금융당국의 FDS 구축 촉구, 책임은 금융사로 이관
금융당국의 FDS 구축 촉구, 책임은 금융사로 이관
  • By Kim Yu-na (yuna@koreaittimes.com)
  • 승인 2014.08.30 02:14
  • 댓글 0
이 기사를 공유합니다

고객정보나 공인인증서 유출 등 금융 보안에 대한 금융사고가 끊이지 않자 금융당국은 카드사, 보험사에 구축된 FDS(Fraud Detection System : 이상거래탐지시스템)를 은행, 증권을 비롯한 전 금융권으로 확대하도록 권고한 바 있다. 하지만 여론에 떠밀린 금융당국이 기본적인 지침도 없이 FDS 구축만 촉구하자 해당 금융사들은 곤혹스럽다는 입장이다.

㈜누리어시스템의 N-FDS 강점

 

 

금융위원회, 금융감독원은 연내 FDS 구축을 사실상 의무화했으나 제대로 된 가이드라인도 없이 모든 책임을 금융사로 이관시키고 권고를 했으니 됐다는 식의 금융당국의 태도에 금융사들은 난처하기만 하다. 또한 금융보안연구원이 뒤늦게 미국 연방금융기관검사협의회(FFIEC)지침을 벤치마킹해 가이드라인을 마련하고 해당내용을 국제표준으로 올리는 작업을 추진 중에 있으나 이것이 제대로 활용될지도 의문이다.

이상 징후를 사전에 포착해 선제적으로 대처할 수 있게 해주는 FDS 기술은 전자금융거래 안전성을 확보하고 이용자들을 보호하기 위한 것으로 이를 최대한 빠른 시일 내에 착수하기 위해 FDS 솔루션 업체들에 대한 설명회나 FDS 구축 사업과 관련된 업체들의 발 빠른 사업 참여와 진행이 요구되는데 금융당국은 두 손을 높고 있는 실정이다.

특히 은행서비스 관련 FDS의 경우 이미 알려진 패턴에 대한 금융사기를 막는 수준으로 방지나 관제 기능이 충분하지 않고 은행서비스의 특성을 반영해 이상 징후를 분석하는 기술 수준까지 구현되지는 않아 최수현 금융감독원 원장은 직접 은행장들에게 뱅킹시스템에 적합한 FDS를 연말까지 구축해 달라는 요청을 했으나 시스템 구축을 위한 적극적인 움직임에는 금융당국의 개입은 없었다.

금융당국의 외면에도 불구하고 지난 825, 영문저널 Korea IT Times는 언론사로서의 사명감을 가지고 국내 주요 은행 및 증권사의 보안담당책임자, 정보보안 솔루션 개발 업체 등 내로라하는 국내의 금융 빛 보안과 관련한 산학연이 모두 참석한 가운데 대쉬! 세계로 전진하는 사이버보안 코리아를 주제로 전자금융사기 대응방안을 제시한 컨퍼런스를 개최했다. 정작 금융당국이 나서야 할 시급성을 요하는 현안사항을 논하는 자리인데도 불구하고 금감원과 금융위원회는 강 건너 불구경을 하는 모습이었다.


새로운 금융 패러다임의 등장

금융환경은 계속해서 변하고 있다. 비대면 전자금융거래 비중이 점차 증가하고 있으며 특히 스마트폰을 활용한 금융거래, 상거래 비중이 급증하고 있는 상황이다.

 

특히 상거래, 쇼핑에 있어 모바일 시장의 성장은 전체 쇼핑 시장의 17%를 차지하고 있는 정도로 매년 급격한 성장률을 기록하고 있다. 또한 최근 온라인상 30만 원 이상 결제 시 공인인증서를 의무로 사용하는 조항이 폐지되면서 전자결제와 전자결제 보안 환경의 변화가 예상되며 최근 카드사의 모바일 앱카드 서비스에서 부정사용이 탐지됨에 따라 새로운 금융환경에서 보안이슈도 제시되었다.

또한 스마트폰에 대한 의존도가 증가하는 상황에 따른 IT 환경 변화, 글로벌 결제업체의 국내 진출 시도에 따른 경제 활동의 변화, 카카오톡을 통한 결제 시스템 도입으로 예상되는 금융시장의 변화 등 전자상거래의 성장과 금융환경의 변화는 다양한 종류의 전자금융사기도 함께 낳으며 이에 금융 보안의 필요성은 사회 문제로 크게 대두되고 있다.

