Offcanvas

CSO / How To / SNS / 검색|인터넷 / 마케팅 / 보안 / 소비자IT

소비자 피해는 물론 브랜드 평판에도 ‘독’··· 악성 UCC·댓글을 방치하면 안 되는 이유

2020.09.11 Jaikumar Vijayan  |  CSO
일반 네티즌 등 외부인이 자사의 전자상거래, 모바일 플랫폼, 소셜 미디어 플랫폼에 제품과 서비스를 리스팅하고, 리뷰를 게시하고, 광고를 게재하고, 기타 콘텐츠를 게시할 수 있도록 허용하는 조직들이 스캐머(Scammer)들의 주요 표적이 되곤 한다. 

이런 스캠들이 새로운 문제는 아니지만, 그 양과 강도가 증가하고 있다. 이에 따라 많은 조직에서 위험 및 온라인 사기(Fraud)를 더 효과적으로 잘 관리할 필요성이 커지고 있는 추세이다. 콘텐츠 완전성, 계정 보호, 기타 온라인 사기 방지 서비스를 제공하는 회사인 시프트(Sift)의 최근 조사 결과에 따르면, 2020년 1월~5월 콘텐츠를 침해하려 시도한 사례가 전년 동기 대비 109% 증가했다.

특히 티켓팅과 이벤트, 디지털 마켓플레이스, 지역 서비스를 제공하는 기업 등 특정 업종에 속한 조직에서 악성 사용자 생성 콘텐츠가 호스팅 될 위험이 더 큰 것으로 조사됐다. 가장 큰 타격을 입은 플랫폼은 온라인 학습, 스트리밍 엔터테인먼트, 기부 플랫폼이었다. 평균적으로, 사기성 사용자 생성 콘텐츠가 차지하는 비율은 티켓팅과 이벤트 사이트에서 11.2%와 디지털 마켓플레이스에서 8.9%였다. 
 
Image Credit : Getty Images Bank

스캐머의 동기는?
금전적인 동기에서 비롯된 온라인 사기 행위가 전체의 약 절반인 48.8%에 달한다. 시프트 조사에 따르면, 스캐머들이 사용자가 개인 식별 정보(PII), 지불 관련 데이터, 금융 정보, 온라인 크리덴셜, 기타 민감한 데이터를 남기도록 유인하기 위해 가짜 콘텐츠, 기만적인 콘텐츠를 사용하는 사례가 증가하고 있다. 이런 행위를 통해 수집한 데이터를 범죄자들이 이용하는 시장에서 판매하거나, 다른 방법으로 수익화 하곤 한다. 

보다 최근에는 사용자를 속여 민감한 정보를 공유하도록 만들기 위해 가짜 뉴스나 다른 형태의 가짜 정보를 이용하기 시작했다. 시프트의 신뢰 및 안전 설계자인 제인 리는 “스캐머들은 소셜 네트워크에서 가짜 뉴스를 이용, 사용자들이 존재하지 않거나 효과가 없는 치료제에 돈을 쓰도록 만드는 등, 아직은 개발 단계인 코로나19 치료약과 백신을 악용하고 있다. 유사하게, 미국 인구통계 조사국 직원으로 위장해 개인 정보를 제공하도록 속이는 데 가짜 정보를 이용하는 사례도 관찰됐다”라고 설명했다.

이런 콘텐츠 사기 행위는 소비자는 물론, 가짜 콘텐츠가 남겨진 사이트를 운영하는 조직에게도 위협을 초래한다. 리는 “최종 사용자에게 가장 위험한 종류의 사기는 온라인에서 도난을 당하도록 만드는 사기이다”라고 말했다. 예를 들어, PII를 훔치는 온라인 사기 행위는 심각한 영향을 초래하는 경향이 있다. 신원 도용과 금융 사기에 훔친 정보를 이용할 수 있기 때문이다. 

