2016년 1월 4일 월요일

[보안] FDS(Fraud Detection System) 이상 금융거래 탐지 시스템

1. FDS란?


1.1 배경

과거 국내는 강력한 보안을 바탕으로 거래 시점부터의 사고 방지에 집중했다. 그 보안 조치란 것은 아래 그림과 같이 사용자 단말 단에만 집중되어 있다는 문제점이 있었다

그림 1-1 전자 금융 서비스 구간에서의 보안 위협 대응
<이미지 출처: 금융 보안연구원 FDS 기술 가이드>

이 때문에 보안상 발생하는 문제의 책임도 대부분 이용자에게 주어지거나 문제 발생시의 입증도 이용자에게 요구하는 불합리한 부분도 존재 했다. 그럼에도 이용자의 편의성을 상당히 저해 하면서 까지 강화한 보안 조치들로 인해서 매우 낮은 사고율과 사고 금액을 가져 갈 수 있었다. 하지만 최근 규제 완화 및 간편 결제 확대 등 이용자 편의성 위주로 결제 및 금융 환경이 변화하자 FDS가 부각되고 있는 상황이다

1.2 FDS 정의

FDS(Fraud Detection System)은 이상금융거래 탐지시스템으로 전자금융거래에 사용되는 단말기 정보, 접속정보, 거래내용 등을 종합적으로 분석하여 의심거래를 탐지하고 이상금융거래를 차단하는 시스템을 의미 한다.

1.3 FDS 필요성

카드사들은 이상금융거래를 사전에 탐지, 차단 함으로써 이용자 피해를 막고 보호 하는데 기여하였다. 스마트기기 및 인터넷 보급이 확산되고, 이에 대한 위협이 증가함에 따라 전자금융거래에 대한 안전성 강화를 위해 이상금융거래 탐지시스템 확대·도입을 필요로 한다.

2. FDS 구성 및 기능


2.1 FDS 구성

FDS 는 다양하게 수집된 정보를 종합적으로 분석하여 이상금융거래 유무를 판별하는 복합적인 시스템으로 크게 4가지 기능으로 이루어져있다.


그림 2-1 FDS 4가지 기능













  • 정보수집 기능 - 이상금륭거래 탐지의 정확성을 위해 크게 이용자 매체환경 정보와 유형 정보의 수집 기능
  • 분석 및 탐지 기능 - 수집된 정보는 이용자 유형별, 거래 유형별 다양한 상관관계 분석 및 규칙 검사 등을 통해 이상 행위를 탐지하는 기능
  • 대응 기능 - 분석된 이상 금융거래 행위에 대한 거래 차단 등의 대응 기능
  • 모니터링 및 감사 기능 - 수집, 분석 대응 등의 종합적인 절차를 통합하여 관리하는 모니터링 기능과 해당 탐지 시스템을 침해하는 다양한 유형에 대한 감사 기능

2.2 정보 수집 기능

그림 2-2 FDS 중 정보 수집 기능의 범위
「이상금융거래 탐지시스템」에서의 정보 수집기능은 이용자 매체환경 정보와 금융거래 유형 정보, 사고유형 정보 등을 수집하는 시스템으로, 분석 및 평가를 위한 기초 정보를 수집












수집정보의 유형은 크게 이용자 매체환경 정보와 사고유형 정보로 구분되며, 다양한 유형의 정보가 수집 및 분석 되어야 정확성을 향상시킬 수 있다.

이용자 매체환경 정보수집

이용자 매체환경에서의 수집정보 종류 

접근 채널 종류 - 인터넷 뱅킹, 스마트폰 뱅킹, CD/ATM 등
수집가능 수준 - 시스템, 네트워크 레벨, 어플리케이션 레벨 등

유일성 보장을 위해 수집되는 정보의 종류는 매우 다양하며, 보통 네트워크, 어플리케이션, 하드웨어 정보를 수집하고 이를 분석하는 방법이 일반적이다.

