FDS 시장에 수많은 기업들이 경쟁적으로 뛰어들면서 시장을 활성화시키고 있다. 이 때문에 보안업계에서는 FDS를 통해 보안시장의 규모가 커질 것이라고 기대하고 있다. 그러나 FDS 솔루션 대부분이 기술적인 차별점이 없으며, 가격만으로 경쟁하고 있어 시장 규모가 줄고 질서가 무너지고 있다.
FDS 솔루션을 공급하는 기업의 기술적 기반이 각각 다르며, 다른 기술을 가진 기업과 협력하는 형태로 시스템을 구축하고 있다. 대부분의 기업들이 규모가 크지 않으며, FDS 사업을 시작한지 얼마 되지 않아 사기방지 시스템에 대한 전문적인 지식 없이 단순한 패턴매칭 방식의 솔루션을 제공한다.
외산 솔루션의 경우는 국내 금융시장의 특수성을 지원하지 못한다는 한계가 있다. 실시간 온라인 거래를 지원하지 못하며, 시스템 구축 후 정상 거래 패턴을 충분히 수집할 때 까지 소요되는 시간이 오래걸려 빠르게 서비스를 안정화해야 한다는 국내 금융기관의 요구를 수용하지 못한다. 금융감독기관의 가이드나 정보통신망법, 개인정보보호법 등 국내 특수한 규제를 만족하는데에도 외산 솔루션은 어려움을 겪을 수 있다.
금융기관에서 요구하는 FDS 기술 수준이 낮다는 점도 FDS 시장을 기술이 아니라 가격경쟁으로 치닫게 하는 요인이 된다. 금융기관들은 핀테크에 역량을 쏟아붓고 있는 상황으로, FDS는 핀테크를 서비스하기 위해 필요한 일부 보안기술 중 하나일 뿐이다.
현재 금융사들은 핀테크 서비스 모델이 정리되지 않은 상태에서 보안을 얘기하는 것은 어렵다고 항변한다. 즉 FDS는 금융감독당국에서 의무적으로 정한 규정만을 지키는 수준에서 마무리하고 ‘돈 되는’ 핀테크에 올인한다는 뜻이다.
“금융사고 발생하면 피해는 소비자의 몫”
금융감독당국은 금융사고가 발생하면 금융사에게 책임을 묻겠다고 경고하고 있지만, 실제 사고가 발생하고 소송이 벌어지게 되면 대부분의 경우 책임은 사용자에게로 돌아가게 된다. 소송에 시간과 비용이 많이 들기 때문에 피해자들이 소송을 끝까지 진행할 여력이 없는데다가 법원은 대체로 기업의 편에 서기 때문이다.
금융사들은 다른 보안시스템을 도입했을 때와 마찬가지로, 금융감독당국이 정한 항목만을 만족시키는 저가의 FDS를 구축한 후 사기방지를 위해 모든 책임을 다했다고 발뺌하고, 사기 피해를 입은 사용자에게 사고의 책임을 전가시키키는 악순환이 반복될 것으로 보인다.
김인석 고려대 교수는 “검증되지 않은 FDS 솔루션이 범람하고 있는 상황에서, 정부와 금융당국이 FDS 솔루션의 기술 수준을 평가할 수 있는 기준 마련하는 것이 바람직한 일이다. 그러나 FDS 가이드라인이 또 다른 면책사유로 악용된다면 소비자에게 심각한 피해가 발생하게 될 것”이라며 “정부 뿐만 아니라 금융사, 민간 기업에서도 기술 표준을 만들고, 기술 수준을 검증할 수 있는 객관적인 지표를 마련하는 것이 중요하다”고 조언했다.
지난해 금융보안연구원이 금융기관 회원사와 FDS 관련 업계의 의견과 해외 사례를 조사해 발표한 ‘이상금융거래 탐지시스템(FDS) 기술 가이드’가 FDS 시스템 구축 시 필요한 기초자료로 활용되고 있는 상황이다.
이 가이드에는 적극적으로 의견을 개진한 몇 몇 토종 솔루션 벤더에게 유리한 항목이 포함돼 있다는 점이 지적된다. 물론 가이드가 법적인 강제성을 갖는것은 아니며, 금융기관이 를 구축할 때 참고용으로 사용될 수 있는 수준이지만, 업계 표준이 없는 상황에서 금융사고가 발생해 소송으로 번졌을 때 금융사는 해당 가이드를 참고해 시스템을 운영했다고 주장하면 일정부분 면책을 받을 수 있다는 분석도 나온다.