스캐머는 또 사용자로부터 빼낸 데이터를 이용, 돈과 기프트카드, 리워드 포인트를 훔치고, 불법 송금을 하고, 기타 다른 사기 거래를 할 수 있다.  스캐머들이 악성 모바일 앱을 통해 사기성 콘텐츠를 배포할 수도 있다. 일부는 노골적이다. 적법한 브랜드와 제휴한 것처럼 가장해 크리덴셜을 훔치는 앱을 예로 들 수 있다. 덜 노골적인 경우도 있다. 사용자들에게 소셜 미디어 플랫폼에서 일정한 수의 팔로워를 보장해주는 앱을 예로 들 수 있다.

브랜드 신뢰도를 저해
콘텐츠 악용은 비즈니스에도 피해를 준다. 리는 “비즈니스의 경우, 웹사이트나 앱의 신뢰성을 해치는 스캠은 고객은 물론 비즈니스에도 ‘독’이 된다”라고 강조했다.

시프트 조사에 따르면, 사이트나 서비스에서 발생한 콘텐츠 침해나 악용으로 인해 자신의 정보가 침해당했을 때 해당 웹사이트나 서비스 사용을 중단하는 사용자가 56%였다. 

신뢰나 평판이 하락하는 것에 더해, 콘텐츠 악용으로 인해 해당 웹사이트에서 결제와 관련된 사기 행위가 발생했을 때 비즈니스는 그 피해를 감수해야 한다.  예를 들어, 온라인 마켓플레이스의 고객 한 명이 스캐머에게 자신의 신용카드 정보를 제공하고, 이후 스캐머가 그 정보를 이용해 해당 사이트에서 상품을 구매한다면, 해당 마켓플레이스나 상점이 그 소비자의 피해를 보상해줘야 한다.

노우비포(KnowBe4)에서 보안 인식 제고를 담당하고 있는 에릭 크론은 콘텐츠 악용 스캠이 신뢰와 고객의 믿음에 부정적인 영향을 미친다며 다음과 같이 설명했다. 

“당신의 사이트를 이용한 즉시 스캠 메시지가 쇄도하거나, 사이트에 악성 콘텐츠가 호스팅 된 것으로 알려진다면, 그 즉시 지속적인 공격이나 악성 콘텐츠 없이 유사한 서비스를 제공하는 다른 사이트를 찾아 떠날 가능성이 크다. 만약 암호화폐 포럼 사이트를 운영하는 데, 사람들이 로그인하는 즉시 맬웨어 소스인 슬랙파일닷컴을 이용하는 공격을 당한다면, 해당 서비스가 적법한 서비스를 제공하는 경우에도 모든 링크를 차단하게 될 것이다.”

가트너는 올해 초 발표한 한 보고서에서 사용자가 온라인 플랫폼에서 콘텐츠를 창출할 수 있을 때 발생할 수 있는 문제점들을 설명했다. 이에 따르면 오늘날 기업은 디지털 비즈니스 측면에서 고객 참여와 몰입, 수익 창출을 견인하기 위해 모바일 앱, 도메인 웹사이트, 이메일, 검색 엔진, 소셜 미디어, 온라인 마켓플레이스를 활용하곤 한다. 가트너는 “스캐머들은 이런 채널들을 악용한다. 이들의 행위가 신뢰와 안전을 해쳐 고객의 믿음에 영향을 주면, 고객 참여와 몰입이 감소한다. 또한 트래픽과 상거래가 감소한다”라고 경고했다.

이 문제를 해결하기 위해, 위험 관리 책임자는 사기로 인한 손실 방지에만 초점을 맞추는 일을 그만둬야 한다. 전반적인 고객 경험을 강화하고, 스캐머들의 악성 행위를 저지할 수 있는 방법들을 찾아야 한다.

