2025년 10월 1일
몇 년 전 멕시코의 한 관광객이 신용카드를 사용하여 현금 인출기에서 현금을 인출하는 사건이 발생했습니다. 집에 돌아와 카드 명세서를 살펴본 결과, 이 카드로 여러 개의 보석을 구입한 사실을 알게 되었습니다. 이상했습니다: 휴가 중에 이 카드로 아무것도 구입하지 않았을 뿐만 아니라, 거래는 ATM 인출 후 5분이 지난 후 반대편에 있는 매장에서 발생했습니다.
다행히도 은행 팀은 사례를 검토한 후 AI 사기 탐지 도구가 의심스러운 구매로 표시하지는 않았지만 고객이 직접 보석을 구매했을 가능성이 매우 낮다는 데 동의하여 구매 금액을 환불해 주었습니다. 조사 결과, 사기범들이 ATM에 숨겨진 리더기에서 신용카드 정보를 훔쳐 반대편 해안에 있는 공범에게 전송했을 가능성이 높다고 판단했습니다.
현대 결제의 간편성, 신속성, 익명성으로 인해 이와 같은 사기 수법은 인간이 따라잡을 수 없을 만큼 큰 규모로 발생하고 있습니다. 다행히도 이제 AI 애플리케이션이 모든 거래를 모니터링하고 전체 카드 네트워크에서 공격이 있는지 감시하기 때문에 그럴 필요가 없습니다. 이러한 AI 모델은 인간보다 더 효율적으로 데이터를 분류합니다.
마스터카드는 수년간 사기 탐지에 AI를 활용해 왔으며, 현재 연간 1590억 건 이상의 거래를 보호하고 수십억 달러의 사기 손실을 방지하는 데 AI를 활용하고 있습니다. 작년에 마스터카드는 AI를 사용하여 매일 수백만 개의 데이터 포인트를 분석하고 잠재적 위협을 알리는 패턴과 이상 징후를 식별하는Recorded Future를 인수했습니다.
하지만 인간에게 AI가 필요한 만큼 AI도 인간을 필요로 합니다. 자동화된 도구가 단순 작업을 수행하지만, 그 결과가 유용하려면 개발자가 새로운 유형의 사기를 식별하고, 더 큰 네트워크를 방해하지 않으면서 이를 방지하는 방법을 결정하고, 새로운 규칙을 알고리즘에 프로그래밍하는 등 실제 상황을 지속적으로 제공해야 합니다. 이러한 인간의 입력이 인공지능의 원시적인 성능을 관련성 있고 실용적인 인텔리전스로 전환하는 것입니다.
마스터카드의 보안 솔루션 글로벌 책임자인 요한 거버는 AI와 머신러닝 모델이 더욱 강력해지면서 기술만으로 오늘날의 사이버 범죄자들을 능가할 수 있다고 믿고 싶을 때가 있다고 말합니다. "하지만 모든 경고, 이상 징후 또는 플래그가 지정된 거래의 이면에는 알고리즘이 복제할 수 없는 중요한 단계, 즉 사람의 판단이 있습니다. 인간의 판단이 AI와 결합될 때 비로소 진정한 효과를 발휘하고 책임감을 유지할 수 있습니다."
AI는 방대한 데이터에서 미묘한 패턴을 식별하도록 설계되었지만, 항상 이상값을 처리할 수 있는 것은 아닙니다. 사람이 감독하지 않으면 예기치 않은 이벤트로 인해 위협을 놓치거나 잘못된 경보 및 기타 왜곡이 발생할 수 있습니다.
마스터카드의 사기 및 리스크 의사결정 사업부 시장 제공 책임자인 빈스 하우로트는 "이러한 강력한 도구가 있더라도 여전히 사람이 필요합니다."라고 말합니다. "AI의 대응이 효과적인지 확인하려면 상황에 따라 신중하게 판단해야 합니다."
