핀테크 흐름과 함께 최근에 많이 등장하는 단어 중 하나는 FDS(Fraud Detection System), 직역하면 사기 방지 시스템, 좀더 멋스럽게 의역하면 "이상 금융거래 탐지 시스템"이란 뜻을 가지고 있습니다.
사실 FDS는 전혀 새로운 개념이거나 새로운 기술 분야가 아닙니다. 국내와 해외의 다른 결제 보안 환경 때문에 국내에서 카드사를 제외한 다른 분야에서는 거의 활성화 되지 못했을 뿐 입니다.
최근 국내의 금융 환경도 핀테크로 대표되는 각종 규제가 완화되고 해외처럼 편의성을 우선하는 흐름으로 변화하면서 해외에서 많이 활용되는 FDS라는 일종의 금융 모니터링 시스템의 도입이 국내에서도 그 필요성이 점차 커지고 있기 때문입니다.
오늘은 이 FDS에 대해서 아주 가벼운 부분의 이야기를 다루어 보고자 합니다. 본 글에서는 금융보안연구원이 주최한 FDS 기술 세미나에서 발표 후에 공개된 발표 자료들을 주로 참조하였습니다.
Pixabay 무료이미지. 재사용 가능
왜 FDS가 화두가 되고 있나?
과거 국내는 강력한 보안을 바탕으로 거래시점 부터의 사고 방지에 집중했습니다. 물론 그 보안 조치란 것이 아래 그림과 같이 사용자 단말 단에만 집중되어 있다는 문제점은 있었습니다.
이미지 출처 : 긍융보안연구원 FDS 기술 가이드
이 때문에 보안상 발생하는 문제의 책임도 대부분 이용자에게 주어지거나 문제 발생시의 입증도 이용자에게 요구하는 불합리한 부분도 존재 했었습니다. 그럼에도 이용자의 편의성을 상당히 저해 하면서까지 강화한 보안 조치들로 인해서 북미와 비율적으로 비교해도 매우 낮은 사고율과 사고 금액을 가져 갈 수 있었습니다. 반면에 해외의 경우는 이용자의 편의성과 시장 규모의 확대에 용이한 부분에 초점을 두고 보안 체계를 적용하고 부족한 부분을 사고 감시 모니터링에 투자하였습니다.
관련 이전 글
핀테크 (FinTech) 1. 2014년 금융권과 결제 업계를 뒤흔든 용어 이야기
핀테크 (FinTech) 2(終). IT 기업의 결제, 금융분야의 진출
이와 같은 차이로 국내도 규제 완화 및 간편결제 확대 등 이용자 편의성 위주로 결제 및 금융 환경이 변화하자 FDS가 부각되고 있는 상황입니다.
이미지 출처 : 금융보안연구원 FDS 세미나 신한 카드사 발표 자료 "異常 거래 탐지시스템(FDS) 적용 사례" 발췌
비자코리아의 자료처럼 CNP(비대면 거래) 형태의 거래, 즉 쉽게 이야기해서 가맹점과 결제자와 얼굴을 마주하지 않는 인터넷거래, 모바일 거래 등에서 2008년까지 줄어들던 부정사용 비율이 증가하고 있습니다.
국내 주체들의 FDS 구축해야 하는 이유
국내에서 FDS를 구축하거나 고도화 하는데 힘을 쏟고 있는 곳은 크게 3곳으로 볼 수 있습니다. 우선 14년 하반기 기준으로 농협을 제외 하고 기 구축되어 있던 8개 카드사의 경우 간편결제와 같은 결제 환경의 변화에 대응하기 위해 기존 FDS 를 고도화 하기 위한 계획을 가지고 있었습니다. 농협의 경우도 14년도 하반기에 FDS 구축을 완료 하었다고 합니다.
17개 시중은행과 31개 증권사의 경우도 금융감독원이 FDS 구축 추진 협의체를 구성하고 2016년 말까지 로드 맵을 제시하고 독려하고 있는 상황입니다. 조금 놀라운 곳은 당연히 이러한 시스템이 구축되어 있으리라 생각했던 17개 시중은행 중에서 FDS가 구축된 곳은 단 세 곳이라는 점 입니다.
그리고 인터넷 결제의 사용자 접점에 있던 PG사들의 경우는 여신금융협회가 카드정보 저장 허용 기준을 높은 자본금 비율 외에도 FDS 구축운영, PCI DSS 보안 인증, DR(Disaster Recovery Center, 재해복구센터) 운영을 기준으로 명시했기(주1)때문에 대표적인 PG 3사(KG이니시스, LG U+, KCP)가 FDS 구축 및 고도화를 2014년도 하반기 부터 표방한바 있습니다. 카드정보의 수집 및 저장 허용은 해외와 동일 수준의 간편결제를 구현 가능하게 하는 매우 중요한 요소로 PG사들에게는 국내 진출 예정인 해외 업체와의 경쟁 뿐만 아니라 국내 업체들 간에도 사활이 걸린 사안이기도 합니다.
