AI가 사기를 방지한다고? 사기 가속기 역할을 하고 있다

Beyond the AI Hype: Strengthening Treasury Against Fraud Risks

딥페이크와 가짜 청구서: 사이버 범죄자들의 4가지 새로운 무기

생성형 AI(GenAI)가 사기 수법을 가속화시키는 시대다. 기업들은 더 이상 AI를 만능 해결책으로 바라보아서는 안 된다. 오히려 AI는 사기의 새로운 가속기 역할을 하고 있으며, 기업들은 검증된 데이터와 지속적인 모니터링, 실시간 통제에 기반한 근본적인 보안 강화에 집중해야 한다는 것이 트러스트페어(Trustpair)와 액츄얼라이즈 컨설팅(Actualize Consulting)의 연구 보고서가 전하는 핵심 메시지다.

생성형 AI 기술의 발전은 사이버 범죄자들에게 전례 없는 도구를 제공하고 있다. 딥페이크 기술을 활용한 음성 및 영상 위조, AI로 생성된 가짜 청구서와 은행 정보, 정교한 비즈니스 이메일 침해(BEC) 공격, 그리고 자동화된 크리덴셜 스터핑 공격이 급속도로 정교해지고 있다. 액츄얼라이즈 컨설팅의 로브 그랜저(Rob Granger) 선임 매니저는 “소셜 엔지니어링, 피싱, 스피어 피싱, 딥페이크는 이제 패스워드 크래킹과 같은 직접적인 공격보다 훨씬 큰 위협이 되었다”고 경고했다. 사용자들이 민감한 정보를 스스로 노출하도록 속이는 이러한 수법들에 대응하기 위해서는 다단계 승인 프로세스와 데이터 기반 사기 분석이 필수적이라고 강조했다.

90% 임원이 착각하는 AI 탐지 능력과 반응적 접근법의 한계

AI가 특정 영역에서 유용한 도구가 될 수 있지만, 사기 방지를 위한 단순한 해결책은 아니라는 것이 이번 보고서의 핵심 논점이다. 실제로 AI는 사기를 더욱 효과적이고 확장 가능하며 탐지하기 어렵게 만들고 있다. AI 기반 방어 시스템만으로 보호받을 수 있다고 가정하는 기업들은 잘못된 안전감에 빠질 위험이 있다.

AI 기반 사기의 속도와 적응력은 기존의 반응적 사기 탐지 전략을 무력화시키고 있다. 사기가 발생한 후 AI로 탐지하는 방식 대신, 기업들은 공급업체 정보 검증, 결제 워크플로우 보안, 핵심 의사결정 지점에서의 인간 감독에 중점을 둔 실시간 예방적 사기 방지 도구가 필요하다.

39% 직원이 무시하는 사기 방지 정책, 4가지 핵심 대응책 제시

AI 기반 사기에 대응하기 위해 조직들은 AI 모델 조작에 취약하지 않은 검증된 사기 방지 전술을 우선시해야 한다. 첫째, AI 기반 사기 탐지 대신 거래 처리 전에 결제 세부사항이 정확한지 확인하는 실시간 공급업체 검증이 필요하다. 자동화되고 신뢰할 수 있는 은행 계좌 소유권 확인이 이 과정에서 중요한 역할을 하며, 트러스트페어와 같은 솔루션은 공급업체 은행 정보 변경을 지속적으로 모니터링하여 사기를 사전에 방지한다.

둘째, AI가 금융 보안에서 인간의 판단을 대체해서는 안 된다. 과도한 자동화는 직원들이 사기 탐지 프로세스에서 소외될 수 있어 위험을 증가시킨다. 기업들은 사례 관리, 승인 워크플로우, 다층 검증 단계를 강화하여 사기성 결제를 방지해야 한다.

셋째, 결제 사기는 약한 승인 워크플로우 환경에서 번성한다. 기업들은 다단계 인증, 이중 승인 시스템, 엄격한 접근 통제를 구현하여 사기 위험을 줄여야 한다. 이러한 인간 주도 통제를 강화함으로써 기업들은 AI 생성 사기 시도에 대한 강력한 장벽을 만들 수 있다.

트러스트페어 CTO가 제시하는 AI 효율성과 인간 통제의 황금비율

트러스트페어의 사이먼 엘참(Simon Elcham) CTO는 “AI는 이상 징후 탐지와 의사결정 간소화에 뛰어나지만, 인간의 감독은 여전히 중요하다”고 강조했다. 완전한 결제 자동화를 목표로 하기보다는 집중적인 인간 검토를 위해 거래를 지능적으로 플래그하는 것이 목표여야 하며, 이는 업무량을 크게 줄여준다고 설명했다.

그러나 너무 많은 자동화는 위험을 수반한다. 팀이 기본 데이터에서 분리되면 문제 해결이 어려워진다. 이상적인 접근 방식은 AI의 효율성과 의사결정에서 인간의 투명성 및 통제 유지 사이의 균형을 맞추는 것이다. 잘 구조화된 재무 시스템과 통제된 접근, 엄격한 인증 정책이 결제 지시의 무단 수정에 대한 최고의 방어책으로 남아있다.

FAQ

Q: 생성형 AI가 사기 방지에 도움이 되지 않나요?

A: AI는 특정 영역에서 유용할 수 있지만, 사기 방지를 위한 만능 해결책이 아닙니다. 오히려 AI는 사기를 더욱 정교하고 탐지하기 어렵게 만들어 사기의 가속기 역할을 하고 있습니다. 검증된 데이터 기반 접근법과 인간 감독이 더 중요합니다.

Q: 기업이 AI 기반 사기에 대비하려면 어떤 준비를 해야 하나요?

A: AI를 보안 프로세스에 성급하게 통합하기보다는 구조화된 프로세스, 신뢰할 수 있는 도구, 인간 감독 등 기본적인 보안 장치를 강화해야 합니다. 재무 데이터를 ERP나 TMS 시스템에 중앙화하고, AI 사용에 대한 내부 가이드라인을 수립하는 것이 중요합니다.

Q: 실시간 결제 검증이 왜 중요한가요?

A: 딥페이크나 AI 생성 피싱 이메일 같은 AI 기반 사기 수법은 기존의 사후 탐지 방식을 우회하도록 설계되었습니다. 트러스트페어 같은 솔루션을 통한 실시간 공급업체 검증과 은행 계좌 소유권 확인이 사기를 사전에 방지하는 핵심 방법입니다.

해당 기사에 인용된 리포트 원문은 Trustpair에서 확인 가능하다.

이 기사는 챗GPT와 클로드를 활용해 작성되었습니다.