software

두 홉 떨어진 사기

발행: (2026년 3월 12일 오전 03:38 GMT+9)
7 분 소요
원문: Dev.to

Source: Dev.to

두 홉 떨어진 사기 커버 이미지

오전 2시 17분에 결제 요청이 우리 시스템에 들어왔습니다.
모든 것이 깔끔해 보였습니다: 새로운 전화번호, 새로운 이메일, 새로운 카드. 일반적인 사기 방지 시스템이라면 즉시 승인했을 것입니다. 우리 시스템도 거의 승인했지만, 거래가 완료되기 전에 그래프 엔진이 관계 탐색을 수행했고— 50 밀리초 안에 놀라운 사실을 발견했습니다. 이 “깨끗한” 거래는 비밀리에 두 홉을 통해 알려진 사기 사건과 연결되어 있었으며, 거래는 차단되었습니다.

전통적인 사기 시스템의 문제점

대부분의 사기 시스템은 거래를 isolated events(고립된 이벤트)처럼 취급합니다. 결제가 들어오면 다음과 같은 질문을 합니다:

  • 이 카드가 이전에 신고된 적이 있나요?
  • 이 이메일이 사기에 사용된 적이 있나요?
  • 이 전화번호가 의심스러운가요?

모든 것이 새로워 보이면, 거래는 보통 승인됩니다. 사기꾼들은 이를 알고 있기 때문에 exact same details(완전히 동일한 세부 정보)를 재사용하지 않습니다. 대신 그들은 networks(네트워크)를 구축하여 신원의 일부를 다양한 거래에 재사용합니다—때로는 전화번호, 때로는 이메일, 때로는 기기 등입니다. 개별적으로는 이러한 거래가 무해해 보이지만, 함께 보면 다른 이야기를 들려줍니다.

행이 아닌 관계로 생각하기

숨겨진 연결을 찾기 위해 Amazon Neptune을 사용해 거래를 관계 그래프로 모델링하기 시작했습니다.

  • 모든 거래는 노드입니다.
  • 모든 엔터티(전화, 이메일, 카드, 디바이스)도 노드입니다.
  • 관계가 이들을 연결합니다.

예시

T1
├── Phone: P1
└── Email: E1

다른 거래가 동일한 전화번호를 사용하면 같은 노드에 연결됩니다:

P1
├── T1
└── T2

시간이 지나면서 거래는 고립된 레코드가 아니라 신원 네트워크의 일부가 됩니다.

Image

사기 행위는 혼자 일어나는 경우가 드물고, 보통 관계 네트워크 안에 존재합니다.

첫 번째 사기 사건

거래 T1이 이전에 발생했으며, 사용된 정보는:

  • 전화 → P1
  • 이메일 → E1

고객이 나중에 이를 사기로 신고했으므로, 그래프에서 T1을 사기 거래로 표시했습니다.

의심스럽지만 허용된 거래

나중에 또 다른 거래가 나타났습니다:

  • 거래 T2
  • 전화 → P1
  • 이메일 → E2

이 거래는 사기 거래와 동일한 전화번호를 공유했지만 차단하지 않았습니다. single connection으로 모든 것을 차단하면 너무 많은 오탐이 발생하므로, 시스템은 관계를 기억하면서 이를 허용했습니다.

네트워크를 드러낸 거래

세 번째 거래가 도착했습니다:

  • 거래 T3
  • 전화 → P3
  • 이메일 → E2

언뜻 보기에 관련이 없어 보였습니다: 사기 사건과 다른 전화, 다른 이메일, 다른 카드. 그러나 그래프 엔진이 탐색을 수행한 결과 다음 경로를 찾았습니다:

T3 → E2 → T2 → P1 → T1 (Fraud)

T3확인된 사기 거래로부터 두 단계 떨어져 있었으며, 이로 인해 차단이 트리거되었습니다.

왜 이렇게 작동하는가

사기범들은 단일 신원을 사용하는 경우가 거의 없습니다. 그들은 다음과 같은 방법으로 사기 인프라를 구축합니다:

  • 일회용 전화번호
  • 일시적인 이메일
  • 공유 디바이스
  • 뮬 계정

각 거래는 개별적으로는 합법적으로 보일 수 있지만, 그 뒤에 있는 네트워크가 실제 이야기를 밝혀줍니다. 그래프 인텔리전스를 통해 우리는 다음을 감지할 수 있습니다:

  • 사기 조직
  • 공유 인프라
  • 숨겨진 신원 연결
  • 다중 홉 사기 관계

모두 밀리초 단위로.

실시간 사기 탐지

새로운 거래가 도착하면:

  1. 그래프에 삽입됩니다.
  2. 시스템이 인근 관계를 탐색합니다.
  3. 거래가 알려진 사기 패턴과 연결되는지 확인합니다.

결정은 승인 전에 이루어지며, 일반적으로 50 ms 정도 소요되어 결제가 완료되기 사기를 차단할 만큼 빠릅니다.

Final Thought

사기란 단순히 의심스러운 거래에 관한 것이 아니라 의심스러운 관계에 관한 것입니다. 가장 위험한 거래가 항상 사기와 직접 연결된 거래인 것은 아닙니다. 때로는 두 단계 떨어진 거래가 가장 위험합니다. 네트워크를 살펴보지 않으면 절대 알 수 없습니다.

0 조회
#software #programming #community
원문 보기
Share:
Back to Blog

관련 글

더 보기 »

트라비고

Gemini와 함께 말하는 속도만큼 빠르게 여행하세요! 라이브 에이전트가 몰입형 스토리텔링 및 3D 내비게이션과 만나는 곳. 이 프로젝트는 Gemini Live Ag...에 진입하기 위해 만들어졌습니다.