  • 네트워크 정보 - 전자금융서비스는 유 무선 네트워크를 통해 서비스를 이용하며, 서비스 이용 시 네트워크 패킷 정보를 발생. 패킷 정보에는 출발지, 도착지, 포트번호, 프로토콜, 데이터 크기 등을 포함하고 있으며, 부정행위를 적발 할 수 있도록 발생되는 네트워크 패킷 정보를 의미
  • 어플리케이션 정보 - 보안프로그램, 브라우저 등의 어플리케이션 버전, 언어, 상태 정보 및 내부적으로 발생되는 이벤트 정보 등이 포함. 비정상적인 접근으로 인해 정보가 변경, 이벤트 발생 시 부정행위로 간주할 수 있는 정보를 의미
  • 하드웨어 정보 - 전자금융서비스를 이용하는 이용자 PC의 CPU, 하드 디스크, 네트워크카드(NIC) 등 물리적으로 포함된 하드웨어 정보. CPU, 하드디스크의 시리얼넘버, 네트워크 카드의 물리 MAC 등의 정보를 지니며, 인가되지 않은 곳에서의 접속 시 이용자 단말기를 구별할 수 있는 정보를 의미

정보수집 방벙 및 특징
이용자 매체환경 정보를 수집 하기 위한 방법은 크게 플러그인 기반 또는 별도 수집 프로그램을 통해 정보를 수집하는 방법, 순수 웹 어플리케이션에서 제공하는 기본 기능을 이용하여 정보를 수집 하는 2가지 방식으로 구분 될 수 있다.

  • 플러그인 기반 또는 별도 수집프로그램을 통한 정보 수집
    별도의 독립적인 프로그램(플러그인 기반 포함)을 이용하여 배포한 후 이용자의 금융 거래 시 이용환경 정보를 수집 하여 수집서버로 전송하여 동작하는 방식
  • 순수 웹 기반에 의존한 정보의 수집
    플러그인 이나 플러그인 형태의 프로그램을 배포 할 수 없는 경우 인터넷 뱅킹 서버의 접속정보를 바탕으로 이용환경 정보를 수집하여 수집 서버로 전송하는 방식으로 동작하며, 수집되는 정보는 상대적으로 제한이 있으나 별도의 모듈이나 프로그램 개발이 필요 없어 플랫폼과 웹 브라우저에 독립적인 방식

그림 2-3 이용자 정보수집 방법의 특징 비교


수집 정보의 활용

이상금융거래의 탐지를 위해 수집정보를 이용한 탐지 패턴은 다음 3가지 형태로 구분하여 적용 된다.

  • 이용자 매체환경 정보를 활용한 탐지패턴
    이용자가 거래를 위해 사전에 정한 접속환경(PC, IP, 국가, 거래장소 등) 이외에서의 접속 시도
  • 이용자 변경정보를 활용한 탐지패턴
    공인인증서를 재발급 받거나 또는 이용자 정보를 지속적으로 변경하는 등의 시도
  • 금융거래 정보를 활용한 탐지패턴
    일정 금액이 지속적으로 송금되거나 혹은 해외 계좌로 잦은 송금 등 이용자 금융 거래 유형 패턴과 다르게 발생되는 유형의 거래 시도

2.3 분석 및 탐지 기능

그림 2-4 FDS 분석 및 탐지 기능
「이상금융거래 탐지시스템」에서의 분석 및 탐지기능은 수집 시스템에서 전달받은 수집 정보를 활용하여 이상 탐지 여부를 판단하는 기능으로 탐지 방법은 탐지 모델 별로 상이하며, 데이터베이스에 탐지패턴을 저장하여 관리


탐지모델은 크게 오용탐지모델과 이상탐지모델 기법이 이용되며, 이는 서비스의 유형에 따라 단일 또는 복합적으로 이용될 수 있다.

  • 오용탐지모델
    과거의 부정행위패턴을 기반으로 현재 알려진 패턴과 일치하는지 검사하여 부정행위를 탐지하는 것으로 시그니처(Signature)기반 탐지 혹은 지식(knowledge)기반 탐지로 칭하며, 해당 탐지모델은 과거정보(사고정보 등)에 의존하기 때문에, 비교적 과거정보가 많으면 많을수록 탐지의 오탐률(False Positive)이 낮아지는 특징이 있다.
  • 이상탐지모델
    정상 금융거래 행위(데이터)를 기준으로 상대적으로 급격한 변화를 일으키거나 확률상 낮은 행위가 발생 할 경우를 탐지하는 것이 기본 개념으로, 알려지지 않은 부정거래행위에 대한 사전 탐지가 가능하지만, 정상 행위를 예측하기 어렵고 오탐률이 높으며 수집된 다양한 정보를 분석하는데 많은 학습시간이 소요되는 특징을 갖는다.

