[ET시론]정교화되는 결제 사기 범죄, 다각화된 접근법으로 방지 필요

패트릭 스토리 Visa Korea 사장
패트릭 스토리 Visa Korea 사장
관련 통계자료 다운로드 연도별 보이스피싱 피해 현황

디지털 결제 기술의 발전은 사용자들에게 더 빠르고 편리한 결제 경험을 제공하며 전 세계 경제의 디지털화를 가속화하고 있다. 그러나 이러한 혁신의 이면으로 금융 사기 또한 정교화 되고 있다. 인공지능(AI)과 같은 첨단 기술이 발전함에 따라 사기 수법도 다양해지고 있으며, 피해 규모는 점점 커지고 있다.

[표] 금융감독원의 '2023년 보이스피싱 피해 현황 분석'
[표] 금융감독원의 '2023년 보이스피싱 피해 현황 분석'

금융감독원의 '2023년 보이스피싱 피해 현황 분석'에 따르면, 지난해 보이스피싱 피해액은 1965억원으로 전년 대비 35.4% 증가했다. 피해자 수는 10.2% 감소한 것으로 나타났으나, 1인당 피해규모는 708만원으로 급격히 증가했음을 보여준다. 스미싱으로 인한 사기 피해도 최근 5년간 8배 증가했고, 피해액은 36배에 달하는 등 다양한 방식으로 피해가 늘어나고 있다. QR코드를 활용한 피싱 수법인 큐싱(Quishing)도 국내외에서 빈번히 발생하고 있다.

AI 기술 역시 금융 사기의 정교화를 가속화하며 기존의 방어 체계를 무력화하고 있다. 최근 딜로이트 글로벌에서 발표한 보고서에 따르면 AI를 악용한 미국 내 금융 사기 피해액은 2023년 123억달러에서 2027년 400억달러로 급증할 것으로 예상된다. 비자의 조사에 따르면 AI를 활용한 대표적인 결제 사기 패턴으로는AI봇을 활용해 카드 번호(PAN)를 끊임없이 만들고 카드 인증번호(CVC)와 완료 날짜를 조합해 온라인에서 반복적으로 거래를 시도하는 행태가 있다. 이러한 열거 공격(enumeration attack) 방법으로 매년 11억달러의 피해가 발생하고 있다. 더 진화된 형태로는 특정 가맹점 분류 코드에 속한 여러 가맹점을 타깃으로 분산화된 공격을 시도하기도 해, 각각의 피해는 작지만 합쳤을 때는 큰 피해가 발생하는 등 가맹점 및 발급사에 큰 영향을 미치고 있다.

또 그 이외에 딥페이크를 활용한 결제 사기도 AI 발달에 따른 결제 사기 형태다. 실제로 올해 2월 홍콩의 한 금융회사에서는 딥페이크 기술을 활용해 CFO를 사칭한 음성과 영상으로 직원을 속여 2억5600만달러를 송금하게 한 사례가 발생했다. 단 3초의 음성 데이터만으로 목소리를 복제하는 AI 기술은 기존 보안 체계를 뛰어넘는 방식으로 사기에 악용되고 있다.

[출처] Visa Payment Fraud Disruption 〈Biannual Threats Report (Fall,2024)
[출처] Visa Payment Fraud Disruption 〈Biannual Threats Report (Fall,2024)

그 외 랜섬웨어, 멀웨어, 디지털 스키밍 등 결제 사기가 다양화 및 정교화되고 있는 상황에서 금융기관과 결제 네트워크는 단순히 데이터를 암호화하는 기존 방식만으로 대응할 수 없다. 소비자 데이터를 안전하게 보호하고 거래 과정에서 의심스러운 행동을 실시간으로 탐지할 수 있는 종합적인 보안 체계가 필요하다.

비자는 디지털 결제 생태계의 안전성을 강화하기 위해 강력한 보안 솔루션을 제공하고 있다.