고려대학교 정보보호대학원 임종인 원장은 컨퍼런스에서 금융 패러다임 전환에 따른 과제를 제시하며 금융거래 환경의 변화와 보안 위협 등 국내 특수성을 고려해 새로운 금융보안 패러다임을 인식해야 하며 이에 대응할 필요가 있음을 피력했다. 이에는 거래에 대해 유효성, 적법성을 검증하기 위한 FDS가 가장 핵심적인 요소이며 FDS를 활용하는데 있어서도 각 주체들이 자율적으로 보안을 준수할 수 있도록 지원하고 필요한 기술, 가이드라인 개발과 요구사항 준수 등에 대한 감독을 철저히 해야 한다는 의견을 제시했다.

 

FDS의 향후 발전 방향과 구성 전략

FDS구축 이후에도 보안 위협이 발생할 수 있는 가능성이 충분한 만큼 이를 대비하기 위한 대응책 마련도 시급하다는 주장이 있다. KTB솔루션 김태봉 대표는 컨퍼런스에서 ‘FDS의 향후 발전 방향과 구성 전략이라는 주제로 강연을 진행했다.

현재 FDS 시장에 참여하는 국내 업체는 오프라인 거래 중심 FDS 체계 단말 수집 정보 기반 온라인 거래 중심의 이상징후 탐지 체계 내부 위협분석 중심의 통합로그관리 시스템 체계 이용자 데이터 분석 기반의 빅데이터 시스템 체계로 크게 4가지다

 

김태봉 대표는 FDS 구축 이후 예상되는 5가지 위협으로 진화된 형태의 MITM(Man in the Middle, MITM) 공격 기법의 등장 FDS 우회 기법의 다양화 악성 앱을 통한 RAT(Remote Access Tool)의 확산 보험사기와 같은 계획적이고 조직화된 금융거래 사기집단의 증가 각종 법적 분쟁 및 소송의 증가를 들었다실제 다양한 사례의 위협요소가 예측되는 만큼 FDS 솔루션들의 대응책 마련과 금융당국의 협조가 요구된다.

고려대학교 김인석 교수(전 금감원 국장)이 좌장을 맡아 ‘Business&Technical Dash’를 주제로 진행된 ‘2014 글로벌 금융보안을 위한 FDS 컨퍼런스2부에서는 데이터스트림즈 비즈니스컨설팅본부의 문용수 부장이 전자금융거래의 FDS시스템과 BASS 연계 방안누리어시스템 사업본부의 박환성 팀장이 이상금융거래탐지를 위한 기술 방향 및 N-FDS 소개케이사인 빅데이터 개발팀 박찬익 팀장이 ‘FDS 구축을 위한 빅데이터 분석 플랫폼 솔루션(PAVO EYE)’엠비욘드 최종식 대표가 실시간 분석기반 통합보안(All-in-Ine)솔루션 이상금융거래탐지시스템[Omni FDS], 닉선 강성철 대표가 사이버보안 포렌식 분석 솔루션과 빅데이터(Cyber Security Forensic Analysis Solution&Big Data)‘, 마지막으로 시큐브의 이종주상무가 빅데이터 검색엔진 기반 이상금융거래탐지시스템을 발표했다

 

데이터스트림즈, FDS시스템과 BASS연계방안

FDS 시스템은 빅데이터 분석을 기반으로 하고 있으며 정형화된 여러 가지 패턴을 근거로 하는 룰 방식과 정상 패턴을 유형화 한 뒤 부정사용 패턴과의 상관관계를 계량화해 점수를 매기는 스코어 방식을 접목, 개발된 시스템으로 빅데이터FDS에서 가장 중추적인 역할을 한다

데이터 통합 및 품질 관리 시장에서 데이터 관리 Total IT Service를 제공하는 대표적인 데이터 처리·분석 전문 기업인 데이터스트림즈는 변화하는 금융 시장에 대응하며 빅데이터를 활용한 FDS 구축 경험을 쌓아왔다. 국세청 첨단탈세 방지를 위한 포렌식 시스템 고도화와 근로복지공단 공공보험 대상 FDS 구축, 한국석유관리원 이상징후분석시스템 구축이 그 사례이다. 앞으로도 빅데이터가 적극 활용될 FDS 시장에서 빅데이터 전문기업인 데이터스트림즈의 역할이 기대된다


누리어시스템, 이상금융거래탐지를 위한 기술 방향 및 N-FDS 소개

FDS 탐지정책 및 방법은 이용 환경, 거래 패턴, 거래 사전행위에 의해 종합적으로 결정되며 각각의 허용 범위에 따라 이상금융 거래여부를 판별하는 탐지 방법이 결정된다.