2.4 대응 기능

그림 2-5 FDS 대응 기능
「이상금융거래 탐지시스템」의 대응 기능은 분석 및 탐지 기능으로부터 전달받은 결과에 따라 정상, 차단, 추가 인증 등을 수행하는 기능으로 이상 금융 거래에 대해 실질적인 탐지 및 기타 탐지패턴을 반영

지시된 거래에 대한 이상 징후가 발견될 경우 경중도(: 위험, 의심, 주의 등)에 따라 대응방법 또한 달리 적용되어야 한다.
  • 확실시 되는 이상금융거래에 대한 대응
    이상금융거래로 확실시 되는 거래에 대해 지체 없이 차단하고, 차단 내용에 대해 사전에 정의된 규격을 준용하여 사고 내용을 전파 및 공유
  • 이상금융거래로 의심되는 거래에 대한 대응
    이상금융거래로 의심되는 거래에 대해 금융회사에서 사전에 정의한 인증방식을 이용하여 추가인증 후 인증 결과에 따라 거래승인 및 취소여부를 결정하고 이때, 거래취소가 발생된 정보에 대해서는 자사 탐지패턴에 지체 없이 반영함과 동시에 차단 내용을 사전에 정의된 규격을 준용하여 사고 내용을 전파 및 공유


그림 2-6 이상금융거래를 대응하기 위한 대응처리 절차 예시


위와 같이 이상금융거래를 대응하기 위해서는 구축하고자 하는 시스템은 거래차단기능의 제공·다양한 인증기술의 호환·탐지패턴 추가반영·이상금융거래 정보공유 등의 기능이 제공 되어야 한다.
  • 차단 기능의 제공
    부정거래로 확실시되는 거래에 대해 즉시 해당 거래를 차단할 수 있는 기능이 제공되어야 한다.
  • 추가 인증기술의 호환
    이상금융거래 탐지 또는 추정되는 거래가 발생하는 경우 금융회사에서 사전에 정의한 추가 인증 기술과 상호 호환되어야 한다.
  • 통지 기능
    이상금융거래로 확실시 되거나 의심되는 거래에 대해서는 전담 팀(인원), 전문 상담요원에게 통지(예: SMS, 모니터링 화면 표시 등)하고, 전문 상담요원을 통해 이용자에게 통지하거나 직접 확인하는 등의 방안이 고려되어야 한다.
  • 추가 패턴의 반영
    정상 혹은 비정상 거래에 대해서 대응(탐지, 차단 등)이 완료되면, 해당 결과가 탐지패턴에 지체 없이 반영되어야 한다. 정상거래임에도 불구하고 추가인증 등이 수행되거나, 비정상거래가 과도하게 탐지되는 경우에 대해서는 전담 팀(인원)에서 분석하여 탐지패턴의 재조정 및 적용이 필요하다.
  • 이상금융거래 정보의 공유
    사고로 판명 또는 분류된 이상금융거래가 타 금융회사로의 전이를 미연에 방지하기 위해 각 금융회사에서 적발된 이상금융거래 정보는 상호 공유 되도록 해야 한다.

3. FDS 적용분야 및 기대효과


3.1 적용 분야

1. 보험
-
청구 심사 보험 사기 검출
-
역선택에 대한 Underwriting
- Smart
심사자 배분

2. 카드
- 사고 발생 개연성이 높은 거래 탐지
-
카드 분실과 도난, 위조나 변조 사고 탐지
-
사용자의 패턴을 논리화 해 부정 사용 방지
-
최근 사고 유형 패턴을 반영한 유연한 업그레이드

3. 은행
- 비대면 전자금융 거래 서비스의 거래정보 추출 및 관리
-
대량 거래건의 실시간 정보 수집 및 처리

4. 증권
- 거래 패턴 모니터링 강화
-
이상거래 시나리오 관리
-
고객 알림 및 거래 제한 강화
-
대포 통장 위험도 분석

3.2 기대효과
  1. 금융 분야 리스크의 선제적 대응
  2. 실시간 사기탐지를 통한 안전한 금융 거래 서비스 제공
  3. 안전한 금융 거래 및 지급을 통한 고객사의 재무 환경 개선
  4. 신속하고 유연한 업무 운영 환경 구축으로 신규 보험사기 유형에 빠르게 대응
  5. 정직한 지급문화 창출과 선의의 고객 보호를 통해 기업의 브랜드가치 향상



[출처]

금융보안연구원 FDS 기술 가이드

댓글 없음:

댓글 쓰기