그 중에서도 토큰화 서비스(Visa Token Service, VTS)는 카드 정보를 디지털 식별값으로 변환해 민감한 정보를 보호하는 핵심 기술로 자리 잡고 있다. 토큰화 기술은 결제 과정에서 실제 카드 번호가 아닌 고유 토큰을 사용해 데이터 유출 시에도 재사용을 불가능하게 만든다. 이를 통해 소비자 개인정보의 악용 가능성을 원천 차단하며, 승인율을 2.5% 높이고 사기율은 58% 감소시키는 효과를 보였다. 특히 토큰은 결제 네트워크 내부에서만 사용되기 때문에 해킹과 데이터 조작 위험을 줄이고, 가맹점과 소비자 모두에게 안전하고 신뢰할 수 있는 결제 환경을 제공한다. 또 스마트폰, 웨어러블, 스마트 기기 등 다양해져가는 결제 폼팩터의 안정성을 위해서도 토큰화 서비스는 가장 중요한 기술 중 하나다.

비자의 리스크 오퍼레이션 센터(ROC)는 전 세계 네트워크를 24시간 실시간으로 모니터링하며 열거 공격이나 데이터 조작과 같은 새로운 보안 위협을 조기에 감지하고 차단한다. 최근 비자는 AI기반 사기 방지를 위한 솔루션을 발표했다. 정상 및 비정상 거래 패턴을 학습하는 VAAI(Visa Account Attack Intelligence) 서비스를 업데이트해 실시간으로 열거형 공격을 식별하고, 위험 점수를 매겨 비정상적인 접근을 막을 수 있다. 거래 승인단계에서는VAA(Visa Advanced Authorization) 및 VRM(Visa Risk Manager) 솔루션이 실시간으로 글로벌 거래 데이터를 분석해 AI와 머신러닝을 활용해 의심스러운 패턴을 신속히 확인하고 사기 거래를 차단한다. 또, 비자가 개발한 eTD(eCommerce Threat Disruption) 솔루션은 이커머스 가맹점의 인프라를 스캔하고 디지털 스키밍 공격을 식별해 이커머스 채널 및 거래를 보호하고 있다.

이러한 기술들은 결제의 모든 단계에서 상호 보완적으로 작동하며, 디지털 결제 생태계의 안전성을 유지하는 데 중요한 역할을 하고 있다. 단순히 사기 피해금액이 발생하는 것을 막을 뿐 아니라 발급사, 매입사, 가맹점의 운영 손실도 막을 수 있으며, 상거래 활동에 대한 신뢰와 성장 가능성을 높이고 안전한 상거래 환경을 만드는데 기여하고 있다.

비자는 지난 5년간 네트워크 보안 강화를 위해 AI 기술과 인프라에 110억 달러를 투자해왔다.

또 글로벌 규제 당국 및 정부와 협력해 안전한 결제 정책을 마련하며, 정기적인 리스크 콘퍼런스와 리포트를 통해 최신 사기 기술과 사례를 공유함으로써 금융업계의 보안 수준을 지속적으로 높이고 있다 .

결제 사기의 정교화에 대응하기 위해 금융기관, 결제 네트워크, 소비자 모두의 협력과 경각심이 필요하다. 비자는 혁신적인 기술과 글로벌 표준을 통해 신뢰할 수 있는 결제 경험을 제공하며, 디지털 결제의 편리함이 더 큰 가치를 발휘할 수 있도록 지속적으로 노력할 것이다. 동시에 소비자들도 의심스러운 요청이나 링크를 경계하며, 개인정보를 과도하게 공유하지 않는 등 기본적인 보안 수칙을 준수하는 것이 중요하다. 기술과 행동이 조화를 이룰 때, 보다 안전하고 신뢰할 수 있는 디지털 결제 환경이 마련될 것이다.

패트릭 스토리 비자코리아 사장

〈필자〉 미국 샌프란시스코대에서 경제학 학사, 금융경제학 석사 과정을 마치고 1996년 비자(Visa)에 입사했다. 미국 샌프란시스코, 뉴욕, 싱가포르 그리고 한국지사에서 다양한 직책을 역임해왔다. 비자의 비즈니스 기획 및 운영과 컨설팅 및 애널리틱스를 차례로 총괄했으며, 소비자 금융, 결제, 정보 서비스 등 여러 분야에 걸쳐 20년 이상의 경력을 쌓았다. 비자코리아 사장으로 취임 후 카드사, 핀테크기업, 유통업계들과 협업하며 한국에 혁신적인 결제 및 데이터 솔루션을 도입하기 위해 힘쓰고 있다.