전자금융, 인터넷뱅킹, 스마트뱅킹 금융시스템의 보안 및 시스템 구축을 전문으로 하는 기업인 누리어시스템의 ‘N-FDS’는 모든 IT 데이터에 대한 접근성, 활용성, 컴플라이언스를 가능하게 하며 비대면 전자금융거래 서비스의 거래정보 추출 및 관리, 대량 거래건의 실시간 정보 수집/처리 미 효율적 분석, 이상징후 탐지 및 관제, 룰패턴의 효율적 적용 및 관리를 위한 가장 진보된 기술이 적용된 제품이다.

또한 이상금융거래의 주요 위협에 대응하기 위해 수집되는 대표적인 정보 유형에 대한 금융보안연구원의 기술가이드 준수 조건을 충족하고 있다.

 

케이사인, FDS구축을 위한 빅데이터 분석 플랫폼 솔루션 ‘PAVO EYE’

정보보안 솔루션 전문기업 케이사인의 파보아이(PAVO EYE)’sms 빅데이터 로그에 대한 수집 검색 분석 등 다양한 활동에 대한 원스탑 서비스 제공이 가능한 프로그램이다. 대량의 로그 데이터를 수집하고 의미 있는 정보를 추출 및 분석, 시각화하는 기능을 가지고 있다.

특히 검색 결과를 사용자가 보기 쉬운 그래프 등의 형태로 출력 가능해 금융권 FDS와 고객 특성별 마케팅 활동 정보, 공장 자동화 업무 분석 등 빅데이터가 생성 및 응용될 수 있는 모든 분야에 적용이 가능하다.


엠비욘드, 실시간분석기반통합보안(All-in-one) 솔루션 이상금융거래 탐지시스템 ‘Omni FDS’

엠비욘드의 Omni FDS는 차세대 통합보안기반 제품으로 이상거래탐지 수집 및 인덱싱, 분석, 관리, 리포트에 이르는 국내 유일의 통합보안(All-in-one) 솔루션이다. Omni FDS는 자체 개발한 고성능 엔진 프레임워크, 로그수집 및 분석, 룰 및 시나리오 관리, 사용자 인터페이스, 사용자 관리 모듈의 통합구성으로 최적의 이상금융거래 탐지 서비스를 제공한다.

또한 신속한 탐지 및 분석을 통한 부정거래 방지 및 로그분석 시간 단축을 통한 업무 효율성 증대 뿐만 아니라 통합제품이기 때문에 비용절감의 효과도 가질 수 있다.

 

NIKSUN, Cyber Security Forensic Analysis Solutions&Big Data

포렌식·네트워크 보안 기업인 닉선(NIKSUN)’은 화이트해커그룹 ‘Lock Down’과 직접 공격과 보안에 대한 동영상을 보여주며 컨퍼런스 참가자들의 이목을 끌었다

또한 닉선의 넷옴니(NetOmni)’sms 정보수집에 필요한 사전작업을 획기적으로 줄이면서 전사적으로 분포되어 있는 닉선 장비들로부터 IDS, Anomaly 탐지, 포렌식, 패킷캡처, Flow&SNMP 분석, VoIP 모니터링과 그 밖의 다른 기능들을 모니터링하고 해외직원 내부 통제를 통한 자료 유출 이용감시 등 통합적 관리가 가능에 보안에 더욱 용이하다는 특징을 갖는다.

 

시큐브, Big Data 검색엔진 기반 이상금융거래 탐지시스템

최근 서버 메시지 블록 프로토콜을 이용한 파일 접근 제어 시스템 및 방법과 관련한 특허권을 취득한 시큐브는 실시간 통합 분석 모니터링으로 실시간 IT 수집된 로그 정보를 제공하며 접속자의 위협 분석을 시스템에서 자동 분석해 고객에게 제공한다.

또한 이 날 컨퍼런스에서는 테크앤로의 구태언 변호사가 전자금융거래 사고와 금융회사의 법률상 대응 전략을 주제로 강연을 열었다. 전자금융거래의 발달로 정보 유출 사고를 막기 위한 니즈가 생겼고 금융사고 이후 강화된 각종 규제로 사고 발생시 이중고를 겪을 수 있는 금융권이 기술적, 법률적 대비를 할 수 있는 유용한 내용이 발표됐다.