-> 구글 크롬, ‘피싱’ 막고자 ‘도메인 이름’만 보여주는 기능 실험 중
문제 해결
이를 테면 온라인 조직은 애플리케이션과 시스템이 거래에 관련된 모든 행위자의 행동에서 발생할 수 있는 위험에 대한 지표를 지속적으로 제공할 수 있도록 만들어야 한다. 소비자, 서비스 공급자, 판매자 등 참여 기능이나 권한이 무엇이든, 온라인 사용자에게 제공되는 기능이나 권한을 통제할 필요가 있다. 

특히 강력한 ID 확인 대책이 필요하다. 수동으로 교차 확인을 하고, 지불과 관련된 인증과 DMARC(Domain-based Message Atheization, Reporting and Conformance)를 견고하게 구현해야 한다. 이는 온라인 사기 위험을 줄이는 데 아주 중요한 역할을 한다.

가트너는 “2023년에는 은행과 디지털 상거래 사업체의 30%가 온라인 고객/브랜드 상호작용의 무결성을 보호하기 위해 ‘신뢰 및 안전’을 전담 책임지는 팀을 운영하게 될 것이다. 현재 이 비율은 5% 미만에 불과하다”라고 전망했다. 

ID 확인 프로세스 동안 소비자에게 초래되는 온라인 위험을 줄일 방법을 찾은 조직은 그렇지 않은 조직보다 평균적으로 10% 높은 수익을 창출할 것이라는 예측도 덧붙여졌다.

리스크IQ에서 위협에 대한 조사를 담당하고 있는 조던 허먼은 조직들은 인터넷에서 브랜드를 악용하거나 왜곡하는 행위를 감지할 수 있는 도구들을 활용해야 한다고 강조했다. 스캠의 일부로 소비자를 속이고 오도하는 데 브랜드가 악용되는 것을 막기 위해서다. 

이 보안 벤더는 최근 대규모의 스캠 디지털 광고 캠페인을 발견했다. 가짜 뉴스와 특정 정당에 편향된 뉴스 사이트에 배포되며, 사용자를 속여 값 비싼 구독 서비스를 구독하도록 유도하는 스캠 디지털 광고 캠페인이다.

노우비포의 크론은 위험을 판단할 때 평판에 초래되는 위협을 감안할 필요가 있다고 강조했다. 기업들은 온라인 채널을 매개체로 하는 PR과 마케팅에 많은 돈을 투자하는 경우가 많다. 이때 구축한 평판을 보호하기 위한 비용이 필요할 수 있음을 인식해야 한다.

그가 추천한 방법 중 하나는 스캐머들이 온라인 사기에 악용하지 못하도록, 사용하는 도메인 이름과 비슷하게 들리는 도메인 이름들을 구입하는 것이다. 또한, 사용자들이 브랜드 악용 사례를 쉽게 신고하는 방법을 마련해야 한다. 그래야 가능한 빨리 이런 도메인을 통제할 수 있도록 만들 수 있다. 

크론은 “규모가 큰 조직이나 자주 표적이 되는 업종의 경우, 이런 가짜 공격을 포착할 수 있는 정보를 제공하는 것이 좋다. 이는 조직이 소비자를 보호하기 위해 노력하고 있다는 점을 보여주는 방법이다”라고 말했다. 

예를 들어 이메일을 이용한 연락의 경우, 조직은 고객들에게 서비스 담당자는 비밀번호를 물어보는 일이 없다는 점을 상기시킬 수 있다. 또는 문자 메시지나 이메일 링크를 클릭하는 대신, 웹사이트를 방문해 계정에 로그인을 하는 것이 안전하다는 정보를 제공할 수도 있다.

크론은 “팬데믹 위기로 무수히 많은 새로운 스캠 공격 기법들이 등장했다.  혼동과 혼란을 악용하는 공격부터 감염된 문서 형태의 정보를 제공하는 공격, 팬데믹 위기로 타격을 받은 사람들을 돕기 위해 모금을 한다는 ‘사기’ 행각, 스캐머들이 좋아하는 감정에 호소하는 방법까지 스캠 공격의 종류는 정말 다양하다”라고 설명했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.