모든 유형의 사기가 증가하고 있으며, ATM 사기도 예외는 아닙니다. 은행, 신용협동조합, 결제 처리업체 및 ATM 공급업체들은 ATM 환경 전반을 강화하고 각종 사기를 저지르기 어렵게 만들기 위해 상당한 자원을 투입해 왔습니다.
점대점 암호화, 화이트리스트, 기기 페어링과 같은 조치들은 ATM에 추가적인 보안 계층을 더해, 잭팟팅이나 중간자 공격과 같은 공격이 훨씬 더 어려워지게 만들었습니다. 또한 EMV 칩과 안전한 비접촉식 데이터 저장 및 통신 기능을 갖춘 카드들도 더욱 정교해졌습니다. 안타깝게도, 이러한 최신 카드 기술이 안전한 데이터 교환 방식을 제공해 주었지만, 카드에서 가장 취약한 부분인 자기 줄무늬는 여전히 남아 있습니다. 대다수 카드의 자기 줄무늬에는 여전히 암호화되지 않은 데이터가 저장되어 있어, 이 데이터를 훔치거나 "스키밍"하여 부정 사용하려는 시도는 전 세계 사기꾼들이 선호하는 공격 수단이 되었습니다.
일부 추정에 따르면 스키밍 공격으로 인해 금융 기관과 고객은 연간 최대 10억 달러의 손해를 보고 있습니다. 이러한 공격이 증가함에 따라 많은 금융 기관에서 스키밍 방지를 최우선 과제로 삼고 있습니다. 스키밍은 일반적으로 ATM에 설치된 악성 하드웨어를 사용하여 이루어지기 때문에 첫 번째 방어선은 일반적으로 카드 리더기 자체에 있습니다. 최신 ATM 카드 리더에는 이물질 감지, 최소 삽입 너비, 데이터 재밍 등 카드를 효과적으로 스키밍하기 어렵게 설계된 기능이 포함되어 있는 옵션이 있습니다. 그러나 스키밍은 끊임없이 진화하는 위협이며 하드웨어 방어 기능이 위협을 줄일 수는 있지만 완벽하지는 않다는 점을 기억하는 것이 중요합니다. 직원의 정기적인 육안 검사나 24시간 조명 및 비디오 모니터링과 같은 운영 및 환경적 단계를 추가하면 효과를 더욱 높일 수 있습니다.
스키밍 공격으로 인해 금융 기관과 고객들은 연간 최대 10억 달러의 손실을 입고 있다.
안타깝게도 고급 카드 리더와 운영 프로세스가 스키밍을 더 어렵게 만들기는 하지만 스키밍을 완전히 방지하지는 못합니다. 이러한 스키밍 방지 전략은 스키머의 존재를 감지하거나 스키머의 효과를 줄이려는 시도에 의존합니다. ATM에서 이러한 전략을 구현하는 것은 구현 시점에서는 성공할 수 있지만, 많은 경우 새는 배에서 물을 빼내는 것과 같은 느낌을 줄 수 있습니다. 특정 ATM에서는 카드 스키밍이 발생하지 않을 수 있지만, 독립적인 ATM, 주유소, POS 등 카드를 사용하는 다른 곳에서는 여전히 스키밍이 발생할 수 있습니다.
스키밍 방지 전략의 또 다른 범주는 스키머가 수집한 데이터의 가치를 줄이거나 제거하여 향후 스키밍을 방지하고 스키밍과 관련된 잠재적 사기 노출을 줄이는 것입니다. 이 분야에 대한 큰 투자 중 하나는 거래 사기 탐지 기능을 개선하는 것입니다. 특히 카드 소유자의 일반적인 행동을 벗어난 거래를 더 잘 식별하면 카드 소유자의 정보가 사기성 구매에 사용되는 경우를 더 빨리 식별할 수 있습니다. 이렇게 하면 스키밍 활동을 통해 도난당한 고객 데이터의 사용 가능성을 줄일 수 있습니다.
이 전략에서 한 걸음 더 나아가 마그네틱 스트라이프 폴백 거래를 끄면 스키밍된 데이터의 잠재적 사용을 더욱 줄일 수 있습니다. 일반적으로 스키머는 데이터가 암호화되지 않고 쉽게 읽을 수 있기 때문에 카드의 마그네틱 띠에 있는 데이터를 복사한 다음 다른 카드의 빈 마그네틱 띠에 데이터를 기록합니다. 이렇게 획득한 데이터를 사용하려면 카드의 암호화된 EMV 칩을 읽으려는 시도가 실패한 후 마그네틱 스트라이프 거래를 허용하기 위해 ATM 또는 POS가 필요합니다. 이러한 마그네틱 스트라이프 기반 거래를 승인하지 않으면 스키밍된 카드 데이터의 잠재적 사용 가능성이 급격히 감소합니다. 마찬가지로 보안 비접촉식 카드 읽기를 사용하면 카드 리더에 카드를 삽입하는 과정이 전혀 필요하지 않으므로 스키머가 마그네틱 스트라이프의 데이터를 읽을 수 없게 됩니다.
궁극적으로 카드의 마그네틱 띠를 제거하면 카드 소유자 데이터의 보안이 강화되고 스키밍 가능성이 더욱 줄어들 것입니다. 카드의 다른 데이터 요소에는 강력한 암호화가 포함되어 있으므로 암호화되지 않은 데이터를 보관하는 한 가지 요소를 제거하면 스키밍 시도로부터 의미 있는 데이터를 얻기가 훨씬 더 어려워집니다.
요컨대, 스키밍 위협에 대응할 수 있는 "모든 것에 맞는" 정답은 없습니다. 대부분의 사기 공격 수법과 마찬가지로, 한 가지 조치만으로는 완벽하게 예방할 수 없으며 여러 가지 보호 조치를 겹겹이 쌓는 접근 방식이 전반적인 효과를 높일 수 있습니다. 자신과 고객을 더 효과적으로 보호할 수 있는 방법에 대해 자세히 알아보려면 Dropbox에 문의하여 자세한 상담을 받으세요.
