활용 사례
실제 프로덕션 트래픽의 세 가지 단면에서 성공이 어떤 모습인지.
저희 성과 섹션의 수치 — 청구 거절의 약 47% 중앙값 감소, 0.5% 미만의 거짓 양성률, 몇 밀리초 만에 검증 응답 — 는 아래와 같은 통합에서 나옵니다. 여기의 사례는 익명화된 복합 사례이며, 패턴은 실제입니다.
마켓플레이스
문제: 리뷰 폭탄을 가하거나, 판매자 순위를 조작하거나, 환영 보너스 프로모션을 남용하기 위해 수십 개의 계정을 만드는 가짜 계정 그룹.
신호: 2시간 내에 생성된 12개 계정, 모두 다른 연결에서 — 그러나 단일 자동화 클러스터를 가리키는 브라우저 및 변조 흔적과 함께.
신호가 어떻게 복합되는가
실제 브라우저를 사용하는 가정 연결에서의 단일 가입은 특별하지 않습니다. 12개의 다른 가정 연결에서, 동일한 변조 특징을 가진 동일한 자동화 브라우저로 보이는 12개의 가입은 가짜 계정 그룹입니다.
여기서 함께 발동하는 카테고리:
- 자동화 및 봇 (01) — 모든 계정의 헤드리스 브라우저 특징.
- 핑거프린트 변조 (02) — 주장된 브라우저 버전과 일치하지 않는 드로잉 테스트.
- 인프라 남용 (03) — 알려진 사기 운영자가 판매하는 주거용 프록시.
- 행동 이상 (06) — 동일한 패턴으로, 동일한 타이밍으로 작성된 가입 양식.
어떤 단일 카테고리도 그룹을 플래그하지 않습니다. 결합된 위험 점수가 합니다.
정책
마켓플레이스는 최상위 등급에서 차단하고 — 그룹을, 고객이 아닌 — 위험이 높고 신뢰도가 높을 때 전화 인증으로 단계 상향합니다. 그 외 모든 것은 마찰 없이 통과합니다. 실제로 전체 정책은 Noxtica가 반환하는 위험 등급을 읽는 몇 줄의 코드입니다.
결과
가짜 가입은 통합 후 30일 내에 약 70% 감소합니다. 실제 고객 가입 전환율은 변하지 않습니다.
금융 서비스
문제: 카드 부재 사기, 특히 공격자가 카드 정보는 가지고 있지만 카드 소유자의 알려진 기기는 가지고 있지 않은 계정 탈취 공격.
신호: 카드 소유자의 알려진 기기와 일치하지 않는 프로필을 가진 세션. 대응은 완전한 차단이 아닌 단계 상향 인증입니다. 실제 고객은 마찰을 느끼지 않고, 사기 조직은 모든 거래에서 추가 확인을 마주합니다.
신호가 어떻게 복합되는가
카드 부재 사기는 점점 더 공격자가 통제하는 기기에서 실제 도난된 카드 정보를 사용합니다. 기기가 차별화 요소입니다. 저희는 고객별 프로필을 유지합니다. 해당 고객에 대해 이전에 본 적 없는 프로필에서 거래가 들어오면 플래그합니다.
여기서 함께 발동하는 카테고리:
- 하드웨어 검사 (05) — 새 기기는 다른 그래픽, 오디오, 또는 메모리 특징을 가질 수 있습니다.
- 인프라 남용 (03) — 사기 조직은 주거용 프록시 앞에서도 종종 데이터센터 경로에서 운영됩니다.
- 행동 이상 (06) — 카드 소유자의 과거 패턴과 일치하지 않는 결제 타이밍.
새 기기 신호만으로는 악의적이지 않습니다 — 고객은 전화기를 사고, 노트북을 교체하고, 운영 체제를 다시 설치합니다. 저희는 “새 기기의 고객”과 “도난된 카드 정보를 가진 공격자”를 분리하기 위해 다른 카테고리와 함께 가중치를 부여합니다.
정책
알려진 기기의 재방문 고객은, 최상위 등급 아래라면, 마찰 없이 바로 통과합니다. 위험이 높거나 — 또는 비정상적으로 큰 거래에 새 기기가 등장할 때 — 완전한 차단이 아닌 단계 상향 인증으로 처리합니다. 편향은 항상 실제 고객이 구매를 완료하도록 허용하는 방향입니다.
결과
청구 거절 손실은 3개월 내에 약 45~50% 감소합니다. 단계 상향 인증은 소수의 거래에서만 나타나며, 그 대다수는 성공적으로 완료됩니다 — 실제 고객이 확인을 통과하는 것입니다.
신원에 민감한 플랫폼
문제: 비밀번호 없는 로그인과 싱글 사인온 플랫폼은 로그인 링크를 클릭하는 주체가 그것을 요청한 주체와 동일한지 확인해야 합니다. 피싱 킷과 링크 중계 서비스가 그 전제를 깨뜨립니다.
신호: 요청한 것과 다른 프로필에서 클릭된 링크는 추가 확인 단계를 트리거합니다. 피싱 킷과 링크 중계 서비스는 이 게이트에서 잡힙니다.
신호가 어떻게 복합되는가
로그인 링크가 요청되면, 저희는 요청하는 프로필을 기록합니다. 링크가 클릭되면, 프로필을 다시 확인하고 비교합니다. 일치하면 — 같은 브라우저, 같은 기기 — 링크는 자동으로 인증됩니다. 일치하지 않으면, 저희는 클릭을 다른 세션으로 취급하고 추가 확인 단계를 요구합니다.
여기서 함께 발동하는 카테고리:
- 핑거프린트 변조 (02) — 피싱 킷은 종종 헤드리스 브라우저를 실행하며, 그 프로필이 사용자의 실제 기기와 일치하지 않습니다.
- 행동 이상 (06) — 요청과 클릭 사이의 시간, 트래픽의 출처, 세션이 변화하는 방식이 모두 중요합니다.
- 인프라 남용 (03) — 링크 중계 서비스는 일반적으로 클라우드 인프라에서 운영됩니다.
정책
클릭한 기기가 링크를 요청한 기기와 일치하면, 로그인 링크는 자동으로 작동합니다. 일치하지 않으면, 플랫폼은 세션을 통과시키기 전에 이중 인증을 요구합니다. 일치 확인은 링크가 발급될 때 기록된 프로필과의 단순한 비교입니다.
결과
로그인 링크 캠페인에 대한 피싱 성공률은 극적으로 감소합니다 — 일반적으로 성공적인 자격 증명 중계 공격이 90% 이상 감소합니다. 정당하게 기기를 전환하는 실제 사용자는 한 번의 추가 확인 단계를 거친 후 향후 링크를 위한 신뢰된 기기 목록에 추가됩니다.
패턴: 언제 차단하고, 언제 챌린지하는가
세 가지 활용 사례 전반에 걸쳐, 정책 구조는 동일합니다:
- Critical 위험 — 로깅과 함께 차단. 이 세션은 챌린지 비용을 들일 가치가 없습니다.
- High 위험 — 챌린지: 단계 상향 인증, 이중 인증, 또는 수동 검토. 실제 고객은 통과하고, 봇은 그렇지 않습니다.
- Medium 위험 — 관찰. 세션을 로깅하고 대시보드에 표시하되, 마찰은 추가하지 않습니다.
- Low 또는 minimal 위험 — 허용. 트래픽의 대다수입니다.
이 네 가지 행동은 5단계 위험 모델에 매핑됩니다. 가장 낮은 두 등급은 거의 모든 사람에게 “허용”으로 합쳐지지만, 구분을 유지하면 대시보드에서 여러분의 모집단이 어디에 위치하는지 이해하는 데 유용합니다.
관련 읽을거리
- 위협 카테고리 — 이 활용 사례가 참조하는 여섯 가지 카테고리의 상세.
- 판정이 아닌 보정을 선택하는 이유 — 정책이 저희가 아닌 여러분의 것인 이유.
- 엔지니어링 원칙 — 기본값 뒤에 있는 운영 제약들.