브렛 톰슨(왼쪽)과 빈스 하우로트는 마스터카드의 세인트루이스 테크 허브에서 전 세계 고객들이 끊임없이 진화하는 공격을 방어할 수 있도록 지원하는 두 명의 사이버 전문가입니다. (사진 제공: 미라 벨그레이브)
예를 들어, AI 시스템은 멕시코 휴가 기간 동안 여행자의 신용카드 사용을 모니터링하고 있었습니다. 하지만 AI는 반대편에서 두 건의 거래가 연달아 발생한 것에 대해 뭔가 이상한 점이 있음을 알려줄 사람이 필요했고, 앞으로 유사한 사건이 발생하지 않도록 주의할 방법을 알려줄 사람이 필요했습니다.
이 특정 사기가 다른 고객에게 영향을 미치지 않도록 하기 위해 당시 Brighterion AI 플랫폼에서 일하던 프로그래머인 Haulotte는 지리적으로 불가능한 거래에 플래그를 지정하는 새로운 규칙을 만들었습니다. Brighterion은 신용카드 거래를 연중무휴 24시간 실시간으로 모니터링하고 위험도에 따라 점수를 매기며, 거래가 사기 가능성이 있다고 판단되면 즉시 카드 사용자의 은행에 알립니다. (각 은행은 알림을 보내거나 거래를 거부하는 등의 조치를 취하기 위한 점수 임계값을 사용자 지정할 수 있습니다).
마스터카드의 또 다른 제품인 세이프티 넷은 AI를 사용하여 전체 카드 네트워크에서 공격 징후를 모니터링합니다. 예를 들어, 웹사이트에 단기간 내에 수천 개의 신규 계정이 유입되는 경우 사기꾼이 무차별 대입을 통해 유효한 카드 번호를 추측하기 위해 스팸을 보내고 있기 때문일 수 있습니다.
물론 인공지능 모델은 인간 행동의 세세한 부분까지 모두 이해할 수는 없습니다. 따라서 성공적인 프로모션이나 사이버 먼데이와 같이 사이트의 트래픽이 급증하는 경우 적신호가 켜질 수도 있습니다. 그 차이를 인식하는 것이 바로 사람의 역할입니다.
세이프티넷의 제품 개발 디렉터인 브렛 톰슨은 "이와 같은 진품 거래가 급증하면 계정 관리자와 협력하여 무슨 일이 일어나고 있는지 파악하고 오경보를 방지하기 위한 예방 조치를 마련할 것입니다."라고 말합니다. "인공지능에게 방향을 제시해야 합니다."
범죄 전략은 계속 진화하고 있기 때문에 새로운 위협을 식별하고 이를 차단하는 방법을 결정하는 데에도 사람의 전문 지식이 필수적입니다. 사기꾼들은 자신의 전략이 더 이상 통하지 않는다는 것을 깨닫자마자 새로운 수법을 고안해냅니다. 하지만 AI는 과거 데이터를 기반으로 학습하기 때문에 모니터링 도구가 이러한 새로운 패턴을 항상 즉시 발견하는 것은 아닙니다. 따라서 계속되는 고양이와 쥐의 게임에서 알고리즘을 업데이트하고 훈련시키는 것은 인간 개발자의 몫입니다.
"우리가 완화 조치를 취하면 공격자들은 전략을 바꿀 것입니다. 그런 다음 해당 전략을 파악하고 새로운 완화 조치를 추가할 것입니다."라고 톰슨은 말합니다. "서로가 다음 전개에 어떻게 반응하는지 지켜보면서 끊임없이 왔다 갔다 하는 것이죠."
이러한 끊임없는 역동성 덕분에 톰슨과 Haulotte, 그리고 업계 전반의 동료들은 사기와의 전쟁에서 핵심적인 역할을 담당하고 있습니다.
"사기꾼들의 대담함과 상상력에 계속 놀라고 있습니다."라고 하우로트는 말합니다. "새로운 사기 트렌드는 항상 존재하기 때문에 이에 앞서 나가기 위해서는 새로운 솔루션을 계속 구축해야 합니다. 우리의 작업은 결코 멈추지 않습니다."