정교한 금융사기가 성행하면서 이상거래탐지시스템(FDS) 열풍이 불고 있다. 핀테크 열풍과 함께 정부·공공기관에서도 FDS 도입을 검토하는 등 FDS는 그야말로 전 산업군의 화두가 되고 있다.
FDS는 정확하게 도출된 정상거래 패턴을 기반으로 다양하게 시도되는 우회공격을 탐지할 수 있어야 하며, 이를 위해서는 장기간에 걸친 이상거래 패턴과 분석 룰에 대한 방대한 경험이 있어야 한다.
정철우 인터리젠 대표이사는 “제대로 된 FDS는 기존에 보지 못했던 패턴과 현상을 볼 수 있도록 하는데, 이를 위해서는 방대한 거래에서 이상행위를 찾아 본 전문적인 경험이 충분히 축적돼 있어야 한다. 특히 실시간 거래가 보장돼야 하는 국내 금융환경에서 오탐·미탐 없이 정확하게 이상거래를 탐지하는 기술은 단기간에 얻어질 수 있는 것은 아니다”라고 말했다.
지능화되는 금융사기 방어 위한 시스템 시급
지난해 하반기부터 핀테크 열풍과 함께 FDS 구축 붐이 일어나게 되자 기술적인 완성도가 떨어지는 시스템이 시장에 경쟁적으로 쏟아져 나오고 있는 상황이다. 특히 이러한 기술은 단말·IP 행위를 단순하게 비교하지만, 단일 거래에서만 이상행위를 찾아내는 것만으로는 지능화되는 전자금융사기를 막을 수 없다.
최근 잇달아 드러나는 무단인출 사고의 경우, 단일 거래만으로는 이상행위를 발견하지 못한다. 공격자는 정확하게 개인정보와 금융정보를 입력했다. 보안카드 번호, OTP 번호, SMS/ARS 인증 등 금융사기방지 서비스도 우회하는 공격이 나타난다.
제대로 된 FDS라면, 단말이나 IP 주소가 평소 사용자가 사용하는 것이 아니라는 점을 분석할 뿐만 아니라, 평소 사용되지 않던 통장으로 자금이 이체될 때 공격자가 대포통장으로 돈을 보내려는 시도가 아닌지 의심해 볼 수 있다.
사용자가 갑자기 공인인증서를 재발급받고, 로그인해서 개인정보를 수정한 후 이전에 사용되지 않았던 계좌로 돈을 송금하는 경우라면 사기거래일 가능성이 높기 때문에 거래를 중단하거나 사용자에게 다시 한 번 본인확인을 요청하는 등의 추가확인을 요구함으로써 이상거래를 탐지할 수 있다.
“FDS, 잡고 싶은 것을 잡는 시스템”
정 대표는 “FDS는 잡고 싶은 것을 잡는 시스템이다. 정교한 프로파일링 기술을 기반으로 한 룰 엔진이 이상행위를 정확하게 찾아낼 수 있다. 정확하게 설계된 룰 엔진이 있다면 금융상품별·사용자별 패턴을 만드는 것도 쉽게 이뤄지며, 새롭게 발생하는 공격/이상행위에 대한 패턴 업데이트도 쉽게 이뤄진다”고 말했다.
인터리젠은 2006년 IP 추적시스템을 개발·공급하면서 이상거래 탐지 시스템 개발 기업으로 성장해왔다. 거래단말이상징후 수집 시스템, 지정PC서비스, FDS 등 금융사기방지를 위한 시스템을 공급하고 있다.
오랜 기간 은행과 이상거래 패턴을 만들어오면서 은행별로 단일공격과 복합공격에 대한 수백가지 패턴을 만들었다. IP·단말 위조 등 우회공격을 방지할 수 있도록 여러가지 상황을 조합해 공격을 탐지하도록 한다.
에이전트·비에이전트 방식을 둘 다 제공해 사용자들이 원하는 보안수준에 맞게 선택할 수 있도록 한다. 강력한 보안을 원하는 사용자는 에이전트 방식으로, 편리함을 추구하면서 보안수준이 높지 않은 거래를 원한다면 에이전트 없는 방식을 선택할 수 있다.
“BMT 통해 실제 기술 검증해야”
FDS 시장이 본격적으로 열리기 시작하면서 국내 솔루션 업체간의 저가경쟁이 벌어지고 있다. 또한 몇 가지 단순한 패턴분석 기능만을 조립하거나 실시간 탐지가 어려운 로그분석 기술만으로 FDS 라고 소개하는 경우도 있다.
정 대표는 “저가경쟁이 시작됐다는 것은 위험한 징조다. FDS는 단순한 패턴 분석만으로 운영될 수 있는 시스템이 아니다. BMT를 통해 실시간 거래 성능에 영향을 미치지 않으면서 이상거래를 정확하게 탐지할 수 있는지 확인해야 한다”고 강조했다.
그는 “핀테크가 유행하면서 간편결제 시스템 시장이 과열되고 있지만, 보안을 고려하지 않은 간편결제는 금융사기공격의 천국이 될 것이다. 정확한 FDS가 뒷받침되지 않은 간편결제와 핀테크는 사용자과 금융기관에 막대한 피해를 입히게 될 것”이라고 주장했다.
한편 정 대표는 FDS가 확장되는 현상과 관련 “금융권 뿐 아니라 정부·공공기관, 게임사, 온라인 쇼핑몰 등 다양한 분야에서 FDS를 구축하거나 자체적으로 개발하고 있다. 내부정보·개인정보 유출 문제를 걱정하는 일반 기업에서도 관심을 갖고 있으므로 시장은 빠르게 성장할 것으로 보인다”고 밝혔다.
