Offcanvas

보안 / 비즈니스|경제 / 애플리케이션

'금융 사기 방어 최전선' RSA '이스라엘 AFCC'를 가다

2018.03.12 David Strom  |  CSO
사이버 범죄자의 금융 해킹이 고도화하면서 보안 업계도 사기와 남용을 방지하는 툴을 강화하고 있다. 필자는 최근 이스라엘을 방문하는 동안 RSA의 금융 기록 및 자금 보호 핵심인 AFCC(Anti-Fraud Command Center)를 방문할 기회가 있었다. 최신 웹 위협과 사기 정보에 어떻게 대응하는지 직접 눈으로 볼 수 있었다.

이 센터는 1999년 사이오타(Cyota)라는 기업이 설립했다. RSA는 2005년에 사이오타를 인수했으며 이후 EMC에 인수됐다가 2년 전 델(Dell)에 다시 인수됐다. 이 센터는 소비자용이 아니라 사기 대상이 되는 소비자의 종점을 보호하는 제품을 다루는 RSA의 소비자 사업부에 소속돼 있다. 뱅킹 고객을 겨냥한 피싱(Phishing)이나 계좌 해킹을 생각하면 된다. 이 센터는 이스라엘 텔아비브 외곽에 있으며 나머지 관련 시설은 인디애나(Indiana)의 퍼듀대학교(Purdue University) 캠퍼스에서 운영된다. 직원은 대부분 학생이다.



AFCC 운영 방식
이 센터의 핵심은 은행의 거래를 선제적으로 모니터링해 무엇인가 잘못되면 고객에 알려주는 것이다. 사기 활동이 실제 인출이나 이체로 이어지기 전에 예측해 은행과 고객을 만일의 사태로부터 보호한다. AFCC는 하루 약 1억 건의 거래를 처리해 이 중 약 0.1%에서 잠재적인 사기 요소를 찾아낸다. 이 센터에서는 분석가 100여 명이 모니터링과 알림 서비스를 위해 3교대로 일한다. 그 외에도 직원 수백 명이 다양한 거래를 선별하기 위해 사용하는 알고리즘과 소프트웨어를 개발한다.

AFCC의 책임자 다니엘 코헨은 "RSA에서 8년 동안 근무하며 모든 유형의 범죄 활동을 경험했다. 과거보다 소셜 엔지니어링이 더 증가했고 범죄자는 더 교활해지고 있다. 사기 활동이 가장 적은 시기는 크리스마스다. 그 때가 되면 모두가 선물을 사고 온라인에서는 아무런 일도 일어나지 않는다. 반면 발렌타인 데이, 올림픽, 부활절 기간에는 모든 종류의 공격이 발생한다"라고 말했다.

이런 공격에 대응하기 위해 RSA는 물론 CA, 쓰렛메트릭스(ThreatMetrix)/렉시스(Lexis,) NICE/액티마이즈(Actimize) 및 IBM/트러스티어(Trusteer) 등 여러 업체가 적응형 인증 제품을 개발했다. 계좌의 지리적 위치와 이상한 거래 패턴, 계좌 소유주의 일반적인 활동 패턴에서 벗어나는 것 등을 지속해서 찾아낸다.

정적 암호만으로는 고급 해킹을 막을 수 없기 때문에 사용자의 프로필 또는 동작을 기반으로 다중 요소 인증을 지능적으로 사용하는 적응형 인증이 점차 확산하고 있다. RSA의 툴은 프로드액션(FraudAction)이다.

기업은 사용자의 작업을 방해하지 않으면서 효과적으로 신원을 확인하는, 일종의 '균형점'을 찾아야 한다. AFCC가 활약하는 지점도 바로 여기다. RSA의 소프트웨어는 머신 러닝(Machine Learning)을 활용해 각 금융활동의 상대적인 위험에 점수를 매기고 이 점수를 활용해 거래가 진짜인지 아니면 의심스러운지 판단한다. AFCC의 분석가가 문제가 되는 거래를 살펴보고 추가로 조사한다.

사기꾼과 범죄자는 더 똑똑해지고 있다
일반적인 소비자 대부분은 은행에 우리가 해외 여행 중이거나 이례적인 패턴으로 구매하고 있음을 알리지 않아 신용카드 결제가 차단되는 것을 종종 겪는다. 이에 따라 범죄자들은 옴니(Omni) 채널 공격을 더 잘 활용하고 있다. 다양한 뱅킹 시스템에 접근하는 방식이다.

예를 들어, 사기꾼은 종종 은행의 웹사이트를 해킹하려 시도하며 동시에 스마트폰 앱을 실행하는 중에 은행의 고객 센터에 전화를 걸어 고객 정보에 접근하려 시도한다. 과거에는 이를 위해 3개의 이질적인 시스템이 사기 활동을 추적해야 했지만, 현재 RSA와 대부분의 경쟁사는 사용하는 채널에 상관 없이 이런 이벤트를 더 잘 추적한다. 게다가 이들 업체의 소프트웨어는 다양한 이벤트를 연계해 사기꾼이 무엇을 시도하고 있는지 큰 그림에서 파악할 수 있다.

센터에 있는 동안 필자는 도난 당한 신용카드를 구매해 범죄 은행 계좌로 부정하게 얻은 돈을 얼마나 쉽게 세탁할 수 있는지 직접 목격했다. 구글에 검색어를 입력하고 클릭하면 수 초 만에 결과가 나왔다.


적과의 교전
이 과정을 더 자세히 살펴보면, RSA의 분석가는 일과 중 상당 시간을 IM 시스템을 이용해 범죄자에게 문자 메시지를 보내는 데 사용한다. 해커가 가진 정보를 빼내 은행 또는 사법 당국에 보내준다. 분석가들은 최대 몇년에 걸쳐 범죄자를 속인다. 해커들은 매우 욕심에 눈이 멀고 분석가는 이들을 다루는 데 능숙하기 때문에 쉽게 속아 넘어간다.

그렇다면 이런 범죄자를 어떻게 찾을까? 의외로 쉽다. 범죄자는 여러 페이스북과 기타 소셜 미디어 그룹에 속해 있고 자신의 서비스를 공개적으로 홍보한다. 코헨은 "과거에는 범죄자가 인터넷의 어두운 구석에 숨어 있었지만 지난 수 년 동안 그들은 꽤 공개적으로 자신의 서비스를 광고하고 있으며 어디에나 있다. 범죄자는 합법적인 기업인만큼이나 자신의 온라인 명성을 쌓고 싶어한다"라고 말했다.

RSA의 분석가는 전 세계의 범죄자를 상대한다. 필자는 8개의 언어를 구사할 수 있는 분석가를 만나기도 했다. 코헨은 "러시아, 중국, 동유럽 등 일부 국가는 범죄의 온상이다. 일부 지역은 악명이 높거나 특수한 기술을 사용한다. "많은 좋지 못한 것들이 러시아에서 나오며, 마약, 신용카드, 심지어 청부 살인 서비스 온라인 시장도 있다. 중국은 불법 하드웨어 판매로 더 유명하다"라고 말했다.

국가 차원에서 이뤄지는 공격에 대한 조사는 어떻게 할까? 코헨은 "우리는 소비자 보호에 집중하므로 이런 유형의 위협은 분석하지 않는다. 또한, 우리는 새로운 공격 벡터를 발견해 고객에게 알리지만 새로운 공격을 더 잘 감지하기 위해 위험 엔진을 개선하는 것이 중요하다. 더 좋은 데이터로 공격자를 물리치기 위해 노력하고 있다. 우리 분석가들이 매우 뛰어나다. 언젠가는 범죄자가 금융 서비스 피싱이 너무 어려워 노력할 가치가 없다고 생각하는 날이 올 것이다. 아직은 멀었지만 그날을 위해 노력하고 있다"가로 덧붙였다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.