금융당국이 부정사용 의심 거래를 실시간으로 분석해 걸러내는 ‘이상거래탐지시스템(FDS)’을 은행, 증권, 카드 업종 구분 없이 ‘패턴 분석’에 의존해 시스템을 구축하라고 지시해 논란이 되고 있다.
금융보안 전문가들은 온라인과 오프라인, 업종별 결제 프로세스가 상이한데 금융당국이 패턴을 이용한 탐지방식을 FDS 가이드라인으로 적용한 것은 ‘탁상행정’의 전유물이라며 반발했다.
8일 금융당국과 금융권에 따르면 최근 금융보안 사고를 근절하고자 금융당국은 금융보안연구원에서 FDS 구축 가이드라인을 만들어 금융권에 배포했다.
핵심은 FDS가 이상거래 유무를 판별할 때 패턴 분석에 의존해 업종 구분 없이 시스템을 가동해야 한다는 내용이 문제가 되고 있다. 은행, 증권, 카드 거래 업권이 상이하고 거래형태와 지급결제 등 프로세스가 천차만별이어서 패턴을 이용한 탐지 방식이 전혀 실효성이 없다는 의견이다.
한 금융보안 전문가는 “금융당국이 오프라인에 적용하는 FDS를 온라인상에서도 적용하려 하다 보니 오류가 발생하고 있다”며 “온라인 거래가 실시간으로 이뤄지는데 실거래 정보가 아닌 패턴분석을 이용해 FDS를 돌린다는 건 말도 안 되는 논리”라고 지적했다. 예를 들어 은행 온라인 뱅킹 조회건수가 하루 200만건이 넘는데 여기에 월 한 번 결제하는 카드 결제 패턴분석을 적용하는 것과 같다는 말이다.
또 다른 보안 전문가는 “오프라인 금융에서는 패턴을 이용한 탐지 시스템으로 온라인 금융거래는 실거래 데이터를 이용한 차단시스템을 구축하는 것이 맞다”고 설명했다.
FDS를 이용해 파밍을 막을 수 있다는 금융당국의 비전문적인 홍보 행태에도 비판 여론이 확산되고 있다. FDS가 금융사에 구축된 시스템이고 파밍은 고객이 가짜사이트에 악용된 사례인데 어떻게 금융사 FDS시스템과 연결되지 않은 고객 PC를 탐지해 거래를 차단할 수 있느냐는 지적이다.
금융당국의 비전문적인 FDS 구축 가이드라인으로 업종별 특수성을 반영하지 못해 타 업종에서 무용지물이 되는가 하면 일부 거래 채널에서 시스템 구색만 맞추면 넘어가는 허울뿐인 가이드라인이라는 지적도 나왔다.
국내 보험사 FDS 구축 프로젝트에 참여한 한 전문가는 “보험사기는 은행·증권처럼 몇 초 내에 사기 여부를 판정해야 하는 사례와 달리 과거 사례와 다양한 정보 분석력을 접목한 사기 판정이 더 많다”며 “다른 업종에 최적화된 것을 끼워 맞추려니 ‘과탐오탐(지나치게 많이 탐지하다 보니 잘못된 탐지가 일어나는 일)’ 사례도 많다”고 지적했다.
금융사의 사기가 창구 직원, 자동입출금기(ATM), 인터넷 뱅킹, 모바일 뱅킹 등 다양한 채널로 이뤄지지만 일부 ‘채널’에만 FDS를 갖추면 가이드라인을 맞출 수 있다는 것도 문제다. FDS 전문 업체 한 관계자는 “채널 한두 개만 막아서는 사기 방지가 이뤄지지 않는데 대부분 금융사가 전자금융 쪽에만 시스템을 대략 갖추고 ‘구축했다’고 넘어간다”고 꼬집었다.
이에 대해 금감원 관계자는 “실데이터 분석으로 FDS를 구축하는 건 물리적으로 불가능하다”며 “다만 거래 채널별로 특징이 다른 만큼 거래내역을 데이터베이스화해 패턴에 정확하게 매칭시킨다면 현재의 FDS시스템은 전혀 문제가 없다”고 말했다.
길재식기자 osolgil@etnews.com, 유효정기자 hjyou@etnews.com
