Cappuccino sapiens

계정위조 공격은 정상적인 사용자의 계정을 탈취하여 재사용함으로써 불법적인 접근을 하는 것이며, 이를 통해 계정사용자나 접근 시스템에 피해를 주게 됩니다. 금전적인 이득을 목적으로 한 고객 계정 위조는 은행권만의 문제가 아니며, 현재는 게임, 리테일, 식당, 여행사, 호텔, 공공기관, 헬스케어, 학교 등 고객 서비스와 관련된 거의 모든 영역에서 골칫거리가 되고 있습니다.

Juniper Research에 따르면, 계정탈취로 인한 손실비용은 2020에만 25.6억달러에 달하는 것으로 조사되었습니다. 계정탈취공격은 기업의 명성에 대한 타격 뿐만 아니라, 사용자의 신뢰 저하로 인한 이탈로도 이어지고 있습니다.

다른 사이버공격과는 달리, 계정탈취 및 위조는 고객 환경의 취약점을 이용하기 때문에 사전대응이 어렵습니다. 고객의 잘 못으로 계정정보가 탈취되고 이로 인한 위조로 인해 피해가 발생해도 서비스를 운영하는 기업 입장에서는 이에 대한 책임을 면하기가 쉽지 않습니다.

계정위조 공격은 유출된 계정정보를 재활용하는 데에서 발생하게 됩니다. 따라서, 계정의 위조 여부를 접속하는 단계에서 판단하여 효과적인 대응을 수행 할 필요가 있습니다.

IBM Security Trusteer team은 최근 일본 최대 리테일 뱅크 응용프로그램을 대상으로 한  계정위조 사건에 대해 조사하였습니다. 이 응용프로그램은 보통 월 약 200개의 계정위조 세션이 보고 되었으나, 지난 달에는 위조 세션이 600개 이상으로 급격하게 증가했음을 탐지했습니다.

IBM Trusteer는 은행으로 보내지는 실시간 경고메시지를 분석하였으며, 가상머신과 위험에 노출된 기기로 인해 위조건수가 급증했음을 알아냈습니다. 위험에 노출된 기기는 위조관련 속성을 보유한 새로운 계정을 포함하고 있었습니다. IBM Trusteer 팀은 고객에게 대규모 SMS 피싱공격으로 인해 인증정보가 탈취되었고 이로인해 공격이 증가했음을 알렸습니다.  

하나의 물리 기기에는 150개 이상의 계정 접속이 가능하며, 공격자는 연결을 변경함으로써 탐지를 우회했습니다. IBM Trusteer는 사용자의 키 스토로크 패턴에 기반한 행동 생체인식기술로 인증우회를 탐지했습니다.  

< IBM Trusteer, 계정위조 탐지 솔루션 >

금융사기방지솔루션인 IBM Trusteer는 계정탈취탐지(Account Takeover Detection, ATO) 기능을 핵심으로 하고 있습니다. 이 기능은 사용자의 기기와 정상적인 트랜젝션을 서버에 저장하여 계정이 탈취되더라도 부정사용이 불가능하도록 합니다. 고객이 인터넷 뱅킹에 접속하면 고객 디바이스(PC, 모바일 기기 등)를 분석해 이미 감염되었거나 새로 감염된 디바이스를 탐지하며, 감염된 디바이스와의 접속 또는 피싱공격을 받는지도 확인합니다. 계정기록과 기기 위협도를 비교하여  계정탈취 시도를 탐지하며, 악성 감염, 피싱 사건, 계정 탈취 등 또한 감지하여 인터넷 사기를 예방합니다.

 ※ 사이트: IBM Trusteer Fraud Protection

 ※ 참조: Learn How Trusteer Solved a Large-Scale SMS Phishing Attack in Japan