이상금융거래 탐지 시스템

국내 금융 서비스에서 사용자의 가입과 거래 시점에서의 사전 인증 방식은 부정 거래를 차단하는 데 매우 큰 효과를 거두었다. 아직은 사후 인증 구축에 미흡하다고 평가받는 국내 온라인 신용카드와 사후 인증에 주력하고 있는 페이팔의 서비스 부정 사용률 비교로도 쉽게 예측할 수 있다. 2014년 공개한 한 카드사의 온라인 신용카드 부정 사용률은 0.006^이며, 사후 인증 방식을 주로 이용하는 페이팔이 0.3% 수준임을 감안하면 비율로만 약 50배 차이가 난다. 페이팔은 개인을 식별하는 수단으로 이메일과 신용카드 등록만 이용하고 있으나 거래 시 비자카드와 마스터카드 등이 만든 신용카드 국제 보안 규격이나 FDS, 상호 승인 후 비용이 지급되는 에스크로 서비스 등을 통해 금융 사고를 예방하고 있다. 

그럼 사전 인증은 사후 인증보다 뛰어난 것일까? 사전 인증은 거래가 완료되기 전에 부정 거래를 차단하는 것이 주된 목적이고, 사후 인증은 동일한 방식으로 여러 차례 개인정보나 금전적인 피해를 입히는 부정 사용자나 사용패턴을 조기에 발견해 지속적인 피해를 미리 차단해주는 역할을 한다. 과거 국내에서는 사전 인증에 집중했지만, 해킹 기법의 고도화로 인해 대량의 개인정보 유출이나 동일 수법을 이용한 다수의 부정 사용을 효과적으로 차단하지 못했다. 또한 국내법에 의한 사전 인증 강화는 핀테크 사업의 발전을 방해하는 걸림돌이 되기도 했다. 대표적인 예가 액티브X와 공인인증서 등이다. 금융기관에서는 해당 규제의 폐지로 인해 기존 인증을 대체할 수 있는 방식과 사후 인증 강화에 대한 적용 검토가 이루어지고 있다. 

금융권에서 적용하고 있는 대표적인 사후 인증 방식인 FDS는 단순히 거래 데이터를 활용한 보안 시스템 정도로 여길 수 있으나, 보안 기술과 이를 모니터링하는 인력에 의한 감지, 그리고 거래를 연계하고 있는 기관의 정보가 유기적으로 연결된 시스템이라고 할 수 있다. 

이상 거래에 대한 탐지는 크게 두 가지 방식을 종합적으로 분석한다. 첫 번째는 노인이 평소 카드를 이용하던 시간이 아닌 야간에 게임 아이템을 결제하거나 인근의 마트나 온라인 쇼핑몰에만 이용되던 주부의 카드가 새벽 시간에 유흥주점에서 결제되는 등 사용자의 패턴과 관계없는 구매를 차단하는 룰방식이다. 두 번째는 1회 이상 사고가 접수된 가맹점에서 결제가 반복적으로 이루어지는 등 고위험군 가맹점 정보, 사고 발생 이력 등을 점수화해 사고 여부를 예측하는 스코어 방식을 이용한다. 이런 이상 거래 탐지 시스템들은 후불 결제인 신용카드에서 주로활용이 가능하며, 국내 가맹점 결제 후 단시간 내 이동이 불가능한 해외 가맹점에서 결제하는 등 해외 불법 카드 이용자들을 차단하는 데도 효과적으로 쓰일 수 있다. 하지만 이런 불법 이용패턴을 걸러내는 데도 고려할 사항이 있다. 룰이 너무 강하면 다수 거래에 대해 부정 사용으로 의심하게 되어 모니터링하는 인원도 많이 필요할 뿐만 아니라, 자칫 정상적인 거래에 대해 고객에게 불편을 줄 수 있어 사전에 다양한 각도에서의 시뮬레이션이 필요하다. 

