검증된 디지털 ID로 푸시 사기행각을 없앨 수 있을까?

푸시 송금은 당신의 고객이나 거래자가 당신에게 '스스로' 돈을 보내거나 '밀어주는Pushing' 것으로 이루어진다. 

하지만 이러한 푸쉬 송금의 가치와 양이 증가하면서, 많은 사람들이 그들이 사기꾼들에게 돈을 송금하도록 속이는 사기의 희생자가 되고 있다.

 

사기꾼들은 대개 빠르게 변하고 성장하는 시장을 가장 먼저 이용하기 마련이며, 푸쉬 송금은 빠르게 은행 보안 시스템을 전복시키는 도구가 되고 있다. 

하루하루 송금을 위한 요청과 송장의 형태로 생활하는 데는 푸시 송금이 필요하지만, 그들은 빠르게 사기범들의 안식처로 변해버렸다. 

이러한 니즈는 사기범들이 가짜 지불 요청을 보내 푸시 송금 사기를 하게끔 초래함으로써 수동 검토, 특이한 활동 식별, 기타 강화된 보호와 같은 금융 기관의 견제와 균형을 미약하게 만들었다.

영국 소비자 협회에 따르면  최근 정부는 은행이 푸시송금사기에 희생된 고객들에게 보상을 의무화해야 한다고 발표했지만, 본질적으로는 송금 요청과 ID확인을 연계시키는 시스템을 도입함으로써, 지불 사기를 근절할 수 있다고 보고 있다.

푸시 결제 사기의 증가

푸시 결제 사기는 사기범이 소비자나 기업을 속여 피해자의 은행 계좌에서 사기범이 소유하거나 거래하는 은행 계좌로 대금을 보내도록 할 때 발생한다.

사기꾼들은 겉보기에 합법적으로 보이는 돈을 요구하는 것처럼 보이기 위해 사회공학적 전술과 사칭 사기극을 사용한다. 

사기 방식중의 하나는 계좌 번호를 대체하는 지불 세부 정보가 포함된 가짜 송장 또는 이메일 요청일 수 있다. 

또는, 당신의 거래 은행인 것처럼 전화를 걸어, 당신의 계좌가 위험에 처해있고 돈을 사기꾼의 다른 계좌로 즉시 옮겨야 할 필요가 있다며 재촉할 수도 있다.

피해자가 지급을 승인하면 사기범의 계좌에 자금이 입금된다. 그러면 사기꾼들은 재빨리 돈을 송금하거나 인출한다

. 

범인이 자금을 받자마자 그 자금은 회수할 수 없게 되고, 피해자가 사기임을 눈치 챘을 때는 이미 사라진 지 오래다.

영국 파이낸스는 최근 밀린 결제 사기 손실 총액이 2019년 4억5,580만 파운드로, 무허가 카드, 원격 뱅킹, 수표 사기 피해 총액 8억2,480만 파운드의 절반 이상이라고 밝혔다. 

개인만이 아니다. 아마존은 최근에 1900만 달러의 송장 사기 사건에서 표적이 되었는데, 아마존은 실제로 구매한 적이 없는 물품에 대해 회사가 지불하도록 판매자 시스템이 조작되었다.

푸시 결제 사기를 막기 위한 몇몇 새로운 위험 완화 전략이 있었지만, 양 당사자가 검증할 수 있는 디지털 아이덴티티에 묶인 결제 요청을 사용하는 것만큼 완벽한 방어책이 되는 것은 없다.

위험 완화

수취인확인 (CoP)은 최근 영국에서 시행되고 있다. 

2020년 6월 영국 결제 시스템 감시기관은 현재 로이즈 뱅킹 그룹, 바클레이즈 그룹, HSBC 그룹, RBS 그룹, 산탄데르 그룹, 내셔널 빌딩 소사이어티 등 6개의 영국 최대 은행 그룹에게 CoP를 구현하도록 요구하고 있다.

수취인확인CoP는 소비자가 자신이 지불하고 있다고 생각하는 사람의 이름이 계좌의 실제 이름과 일치하는지 확인할 수 있게 해 사기꾼들이 다른 사람 행세를 하고 자신도 모르게 개인들을 속여 돈을 보내도록 하는 것을 어렵게 만든다.

문제는 CoP가 실제로 작동하려면 발신자와 수취인 은행 모두 이를 이행해야 한다는 점이다. 

곧 영국에서는, 6대 은행 이외의 은행이라면 누구나, 지불 사기의 위험에 처해 있다는 것을 의미한다. 

이는 많은 금융 기관들을 감안할 때 미국에게 훨씬 더 큰 문제다. 경험상 CoP는 본질적으로 토큰 제스처인데 수취인 이름과 일치하지 않으면 결제는 계속 진행될 수 있다. 

발행은행은 빨간 깃발을 들고 지불을 완전히 끊는 대신, 지불자의 잠재적 실수를 스스로 덮기 위한 경고 정도에 불과할 것이다.

선데이타임스에 따르면 지난해 금융옴부즈만 서비스(FOS)는 푸시페이 사기 피해자로 전락했지만 은행의 대응에 불만을 품은 사람들의 불만을 해소하기 위해 평균 54주가 소요됐다.

여기에 CoP 시스템 자체가 상대적으로 허술한 솔루션으로, 수령인의 계좌이름만 제공된 소트코드와 계좌번호와 일치하면 된다. 

하지만 이것은 사기꾼들이 그들의 은행내역을 변경했다고 통지하는 가짜 송장을 통해 밀린 대금을 보낼 수 있는 또 다른 기회인데, 회사명 또는 제공된 분류 코드의 형식에 약간의 차이가 있다.

검증 가능한 해결책

그럼에도 불구하고 해결책은 존재한다. 

블록체인의 컨센서스와 불변성을 보완하고 지불원에 연결된 생체 인식 확인을 이용함으로써 푸시 지불 사기를 근절할 수 있다.

검증된 ID가 거래의 양쪽에 삽입되면, 공식 채널 밖에서 이루어지는 결제 요청은 단순히 처리되지 않을 것이며, 이는 확인된 두 당사자 간에만 자금이 송수신될 것이기 때문이다.

블록체인을 통한 공감대가 형성되는 Public Key Infrastructure의 사용을 통해 양 당사자의 디지털 ID를 통해 사용자와 서비스의 초기 연결이 이루어질 것이다. 

일단 설립되면, 모든 통신과 지불은 거래가 이루어지기 전에 양 당사자의 키에 의해 서명되고 검증되어야 할 것이다. 

그러면 이것은 활동에 대한 불변의 기록을 갖게 될 것이다.

이렇게 함으로써 더 이상 거래를 용이하게 하기 위해 이메일로 정렬 코드와 계정 번호를 보낼 필요가 없을 것이다. 

대금을 지불하기 위해 발송된 송장은 송부 기관에 의해 서명되고 관련 당사자에 의해서만 해당 수취인에게 지불된다.

일상 생활에서 푸시 결제가 계속되기 때문에 소비자와 기업 모두 특히 사기에 관한 한 잠재적 위험을 경계할 필요가 있다. 

다행히 검증된 자금 ID는 부정 지급 요청을 구별하고 회피하기 위한 필수 수단이다.