뉴스
코인정보
라운지
커뮤니티
TPI 
매체소개
고객센터
1
리스크 기반 보안이 기존의 범위를 넘어서는 가운데, 보안 운영센터(SOC)는 이제 단순한 분석 허브를 넘어 기업 전체의 사기방지 전략을 주도하는 핵심 거점으로 부상하고 있다. 공격자는 *AI*를 무기로 삼아 봇을 개발하고, 실사용자처럼 가장하며 대규모 계정 탈취와 사기 행위를 실시간으로 감행하고 있다. 이에 대응하기 위해 기업 보안 체계는 더 이상 정적인 방어에 머물 수 없게 됐다.
최근 보고서에 따르면, 전체 기업 사기의 40% 이상이 AI 기반으로 이뤄지고 있으며, 이는 전통적인 침입 탐지 시스템과 사기 방지 도구를 우회하는 수준으로 진화하고 있다. 실제로 2024년 한 해 동안 거의 90%의 기업이 이러한 공격의 타깃이 되었고, 이 중 절반은 1,000만 달러(약 144억 원) 이상의 피해를 입은 것으로 나타났다. 봇은 단순 반복을 넘어 사람처럼 행동하고, 가짜 계정 생성, 세션 몰래 침투 등 고도화된 기법으로 기업 방어망을 뚫고 있다.
특히, 봇 공격은 예측 불가능성과 속도 면에서 전통적인 보안 솔루션과 사기 탐지 체계를 무력화시키고 있다. 악의적 봇은 사람보다 빠르게 CAPTCHA 코드를 풀거나, 거래 데이터를 조작하고, 로그인 세션 전반에서 행동을 은폐하는 등 한층 정교한 모습을 보인다. 이러한 위협에 대응해 '행위 기반' 실시간 사용자 점수화는 이제 필수 요소가 되고 있다.
티켓 구매를 둘러싼 봇 공격 사례는 이 위협의 실상을 그대로 보여준다. 세계적인 팝스타 테일러 스위프트의 콘서트 예매에서는 봇이 무려 35억 건 이상의 요청을 동시에 발생시켜 티켓마스터 시스템을 마비시켰다. 다수의 팬이 사전 판매에 접근하지 못하면서 예매 일정이 취소됐다. 이는 단순한 기술 문제를 넘어 봇의 '경제적 ROI'를 노리는 사이버 공격이 대중 문화 영역까지 침투하고 있음을 시사한다.
이 같은 고도화된 봇 공격에 맞서는 대표적인 기업으로는 데이터돔(DataDome), 이반티(Ivanti), 텔레사인(Telesign)이 있다. 이들은 단일 지점 기반의 방어가 아닌, *디지털 세션 전체를 기반으로 한 실시간 사용자 리스크 평가*를 핵심 철학으로 구현하고 있다. 특히 데이터돔은 85,000개 이상의 머신러닝 모델로 매일 5조 건 이상의 요청을 점검하며, 0.01% 이하의 오탐률을 유지하는 수준 높은 판별력을 갖추고 있다. 이 같은 기술력은 실제 콘서트 티켓 발매, 명품 구매, 금융 인증 등 고위험 환경에서 이미 입증된 바 있다.
조직 내 보안 기술 스택 역시 이 같은 흐름에 맞춰 진화하고 있다. 이반티는 제로 트러스트 기반의 세션 중 실시간 동작 분석으로, 기존 EDR(엔드포인트 탐지 및 대응)과 SIEM(보안 정보 및 이벤트 관리) 시스템의 공백을 메우고 있다. 하드웨어 상태, 인증 재설정, 프로필 변경 등의 행동까지 추적하며 위협을 선제적으로 차단하는 구조다. 텔레사인은 옴니채널 환경 전반에서 2,200개 이상의 디지털 신호를 분석해 세션 내 모든 이벤트를 기반으로 리스크 점수를 산출한다.
전문가들은 이 같은 방향성을 ‘여정시간 오케스트레이션(Journey-Time Orchestration, JTO)’이라고 정의한다. 이는 전체 세션을 하나의 흐름으로 보고, 로그인부터 결제, 사후 행동까지의 데이터를 실시간으로 평가한다. 기존의 지점 단위 인증이나 정적 룰 기반 탐지의 한계를 극복할 수 있는 구조로, 향후 온라인 사기 방지의 새로운 표준이 될 것으로 평가된다.
가트너는 최근 보고서에서 "사기는 보안 문제가 되고 있으며, 보안 운영 조직이 그 책임을 나눠 가져야 한다"고 강조했다. 실제로 여러 *CISO*들이 사기 데이터와 이벤트 텔레메트리를 SOC 중심으로 통합하고 있으며, 개별적인 도구보다 맞춤형 인공지능 기반 백엔드 분석 시스템의 도입을 빠르게 추진하고 있다.
디지털 경제가 보다 정교해지고, 생성형 AI가 공격자에게 새로운 무기를 제공하는 현재 상황에서 ‘사기 방지’는 더 이상 별개의 보안 영역이 아니다. 궁극적으로는 접근 제어, 사용자 인증, API 보호와 통합된 보안 아키텍처 내에서, 사기 사건이 아닌 ‘사기 위험도’를 실시간으로 판단해 행동에 반영할 수 있어야 한다. 그렇게 할 때에만 웹, 모바일, API 기반 운영 환경 전체에서 *진짜 사용자와 공격 자동화*를 명확히 구분하고 방어할 수 있다.