2014년 12월 기준 국내 17개 시중은행 중 FDS가 구축된 곳은 세 곳뿐이며, 이를 구축 중인 은행에서도 이상 거래로 예상되는 고액 연속 이체 샘플 중 실제 사고는 0.01%일 정도로, 단편적인 거래나 단말기 정보를 통한 이상 거래를 정확히 예측하기는 쉽지 않다는 입장이다. 개인사업자의 급여 지급이나 물품대금 지급, 계좌 정리, 주거래 은행 변경 등의 개인 자금이체가 이상금융거래로 추정되는 거래 형태가 많기 때문이다. 2016년 말까지 금융감독원의 추진 아래 17개 시중은행과 31개 증권사가 참여해 '금융권 FDS 추진협의체'를 구성하고 고도화를 추진 중이다. 단순히 FDS를 구축하는 것뿐 아니라 장기간의 금융 거래 유형을 분석해 이상 거래에 대한 탐지율을 높이고, 금융 사고가 발생한 사용자의 단말기 정보나 접속 정보의 거래 내역을 분석해 이상 거래 정보를 공유함으로써 공동 대응 체계를 마련하려고 한다. 금융사가 단독으로 FDS를 구축할 경우 장기간의 데이터 축적과 거래 탐지에 대한 노하우가 필요하다. 금융감독원의 추진협의체를 통한 시스템 구축은 좀 더 빠른 시간안에 사고로 인한 금전적 손해와 금융사의 이미지 실추를 예방해주는 역할을 할 것으로 보인다. 

해외에서는 은행이나 카드사 그리고 아마존, 이베이와 같은 쇼핑몰에서도 FDS를 이용하고 있다. 그런데 국내 금융사가 FDS를 도입하는 데 적극적이지 않았던 이유는 국내의 금융 사고에 대한 보상 체계 때문이기도 하다. 페이팔이나 알리페이 등 해외 금융사들은 사고 발생 시 자체 보험 시스템을 통해 선보상을 하고 있으나, 국내의 경우에는 수사기관에 신고 후 내용에 대해 입증된 경우에 한해서만 보상해주고 있어, 금융기관에서 서두를 필요가 없다는 문제점을 지적했다. 또한 해외 은행은 이체 기간이 1~5일가량 되는 지연이체제도를 시행하고 있어 FDS를 통해 이체 기간 동안 부정 거래를 탐지할 시간적 여유가 있으나, 국내는 즉시이체만 이용하기 때문에 이체 시점에 부정 거래를 사전 탐지하는 방식을 이용할 수밖에 없었다. 전자금융거래법 시행령의 개정으로 인해 빠르면 2015년 하반기부터 국내에서도 이러한 전자자금의 지연이체제도를 도입해 의심되는 금융 거래에 대해서 선택적으로 지연이체를 신청한으로써 금융 사기로부터 소비자를 보호할 예정이다. 

PG사의 경우에도 카드 정보를 직접 저장하면서 FDS를 의무적으로 구축해야 한다. 페이팔이나 알리페이 등 핀테크업체의 국내 진출을 예상했을 때 FDS의 구축이 신뢰도 면에서 우위를 결정하는 중요한 사안이 될 수 있다. 또한 이와 더불어 국내 금융사에서도 직접 이용자에게 일시적으로 해외 승인을 허용해주는 셀프 FDS 서비스(신한카드)나, 실시간으로 출금되는 체크카드 특성에 맞춘 FDS 서비스를 선보이는 등 적극적인 사례도 늘어나고 있다. 

핀테크 활성화로 인한 다양한 금융 거래 시스템은 무엇보다 사용자에게 안전한 금융 거래 환경을 전제로 제공되어야 할 것이다. 사전뿐 아니라 사후까지도 비정상적인 거래를 차단하는 환경을 구축하기 위해 FDS의 필요성이 더욱 부각되고 있다. 그에 앞서 소비자의 실제적인 피해가 발생하는 경우에 대비해 관련 금융회사가 전자 금융 거래배상책임보험 등을 통해 거래에 대한 사후 책임까지 지는 등 더욱 명확하고 합리적으로 변화되어야 할 것으로 보인다.