FDS 업계에서는 “FDS가 지나치게 출혈경쟁으로 치달으면서, 기존 보안 시스템 시장의 고질적인 문제를 계속 이어가고 있다”는 자성의 목소리가 나오고 있다. 그럼에도 불구하고 실제 사업에서는 기술적 차별점보다 가격을 강조하는 상황이 반복된다. 대규모 FDS 사업이 집중되는 현 시점에서 주목할만한 레퍼런스를 확보하지 않으면 향후 FDS 시장에서 생존하기 어렵다는 위기의식이 팽배해있기 때문이다.
금융사, FDS 전문 역량 직접 갖춰야
이상적인 FDS를 구축하기 위해서는 금융기관이 FDS에 대한 전문적인 역량을 갖춰야 한다. PCI-DSS와 같은 글로벌 금융 컴플라이언스는 신용카드사들이 직접 보안을 위한 기술표준을 만들어 이와 과련된 기술을 공급하는 벤더들이 신용카드사가 요구하는 수준의 솔루션을 개발할 수 있도록 했다.
이처럼 금융사가 직접 주도하는 민간 산업표준이 제정돼 실제 사기거래를 정확하게 탐지할 수 있는 환경이 마련돼야 한다. 사기거래패턴은 개별 금융사에서 가장 정확한 정보를 가장 많이 갖고 있다. 그동안 금융 서비스를 제공하면서 축적해온 사고 시나리오를 바탕으로, 어떤 형태의 거래에서 사기가 발생하는지 파악하고 있기 때문이다.
대부분의 금융기관은 사기거래를 탐지하는 전담조직을 운영하고 있으며, 이미 몇 년 전 부터 FDS를 구축해 운영해온 경험도 쌓여있다.
한 증권사의 정보보안팀장은 “금융서비스 안정성을 위해 금융감독기관이 가이드라인이나 규제를 정하면서 이를 준수할 것을 요구하지만, 해당 규제는 지나치게 세부적인 항목에 치우쳐 있으며, 해당 항목만을 만족하면 감사에서 보안사고 예방을 위한 책임을 다했다고 인정받는다. 이러한 상황에서는 금융사고가 발생했을 때 소비자를 보호하지 못한다”고 말했다.
FDS 전문가·전담조직 만들어야
FDS 구축에 참여한 또 다른 금융기관의 실무자는 “FDS를 구축할 때는 자사의 관련 조직 뿐 아니라 관계사·협력사와 폭넓게 협업하면서 이상거래를 확인하는 과정이 필요하다”고 설명했다.
예를 들어 중국IP에서 300만원 이상 거래가 발생했을때 거래를 잠시 중단한다는 룰이 있을 때, 299만원의 거래가 발생한다면 이 거래를 중단해야 하는지 판단하기 어렵다. 콜센터에 접수된 보이스피싱 사고 중 같은 이체통장 계좌가 발견됐다거나, 보안팀에서 수집한 피싱·파밍 사이트의 IP 주소가 같거나 하는 등의 연관된 정보가 함께 수집된다면 299만원의 거래는 잠시 중단하고 본인에게 확인해야 한다.
이상거래로 판단돼 거래가 중단됐을 때 추가 인증을 요구했을 때, 추가인증을 수행하지 않는 사용자가 있다면 공격자일 가능성을 배제하지 않고 해당 거래와 관련된 정보를 수집해야 한다. 그리고 향후 같은 계좌 혹은 연관된 계좌에서 거래가 발생했을 때 비교하는 것도 필요하다. 만일 정상 사용자가 진행하는 거래라면 필요한 거래일 경우이므로 추가인증을 진행하거나 고객센터에 전화해서 본인확인 절차를 밟을 확률이 높다. 공격자라면 추가인증 수단이 없어 거래를 중단했을 가능성이 있다.
또 다른 금융기관에서 FDS 구축 담당자는 “오랜 시간 동안 많은 거래에서 정상/이상 행위 패턴을 수집해 분석하면서 실제 거래에 대응하고 수정·보완작업을 통해 오탐을 줄이는 노력이 지속적으로 필요하다”며 “이를 위해서는 사기거래 탐지를 위한 전문적인 식견을 가진 전문가와 강력한 의지를 가진 전담인력이 필요하다”고 주장했다.
금융보안연구원의 ‘이상금융거래 탐지시스템(FDS) 기술 가이드’에서는 사기거래 탐지 전담팀을 배치하고, 유관부서와의 긴밀한 업무협조가 이뤄져야 한다고 권고했다. 전문상담원을 배치해 고객들이 이상거래와 관련된 문의를 했을 때 전문적인 지식을 갖고 대응할 수 있어야 하며, 신규 이상행위 탐지·탐지패턴을 생성할 수 있는 전문인력 양성과 데이터 접근·통제·암호화 요건도 만족해야 한다고 설명하고 있다.
