2023년 말 금융감독원과 금융보안원이 이상금융거래탐지시스템 (FDS) 운영 가이드라인을 발표하였고, 2024년 1월부터 본격적으로 시행되고 있습니다. 이번 가이드라인의 핵심은 FDS 운영이 부실한 국내 은행이 금융 범죄 발생 시 일정 비율의 피해액을 부담하도록 권고하는 내용입니다.
이번 가이드라인에 따라 국내 은행들은 FDS를 통한 이상금융거래를 탐지, 분석, 그리고 대응할 수 있는 체계를 구축해야 합니다. 권고 사항에 그쳤지만, 소비자 입장에서는 그동안 미흡했던 금융 범죄 방어장치에 대한 보완 및 경각심 재고 차원에서 반가운 소식입니다. 반면, 기업은 이 가이드라인을 준수하고 금융 범죄를 최소화 하기 위해 현재 정책을 검토하고 시스템을 개선해야 하는 과제를 수행해야 합니다.
오늘 FDS 스터디케이스에서는 새로운 금융감독원 FDS 가이드라인에 따른 기업 및 기관이 개선해야할 조치사항에 대해 알아보도록 하겠습니다.
금융감독원 FDS 가이드라인에서 정의하는 이상금융거래란?
우선 이상금융거래에 대한 정의를 명확히 해야 합니다. 사실상 이번 금감원의 가이드라인은 이상금융거래, 즉 사기의 범주를 ‘고객 본인의 의사에 반해 이뤄진 거래 모두’로 확대한 것으로 보입니다. 전통적인 형태의 이상금융거래 탐지 시스템(FDS)이 신용카드 사기나 보이스 피싱과 같은 행위를 탐지하는데 집중했다면, 이번 가이드라인에서는 FDS가 탐지해야 하는 범위가 훨씬 광범위하게 확장된 것입니다.
예를 들어 할아버지의 노령 연금 계좌를 손주가 탈취해 불법 도박 사이트에 사용한 것은 사기로 볼 수 있을까요? 이번 가이드라인에 따르면 대답은 ‘그렇다’에 가깝습니다. 가이드라인에는 ‘미성년자 또는 고령자 보유 계좌에서 단시간 내 과거에 거래내역이 없던 계좌로 소액 다수 이체 탐지’라는 시나리오가 제시되었습니다. 과거 가족 간 명의도용은 사기의 범주가 아니었지만, 이제 할아버지의 연금 수급 계좌로 불법 도박을 하는 손주의 행위는 철없는 행동 아닌 사기 거래로 간주될 수 있습니다. 그리고 이러한 사기 거래가 이뤄진 금융기관에서 충분한 방지 대책을 마련하지 않는다면 피해액을 보상을 해야 한다는 것으로 해석할 수 있습니다.
이상금융거래탐지시스템 (FDS) 가이드라인 적용 대상과 적용 범위
현재는 이 가이드라인 적용 대상은 국내은행에 한정되어 있지만, 고급 정보에 따르면 이 가이드라인은 보험사, 투자은행, 카드사, 전자금융업자 등 금융권 전방위로 확대될 것으로 보입니다. 특히 전자금융업자 6곳 중에는 11번가, 네이버파이낸셜, 카카오페이, 쿠팡페이와 같이 우리에게 친숙한 커머스 업체의 결제수단도 포함되어 있습니다.
그렇다면 기업은 다양한 이상금융거래 케이스를 어떻게 탐지해야 할까요?
금감원은 ‘로그인-전자금융거래-로그아웃’ 세 단계를 모두 FDS 적용 범위로 규정하고 있습니다. 사실 사기꾼은 로그인만 성공하면 조회, 이체, 결제 등 대부분 행위는 어렵지 않습니다. 따라서 금융기관은 어떻게든 사기꾼이 애초에 침입하지 못하도록 부단한 노력을 합니다. 알뜰폰 체크, 휴대폰 점유인증, 신분증 위변조 체크 등이 이러한 노력의 일환입니다. 이 기법은 사기꾼 접근 차단에는 분명 효과적이고, 거래정지를 위한 합리적인 근거 확보 방법입니다.
다만, 이 접근 차단 기법으로 이번에 공개된 가이드라인의 모든 시나리오를 대응하기는 어렵습니다.
위에서 다룬 할아버지의 연금을 탈취하는 손자의 경우에도, 할아버지가 주무실 때 몰래 핸드폰만 가져오면 금융앱 로그인에 큰 어려움이 없습니다. 따라서 이런 케이스를 탐지하기 위해서는 평소와 다른 이상 패턴을 찾아내는 기법이 필요합니다. 금융감독원의 이상거래탐지시스템 가이드라인에서 사기 탐지룰에 대한 중요성과 기대효과가 강조되는 것 역시 같은 이유입니다.