사실 주체마다 여러 가지 목적과 이유가 있지만 가장 근본적으로 국내에서 결제 환경이 변화 하고 있고 안전한 금융 거래를 위해, 거래의 부정을 모니터링 하는 시스템이 꼭 필요한 환경으로 변화하고 있기 때문입니다.
FDS란 어떤 것인가요?
FDS를 단순히 커다란 규모의 전산 시스템, 보안 시스템으로 여길 수도 있지만 사실 가장 정석적인 개념으로 IT 기술적인 부분뿐 아니라 모니터링 요원의 분석과 연계 기관이 유기적으로 연결되고 정보와 데이터가 엮인 시스템입니다. 국내 카드사들 중 가장 발전적이고 효율적인 FDS를 운영 중이라는 신한카드 사의 자료로 예를 드는 것이 쉬울 것 같습니다.
이미지 출처 : 금융보안연구원 FDS 세미나 신한 카드사 발표 자료 "異常 거래 탐지시스템(FDS) 적용 사례" 발췌
위 이미지 사례를 들자면 카드 이용자가 주부인데 룸살롱 등에서 결제가 일어난다면 사고점수가 높은 이벤트로 알림이 뜨고 모니터링 요원이 이상 거래로 판단하고 조치를 취하게 됩니다. 사례에서 보듯이 FDS는 이상 탐지 뿐만 아니라 이 탐지한 내용을 분석하고 유기적으로 대응하는 경험을 가진 모니터링 인력의 육성도 매우 중요한 시스템 입니다.
이미지 출처 : 금융보안연구원 FDS 세미나 신한 카드사 발표 자료 "異常 거래 탐지시스템(FDS) 적용 사례" 발췌
가장 중요한 이상 여부를 탐지하는 부분에 대해서는 신한 카드사는 사고점수라는 점수 제도와 룰을 도입한 Score 모형을 적용하고 있습니다. 아마도 대개의 많은 FDS 시스템이 이런 유사한 탐지 모형을 가지고 있을 것으로 예상 됩니다.
이미지 출처 : 금융보안연구원 FDS 세미나 신한 카드사 발표 자료 "異常 거래 탐지시스템(FDS) 적용 사례" 발췌
전산 적인 시스템 뿐만 아니라 경찰청, 출입국관리소 같은 연계된 외부 기관들과의 유기적인 정보 교환 통로의 구축이 FDS 시스템을 더 효율적으로 만들어 주는 관건입니다.
이미지 출처 : 금융보안연구원 FDS 세미나 신한 카드사 발표 자료 "異常 거래 탐지시스템(FDS) 적용 사례" 발췌
이미지 출처 : 금융보안연구원 FDS 세미나 신한 카드사 발표 자료 "異常 거래 탐지시스템(FDS) 적용 사례" 발췌
맺으며
FDS는 잘 운영된다면 이상 금융 거래를 적발해 내고 방지하는데 큰 도움이 되는 시스템입니다. 하지만 모든 시스템이 그러하듯 FDS 가 모든 이상 거래를 탐지해주고 사전에 방지해 준다고 맹신해서는 안됩니다. FDS 출발 자체가 결코 완전 무결 할 수 없는 보안 체계및 시스템을 모니터링을 통해 서포트 하는 보완재의 성격이기도 하고 사람이 만든 모든 것은 언제나 완벽할 수가 없습니다.
카드를 이용하는 이용자 스스로도 아래의 신한 카드사에서 이야기하는 수칙 정도는 지켜서 스스로 최소한의 결제 정보를 보호하는 습관은 가질 필요가 있을 듯 합니다.
이미지 출처 : 금융보안연구원 FDS 세미나 신한 카드사 발표 자료 "異常 거래 탐지시스템(FDS) 적용 사례" 발췌
오늘은 최근 뉴스나 언론에서 핀테크와 함께 자주 등장하는 단어인 FDS에 대해서 가볍게 다루어 보았습니다. 한 줄로 요약하자면 FDS란 "거래의 유형을 분석 해서 이상 금융거래를 모니터링으로 감지하고 조치하는 시스템" 이라는 정도로 보시면 될것 같습니다.
주1) 카드번호 저장 PG사로 선정되기 위한 주요 기준은 △자기자본 400억원 이상 순부채비율 200% 이하 △국제 보안표준인 PCI-DSS인증 △자체 부정거래방지시스템(FDS) 및 재해복구센터 구축 등이다.
기사 참조 : http://www.newsprime.co.kr/news/article.html?no=289441
