했다.

맬러는 CSO와의 인터뷰에서 “BNPL 업체는 소매업체 웹 스토어의 보안 침해로 인해 사용자가 입은 피해에 대해 법적으로 어떤 책임도 지지 않을 것이다”라고 말했다. 또한, “사용자를 위한 거래 조항에는 구매자 보호 문구가 포함될 것이다. 따라서 소비자는 상품을 받기 전까지 비용을 지불할 필요가 없다. 사기 행위가 발생하면 흔히 소매업체가 금융 부담을 진다”라고 덧붙였다.
 

사이버 범죄자가 BNPL 사기 행위를 벌이는 방법

사이버 범죄자는 다양한 수법을 동원해 BNPL 사기 행위를 벌이지만 계정 탈취(Account Takeover, ATO)나 허위 계정을 통한 사례가 대부분이다. 콴텍사(Quantexa)의 금융 솔루션 EMEA 책임자인 로스 오브리는 “ATO가 가장 보편적이다. 계정을 탈취해 구매를 하는 것이다. 피해자는 청구서를 즉시 받지 않기 때문에 자신이 표적이었다는 사실을 아는 데 상당한 시간이 걸린다. 매개체만 다를 뿐, 카드 부재(Card-Not-Present, CNP) 사기와 유사하다고 볼 수 있다”라고 말했다.

SIM 스와핑은 사기꾼이 타인의 계정에 접근하고, 전화번호와 같은 인증 정보를 변경해 3D 보안 인증(3DS) 등의 보안 수단을 회피하는 데 활용하는 방식이다. 오브리는 “허위 계정은 마치 실제 계정인 것처럼 보이고, 탈취한 신용카드 정보를 이용해 신원 검사를 통과하도록 설계된다”라고 말했다. 또다른 수법의 예시로 연관 인물 및 가족 구성원 사기, 사기꾼이나 의도적 참여자 집단 사이의 공모 행위, 힘없는 사용자에게 사기꾼을 대신해 구매 행위를 하도록 강요하는 노인 및 취약한 개인 악용을 들었다.
 

소매업체가 BNPL 사기 위험을 방지하는 방법

맬너는 “웹 스토어 운영을 위해 BNPL 업체와 계약을 맺은 소매업체는 최근 BNPL 규제에 의문을품고 일부는 이를 철회하려고 하고 있다”라고 말했다. 그러나 고객 요구를 수용하기 위해 BNPL 선택지를 고수하려 하지만 BNPL 사기 위험은 피하고 싶은 소매업체라면 연관 위험을 경감하는 전략을 수립해야 한다.

서는 3계층 구조가 핵심이라고 주장했다. 첫번째 단계는 효율적인 신원 및 접근 관리(Identity and Access Management, IAM) 백엔드이고, 등록 및 거래 시 고객 인증으로 완료된다. 그는 “소매업체는 2번째 단계에서 엔드 투 엔드 자동 사기 위험 평가 및 관리 시스템(End-to-end automated fraud risk scoring and management system)을 가지고 거래를 모니터링하고 관리해야 한다”라고 말했다. 서에 따르면, 이를 위해서는 전자상거래 포털의 비즈니스 워크플로우가 위 단계와 BNPL 프로세스를 지원해야 한다.

맬너는 데이터를 효과적으로 이용하면 사기 행위를 방지할 수 있다고 주장했다. 그는 “일단 구매 이력이 누적되면 판매, 구매한 상품의 종류, 일반적인 상품 가치와 시간, 구매 활동 일수 등에 관한 데이터가 수집될 수 있다. 그러면 정상적인 범위를 벗어난 거래를 모두 조회할 수 있고, 거래가 승인되기 전 추가 보안 계층이 개입될 수 있다”라고 말했다.

오브리는 개체 명확화(Entity Resolution)가 훨씬 더 큰 그림을 생성할 수 있는 과정이라고 밝혔다. 개체 명확화에 대해 내부의 이질적인 데이터 소스에서 데이터를 가져와 더욱 큰 맥락을 전달하는 최신 외부 데이터와 결합시켜 행동에 대한 이해를 돕는다고 설명했다. 그는 “개체 명확화는 기기와 IP주소에서 수행될 수 있으며, 이들 개체에서 수행된 전체 활동에서 수상한 부분을 식별하는 데 도움이 된다. 개별 구매 혹은 내부 데이터만으로 명확히 알 수 없는 사회적 연결이나 기타 비교적 덜 분명한, 심지어 숨겨진 연결을 포함한 관계망을 조명하는 데 많이 사용된다.

맬너는 엄격한 자금 세탁 방지 검사도 신규 사용자나 허위 계정을 관리하는 데 유용하다고 밝혔다. 개인의 영상 기록을 가지고 공적 및 사적 데이터 포인트에 대해 신원을 검증하는 방식으로, 시간이 지나면 AI로 시행될 가능성도 있다. 또한, 사용자가 비밀번호와 개인 정보를 보호하는 데 사용할 수 있는 보안 기능에 대해서도 더욱 잘 파악할 수 있도록 해야 한다. editor@itworld.co.kr