구태언 변호사는 강연에서 금융거래정보는 정확한 이용자의 정보로 소비수준, 신용상태, 은행 대출정보 등을 파악할 수 있기 때문에 기존에 대비가 잘 안 되고 있던 내부 접속자에 대한 관리·감독이 강화돼야 한다고 강조했다.

 

준비된 FDS여야 금융보안시장 지킬 수 있다

스마트폰이 나날이 발전하면서 언제, 어디서, 어떤 디바이스로든 쉽게 금융거래를 할 수 있게 되었고 이 같은 IT 환경 변화에 따른 금융 거래 환경의 변화를 인지하며 새롭게 등장하는 전자금융사기, 개인정보 유출 사고 등 다양한 금융 관련 보안 위협도 발생할 수 있음을 자각해야 한다. 또한 암시장에서 공공연히 이루어지고 있는 개인정보 DB의 거래 등 국내 금융 시장의 특수한 상황에 대한 고려도 요구된다.

이 같은 조건과 거래에 대한 유효성, 적법성을 검증하기 위해서는 FDS가 가장 유력한 차세대 보안 시스템으로 손꼽힌다. 하지만 FDS(이상거래탐지시스템)의 구축 및 활용을 위해서는 개인정보 수집, 처리가 필요하며 개인정보보호법에서 개인정보 최소 수집 원칙을 규정하고 있는 상황에서 FDS를 위한 개인정보 수집은 과도한 개인정보 수집이라는 문제를 야기할 수 있다.

, FDS와 정보수집의 필요성 설득, 사회적 합의, FDS 정보 수집 관련 가이드라인 등 관련 제반 사항이 마련되지 않은 상황에서 FDS 도입은 문제가 될 수 있다. 따라서 FDS 구축 및 활용 시 필요한 개인정보 항목과 수집한 개인정보 보호조치 등 FDS 개인정보 수집 활용에 전반에 대한 논의는 반드시 우선되어야 한다. 때문에 금융사 및 금융 당국 등은 각 주체들은 문제 해결을 위한 노력과 적극적인 대처 자세를 갖추어야 한다.

금융사의 경우 부정 거래 탐지 외에도 전자금융 사기에 대응하기 위해 보험 가입 등 리스크 관리 방안을 마련해 소비자를 보호하고 보안 사고에 따른 대책을 구축해 두는 것이 필요하다.

금융 당국은 규제 중심 감독에서 이용자 편의성과 사업자 자율성을 보장하는 방향으로 감독 방향을 전환하는 것이 필요하다. FDS 구축을 권고만 하고 모든 책임은 금융사로 떠넘기는 태도가 아니라 FDS 구축 인센티브 등을 통해 FDS를 도입하거나 시스템을 전환하는 금융사가 부담해야 하는 비용을 경감해주는 등의 지원을 해줘야 한다. 또한 안전하고 편리한 전자금융거래를 위한 가이드라인을 마련하고 보급하는 것도 조속히 이루어져야 할 사안이다.

정부는 FDS를 위해 수집하는 개인정보 항목이 관련법 위반이 되지 않도록 법제 개선을 해 FDS 관련 정보 수집에 있어 위법 행위가 없도록 제도적 지원을 해주며 관련 법 조항에 대한 재검토를 하는 노력을 함께 해야 할 것이다.

저작권자 © Korea IT Times 무단전재 및 재배포 금지
By Kim Yu-na (yuna@koreaittimes.com)
By Kim Yu-na (yuna@koreaittimes.com) 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
최신순 추천순
Korea IT Times
View Mobile Site
  • ABOUT
  • CONTACT US
  • SIGN UP MEMBERSHIP
  • RSS
  • 2-D 678, National Assembly-daero, 36-gil, Yeongdeungpo-gu, Seoul, Korea (Postal code: 07257)
  • URL: www.koreaittimes.com | Editorial Div: 82-2-578- 0434 / 82-10-2442-9446 | North America Dept: 070-7008-0005 | Email: info@koreaittimes.com
  • Publisher and Editor in Chief: Monica Younsoo Chung | Chief Editorial Writer: Hyoung Joong Kim | Editor: Yeon Jin Jung
  • Juvenile Protection Manager: Choul Woong Yeon
  • Masthead: Korea IT Times. Copyright(C) Korea IT Times, All rights reserved.
ND소프트