자격 증명 샤킹: 새로운 유형의 부정 행위

지난 몇 년간 웹 사이트 활동(정상, 비정상 및 그 사이의 모든 활동)을 보기 위한 ‘불 켜기’를 돕는 다수의 프로젝트를 진행하면서 본 중 가장 특이한 사례는 대부업체가 연루되어 온라인 뱅킹 자격 증명이 대대적으로 유출된 사례였습니다.   동료들과의 오랜 상의 끝에 이 새로운 유형의 부정 행위를 론 샤킹(loan sharking)에 빗대어 자격 증명 샤킹(credential sharking)이라 부르기로 결정했습니다.

그렇다면 자격 증명 샤킹은 어떻게 시작될까요? 온라인 뱅킹 클릭 패턴을 분석하는 중에 잠재적 위협으로 보이는 이상 동작을 발견했습니다. 단일 디바이스에서 폭넓은 범위의 사용자 계정에 반복적으로 로그인하여 계정 내역을 스크롤하는 동작이 감지되었는데 이는 온라인 뱅킹 사용자에게는 매우 이례적인 동작입니다.

계정 소유자와 몇 차례 통화한 후 모두 외부업체를 통해 급여 대출을 받았다는 한 가지 공통점을 찾아냈고, 이후 추가 질문을 통해 근본적인 해답을 얻었습니다. 대부업체에서는 대출 개설 프로세스의 일부로 신청자의 온라인 뱅킹 자격 증명을 요구했는데 업체의 의도는 이 로그인 자격 증명을 사용해 대출 고객의 수입(예: 급여, 연금 등)이 들어오는 시기를 확인하고 이어서 대출 상환금을 공제하는 것이었습니다.

이 사례와 관련된 잠재적 위험, 윤리적 고려 사항, 규정 준수 및 규제 관련 문제는 수천 가지 단어로도 다 표현할 수 없지만 간단히 ‘심각’하다고만 말하겠습니다. 겉으로 보기에 이 특정 문제는 과한 창의력을 바탕으로 독자적으로 행동한 한 직원이 대출금 체납을 최소화할 목적으로 생성한 자체 프로세스에 국한된 것으로 보였습니다. 그러나 이 문제에서 비롯되는 위험은 어떤 특정 은행에 제한되지 않았습니다. 이 특정 대부업체와 대출 계약을 맺은 고객이 거래하는 모든 은행의 총 수천 개의 계좌가 영향을 받았습니다.

따로 떨어져 있는 것으로 보이는 이 사례에서는 온라인 뱅킹 로그인 자격 증명이 타사에 공개되는 문제가 발생합니다. 이러한 문제는 혁신적인 핀테크 제품 안에서 점점 더 흔해지고 있습니다. 온라인 뱅킹 세부 정보를 요청하는 서비스로는 결제 지원 솔루션, 자동 저장 제품, 계정 통합 서비스 등이 있습니다.편리하지만 위험한 계정 통합 서비스

뱅킹 웹 사이트의 클릭 패턴을 분석할 때 가장 먼저 눈에 들어오는 것은 예외 없이 계정 통합 서비스입니다.  계정 통합 서비스는 웹 포털(일반적으로 온라인 뱅킹)의 거래 및 잔고 데이터를 모아 ‘단일 관리 창’으로 보여 주는 타사 서비스입니다.  소매 금융에서 시작된 이러한 서비스는 이제 자산 관리, 연금 및 항공사 상용 프로그램과 같은 영역까지 확장되었습니다.

고객에게는 계정 또는 대출이 실제 소속된 금융 기관에 관계없이 자신의 금융 상태 및 모든 거래 내역을 한 눈에 볼 수 있다는 이점이 있습니다.  이는 한 은행만 이용하지 않고 최적의 거래를 찾는 고객에게 특히 매력적인 서비스라고 할 수 있습니다.   그러나 작은 글자로 적힌 약관을 들여다 볼 필요가 있습니다.   이러한 서비스의 일반적인 약관은 통합 서비스 업체에 매우 유리하며 통합 서비스 업체가 취득한 통합 정보 또는 공유 데이터를 사용하고 타사에 판매, 사용권 허여, 배포 및 공개할 수 있다는 조항이 포함됩니다. 여기에서 발생하는 위험은 소비자가 부담해야 합니다.

계정 통합 서비스 업체는 보안에 많은 신경을 쓰는 편이지만 사이버 공격자에게 여전히 매력적인 잠재적 자원이자 표적이 됩니다. 소비자의 통합 계정은 완벽하고 완전한 금융 데이터를 담고 있습니다. 누군가의 신원을 도용할 계획이라면 통합 계정을 목표로 삼는 것이 최적의 선택일 것입니다. 희생 은행 및 보유 잔고와 같은 풍부한 정보를 확인할 수 있기 때문입니다.

피싱(Phishing), 멀웨어(malware) 등을 통해 온라인 뱅킹 자격 증명을 침해한 후 공격자는 검증 및 우선 순위 지정이라는 두 가지 작업을 완료해야 합니다. 검증은 로그인 자격 증명과 암호가 여전히 유효한지 확인하는 작업을 말합니다.  우선 순위는 ROI를 극대화하기 위해 주로 침해한 계정의 가용 잔고에 따라 결정됩니다.

계정 통합 서비스는 비용을 들이지 않고 아주 효율적으로 이 두 가지 목표를 달성할 수 있는 메커니즘을 제공하기 때문에 공격자들이 애용합니다. 그뿐만 아니라 이러한 통합 서비스가 프록시로 사용된다는 점을 고려하면 익명성의 베일을 활용할 수 있다는 장점도 있습니다.

사기 피해를 줄이는 방법

여기서부터 문제가 조금 복잡해지기 시작합니다. 잠재적 영향을 해결하는 방법을 좀 더 쉽게 설명하기 위해 가상의 예를 하나 들어 보겠습니다.   통합 웹 사이트가 침해되고 공격자가 수천 개의 온라인 뱅킹 자격 증명을 손에 넣었다고 가정해 보십시오.   공격자는 이 자격 증명을 사용해 다수의 은행에서 수백만 달러를 훔칩니다.

여기서 결과적으로 누가 이 손해에 책임을 질 것인가라는 질문이 나옵니다.

(a) 은행

(b) 타사 통합 서비스 사이트

(c) 데이터를 도난당한 소비자

엄밀히 말하면 정답은 (c)입니다.

타사와 로그인 자격 증명을 공유하는 것은 실제로 보안 의무를 위반하는 행위이므로 이러한 공개로 촉발된 손해에 책임을 져야 합니다. 이러한 규칙은 일반적인 뱅킹 약관은 물론 오스트레일리아의 ePayments 규정과 같은 규제 정책을 통해 통제됩니다.

현실적으로는 고객 불만으로 인한 손실과 이러한 사건에서 비롯되는 평판 실추 위험 등을 고려하여 대부분의 은행이 책임을 지고 고객에게 배상할 가능성이 높습니다.

다른 많은 사이버 위험과 마찬가지로 핵심 질문은 어떻게 관리할 것인가입니다.  제가 볼 때 해결책은 두 부분으로 이루어질 수 있습니다.

완벽한 정보 파악

위험을 파악하려면 “실제로 타사 통합 서비스를 사용하는 고객이 몇 명인가?”라는 간단한 질문에 답할 수 있어야 합니다. 이 질문에 대한 답은 웹 사이트 방문자 동작 및 관련 메타데이터를 분석하여 얻을 수 있습니다.

아시아 태평양 전체 은행과 근무한 경험에 비추어 볼 때 답은 수백에서 수만 사이의 어딘가에 있습니다.

적절한 작업 수행

규모를 파악한 후에 논리적으로 밟아야 할 첫 번째 단계는 적절한 위험 등록 프레임워크 내에 위험을 기록하는 것입니다. 이 프로세스를 사용하면 가능성 및 잠재적 영향(예: 사기로 인한 손실, 언론 노출, 브랜드 이미지 하락, 주가 등)을 진단하여 위험의 심각도를 평가할 수 있습니다.

그런 다음 이 심각도를 바탕으로 비즈니스에 허용 가능한 수준으로 위험을 낮추는 실질적인 제어를 고려해야 합니다. 제어 유형에는 다음과 같은 작업이 포함될 수 있습니다.

  • 고객 세분화.  타사 통합 서비스를 사용하는 것으로 확인된 고객에 대한 위험 제어 및 모니터링 강화
  • 읽기 전용의 보안 API를 통합 서비스 업체에 제공하여 화면 스크래핑(scraping) 방지
  • 통합 서비스 업체의 활동을 완전히 차단
  • 통합 서비스를 사용하는 것으로 확인된 고객에게 사전에 연락하여 위험 및 잠재적 영향에 대해 설명
  • 위험이 높은 로그인 이벤트에 적용할 두 번째 인증 요소(위험 기반 인증 플랫폼) 구축. 인증의 동적 특성을 고려하여 통합 서비스 업체에 대한 비즈니스 프로세스를 변경해야 함

통합 서비스의 활동과 같은 활동에 영향을 받는 모든 비즈니스는 제어 기능과 별개로 비상 계획을 구축하여 위험을 관리해야 합니다. 위험 계정의 모든 활동을 임시로 차단하는 것과 같은 간단한 계획과 고객 커뮤니케이션 계획을 함께 사용할 수 있습니다. 요점은 무엇이든 갖춰야 한다는 것입니다.

혁신적인 서비스(예: 통합 서비스)는 새로운 사이버 위험을 가져오지만 이러한 위험을 효과적으로 관리하는 게 불가능하지는 않습니다. 데이터 기반 모니터링 솔루션을 분명한 계획에 따라 사용하고 상식적으로 행동하기만 하면 해결책을 얻을 수 있습니다.

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments