1. 전자금융거래 안전성 확보, FDS의 개념 및 필요성
- FDS (Fraud Detection System)
| 개념 | 전자금융거래 안전성 확보를 위해 금융거래 데이터에서 의심 데이터를 탐지하고 이상금융거래 데이터를 분석하여 차단하는 시스템 |
|---|---|
| 필요성 | – 이상거래탐지 공통/자체 룰 적용에 따른 전자금융거래 안정성 제고 – 의심 거래 확인 시 강화된 본인 확인 방법 권고를 통해 유관 피해 예방 – 이상금융거래 근거 확보 시 계좌 거래 정지로 이상금융거래 조치 강화 |
- 최근 금융감독원에서 이상금융거래탐지시스템(FDS) 운영 가이드라인을 발표
2. FDS 적용업무의 범위 및 주요 기능
(1) FDS 적용업무의 범위
(2) FDS의 주요 기능
| 구분 | 주요 기능 | 역할 |
|---|---|---|
| 정보수집 | 이용자 매체환경 정보 수집 | – Data: Direct(이름, 단말 정보 등), Indirect(IP, 접속 시간 등) – Location: Physical(국가, 주소 등), Cyber(도메인, 연결 속도 등) |
| 사고 유형 정보 수집 | – 국내외 금융사 이상거래 패턴 및 유관기관, 단체 공용 정보의 수집 – 밝혀진 사건/사고 조사 및 분석 결과를 패턴(Rule)에 반영 | |
| 분석 및 탐지 | 오용 탐지 | – 과거에 발생된 사고 정보를 이용한 패턴을 생성, 이상금융거래 탐지 – 정상 거래 형태를 벗어나는 행위를 패턴화 하여 이상금융거래 판단 |
| 이상 탐지 | – 정상 이용자 프로파일(Profile)과 비교하여 이상금융거래 유무 판단 – 비정형화 데이터 분석, 규칙 발견 위해 탐색하고 분석 | |
| 하이브리드 (오용+이상) | – 오용 탐지와 이상 탐지 방법이 가진 단점을 상호 보완 – 알려지지 않은 패턴은 이상탐지, 높은 이상 탐지 오탐률을 오용탐지 | |
| 대응 | 이상 금융거래 위험 | – 지체 없이 차단하고, 차단 내용에 대해 사전에 정의된 규격을 준용하여 사고 내용을 전파 및 공유 |
| 이상 금융거래 의심 | – 사전 정의한 인증방식 기반 추가 인증 후 거래 승인/취소 여부 결정 – 거래취소 시 탐지패턴 반영, 사전에 정의된 규격 준용 전파 및 공유 | |
| 모니터링 및 감사 | 운용 현황 | – 하드웨어 기본 성능(CPU, 메모리 등)·디스크 공간, 네트워크 성능 등의 전반적인 현황 |
| 거래 현황 | – 각 서비스별, 이용자별 거래이용 현황 | |
| 대응 현황 | – 각 서비스 별 이상금융거래 탐지 및 차단 건수·, 경고 건수, 조치 내역, 조치 유형 등의 전반적인 현황 | |
| 감사 | – 사후 추적 및 기록 보관을 위해 감사 증적 데이터 생성 기능(또는 유사 내부 통제)의 지원 |
- FDS 적용업무의 범위 전체 단계에 개입하여 금융거래 행위자에 대한 오용(Misuse) 및 이상(Abnormal) 탐지를 서비스 유형에 따라 단일 또는 복합적으로 수행
3. FDS의 탐지 모델과 동작 절차
(1) FDS의 탐지 모델
| 구분 | 탐지 모델 | 탐지 방법 |
|---|---|---|
| 이상탐지 모델 | 패턴 탐지 모델 | – 과거 발생된 사고 정보를 이용하여 탐지 패턴을 생성하고 해당 패턴에 정확하게 일치하는 거래에 대해 이상 유무 판단 |
| 상태 전이 모델 | – 정상적인 거래 절차 및 유형을 벗어나는 행위를 패턴화하여 이상 유무 판단 | |
| 오용탐지 모델 | 통계 모델 | – 과거 이용 환경, 정상 금융거래 정보를 바탕으로 프로파일 생성하여, 발생한 거래와 프로파일을 비교하여 이상 유무 판단 |
| 데이터마이닝 모델 | – 정형화되지 않은 대량의 데이터를 분석하고 규칙을 발견하여 이상금융거래 분석에 활용 |
(2) FDS의 단계별 동작 절차
| 단계 | 동작 절차 | 활동 |
|---|---|---|
| 모니터링 단계 | 리얼타임 모니터링 | – 웹서버 필터를 사용하여 실시간으로 모든 트랙잭션을 모니터링 |
| 배치타임 모니터링 | – 트랜잭션의 저장된 로그파일에 대해 모니터링 | |
| 탐지 단계 | 트랜잭션 캡처 | – 사용자 행위 프로파일을 생성하고 트랜잭션에 대한 이상행위 속성 추출 |
| 이상 행위 패턴 갱신 | – 네트워크로부터 이상 행위 데이터를 자동적으로 갱신 | |
| 포렌식 분석 | – 패턴에 따라 트랜잭션 데이터의 세부내용을 분석하고 추출 검색 | |
| 지능적 이상행위 패턴탐지 | – 데이터간 연관성 분석과 평가를 위해 지능적탐지알고리즘 이용 | |
| 사용자 행위 프로파일 및 학습 | – 개별 사용자에 대해 접속 시점부터 일정 기간 동안 정상 프로파일을 생성하여, 일정 범위를 벗어나는 행위 탐지 | |
| 차단 단계 | 추가적 사용자 인증 및 검증 | – 부정 징후가 탐지된 접근에서 사용자에게 추가적 인증이나 채널 인증 요청 |
| 부정행위 통지 및 경고 | – 의심 행위 탐지 시 경고를 관리자에게 통지 | |
| 사용자 계정 차단 | – 의심 행위 탐지 시 사용자 계정에 접속을 차단 |
(3) FDS 운영 프로세스에 따른 데이터 변화
- 이상금융거래 판별 탐지 절차는 금융보안원 제안의 FDS 국제 표준 ITU-T X.1157 내 정의
4. FDS의 이상 금융거래 판정 방식 및 기준
| 구분 | 판정 방식 | 판정 기준 |
|---|---|---|
| 거래 환경 기반 | 이용 환경 정보 | – IP, MAC의 접속 단말 정보 및 거래 SW 구동 환경 정보에 근거한 거래 원천 차단 |
| 이용자 정보 | – 이용자 지리 정보 및 접속 계정 정보에 근거한 거래 사전 차단 | |
| 거래 패턴 기반 | 이용자별 패턴 | – 이용자별 과거 정상 거래 내역을 패턴화 하고 이를 벗어나는 경우 이상거래로 판단 |
| 그룹 기반 패턴 | – 이용자의 과거 금융 거래와 유사한 집단에 근거하여 새로 발생하는 거래의 이상유무를 판단 | |
| 사전 행위 기반 | 비정상 행위 | – 거래 위치과, 거래 시간, 인증 방법과 같은 금융거래 행위 정보 중 정상적인 금융거래로 판별할 수 없는 경우 |
| 정보 변경 행위 | – 유효 기간 내 공인인증서 신규 발급 대체와 같은 정보 변경 행위의 감시 |
- 최근 FDS는 차원 축소, 랜덤 포레스트 및 인공지능 기반 패턴 분석/탐지 가능하도록 고도화되고 있으며, Paypal, BAE System, 국내 증권사 및 은행 등 활발히 사용중
[참고]
- 금융보안원, 이상금융거래 탐지시스템 기술 가이드, 2014
- 금융감독원, 이상금융거래탐지시스템(FDS) 운영 가이드라인 보도자료, 2023