금융감독원 이상거래탐지시스템 가이드라인을 충족하는 위협 인텔리전스 기반 FDS 솔루션
사이버 위협 인텔리전스와 AI 기반 솔루션인 Criminal IP FDS는 다양한 사기 시나리오를 예방하기 위해 패턴 탐지 기능을 제공합니다.
다양한 사기 시나리오 대응이 가능한 Criminal IP FDS의 패턴 탐지 기준
Criminal IP FDS의 패턴 탐지 기능으로 위에서 다루었던 시나리오의 “노령 사용자가 밤 11시 이후 이체할 경우 의심스러운 행동일 수 있다” 라는 탐지 기준을 세우고 적용할 수 있습니다. 새로운 이상 패턴을 검증하기 위한 행동 데이터 수집 및 라벨링 후 정탐률과 오탐률을 평가합니다. 평가 결과 성능 기준을 만족할 경우, 탐지 규칙을 바로 시스템에 적용하여 실시간 모니터링 및 경고 시스템에 통합할 수 있습니다.
물론, 패턴 탐지 모델로도 모든 케이스의 이상금융거래를 완벽히 방어하기는 어렵습니다. 탐지 모델은 기본적으로 케이스에 대해 명확한 Yes/No를 분류하지 않고 , 위험의 정도를 나타내기 때문입니다. 따라서 이상거래 신호가 감지된 건은 추가 조사를 할 수 있는 모니터링 시스템이 필요하며, 상황에 따라 아웃바운드 콜, 화상통화 또는 생체인증 등의 추가 인증도 병행되어야 합니다. 이는 금융감독원에서도 권고하는 방법입니다.
참고로 Criminal IP FDS는 모니터링 편의성을 위해 데이터 리스트를 UI로 제공하고, 엑셀 형태로 내려받을 수도 있습니다.
Criminal IP FDS의 크리덴셜 스터핑 공격 탐지
또한, 크리덴셜 스터핑과 같은 고급 사기 기법을 효과적으로 탐지하고 대응하기 위한 접근도 필요해졌습니다. 크리덴셜 스터핑은 타인의 로그인 정보를 이용하여 무단으로 서비스에 접근하는 행위로, FDS는 이런 비정상적 접근 패턴을 식별하여 즉각적인 경보를 발생시켜야 합니다. 이러한 기술적 대응은 금융기관 뿐만 아니라 고객의 개인정보 보호에도 직접적인 영향을 미치므로, FDS의 역할은 단순한 금융 거래 보안을 넘어서 개인정보 보호까지 확장될 수 있습니다. 더욱이 이번 금감원의 가이드라인은 권고 조치인 반면, 개인정보 보호에 대한 지침은 행정 규칙이라 강제성이 동반되며 불이행 시 과태료 또는 과징금 부과와 같은 처분을 받을 수 있습니다.
크리덴셜 스터핑으로 인한 개인정보 유출 기업 판례
위 행정 규칙을 구체적으로 해석하기 위해 실제 판례를 살펴보았습니다. 판례에 따르면 주식회사 A는 크리덴셜 스터핑으로 인한 개인정보 유출로 과징금 약 1억 원, 과태료 1,000만 원의 처분을 받았습니다. 주식회사 A는 이 처분에 대해 상고하여 고등법원을 거쳐 대법원까지 갔으나 결국 기각되어 원심을 유지하는 판결이 나왔습니다. 기업은 해당 유출 사건이 1) 정상적 로그인 과정에서 발생했고, 2) 보안 시스템을 구축해둔 상태였으며, 3) 사건 발생 후 피해 유저에게 연락하여 적극적인 대응을 했다는 부분을 피력했으나, 결국 받아들여지지 않았습니다.
기업이 정상 로그인 경로에서 발생한 크리덴셜 스터핑을 탐지하는 것이 쉽지는 않았을 것입니다. 그러나, 크리덴셜 스터핑 방어를 위한 서비스 제공자의 적절한 ‘룰 세팅’ 의무를 강조하는 판결문을 보면 행정부와 사법부가 개인정보 안전성 확보에 어떤 기조를 보이는지 알 수 있습니다. 특히, 이 판결문에서 ‘크리덴셜 스터핑’이라는 용어가 11번이나 언급된 것은 주목할 만한 사항입니다. 보안 전문가가 아닌, 법원에 소속된 판사가 이 용어를 적극적으로 사용한 것은, 크리덴셜 스터핑 방지에 대한 기업의 컴플라이언스 요건을 강화하는 방향으로의 변화를 시사한다고 할 수 있습니다.
관련하여 국내 신용카드 부정 사용 사례로 본 간과된 기본 사기 대응 전략 케이스 스터디를 참고할 수 있습니다.
데이처 출처: Criminal IP(www.criminalip.io/ko)
관련 글: