주식회사 누리아이티

정보자산의 보안강화를 위한 3단계 인증 보안SW(BaroPAM) 전문기업인 누리아이티

▶ BaroSolution/기술문서

이상금융거래탐지시스템(FDS, Fraud Detection System)란?

누리아이티 2020. 2. 25. 12:20

1. FDS(Fraud Detection System)

 

1.1 FDS 개요

 

FDS(이상거래탐지시스템)는 카드사와 보험사에서 일찍부터 도입해 사용 중인 솔루션으로 이상거래, 사기거래를 차단할 수 있는 플랫폼을 칭하는 이름이다.

 

사용자들의 사용패턴을 정형화한 뒤 이를 기반으로 정상거래와 이상거래를 판별하게 된다. 고도화된 FDS는 보이스피싱을 비롯해 메모리해킹까지 대부분의 공격에 대응할 수 있다는 장점도 갖추고 있다.

 

FDS를 단순히 커다란 규모의 전산 시스템, 보안 시스템으로 여길 수도 있지만 사실 가장 정석적인 개념으로 IT 기술적인 부분뿐만 아니라 모니터링 요원의 분석과  연계 기관이 유기적으로 연결되고 정보와 데이터가 엮인 시스템이다. 따라서, 빅데이터의 처리능력과 이상거래를 판별할 수 있는 인공지능이 강력하다면 하드웨어나 기타 비용을 줄일 수 있다.

 

FDS가 정산거래와 이상거래를 판별하는 첫 번째 기준은 룰(Rule)이다. 금융회사들은 평소 사용자가 금융거래를 하는 시간, 장소, 단말 등에 대한 정보를 수집하고 이에 대한 정책을 설정하게 된다. 룰을 강력하세 만들면 이상거래를 탐지하기는 수월해지지만 정상거래를 차단할 가능성이 높아진다. 이는 사용자들의 불편으로 이어지고 FDS 구축 비용의 증가로 이어질 수 있다.

 

과거 국내는 강력한 보안을 바탕으로 거래시점부터의 사고 방지에 집중했다. 물론 그 보안 조치란 것이 사용자 단말 단에만 집중되어 있다는 문제점은 있었다.

 

이 때문에 보안상 발생하는 문제의 책임도 대부분 이용자에게 주어지거나 문제 발생시의 입증도 이용자에게 요구하는 불합리한 부분도 존재 했었다. 그럼에도 이용자의 편리성을 상당히 저해 하면서까지 강화한 보안 조치들로 인해서 북미와 비율적으로 비교해도 매우 낮은 사고율과 사고 금액을 가져 갈 수 있엇다.

반면에 해외의 경우는 이용자의 편의성과 시장 규모의 확대에 용이한 부분에 초점을 두고 보안 체계를 적용하고 부족한 부분을 사고 감시 모니터링에 투자하였다.

 

이와 같은 차이로 국내도 규제 완화 및 간편결제 확대 등 이용자 편의성 위주로 결제 및 금융 환경이 변화하자 FDS가 부각되고 있는 상황이다.

 

1.2 FDS Work Flow

 

 

 

2. FDS 로그 수집과 저장 구조

 

2.1 로그 수집

 

 

2.1.1 로그 수집 대상

 

-업무계 서버(AP, BP )에서 업무 트랜잭션 결과로 만들어지는 정형/비정형 로그

-업무계 서버 로그가 없거나 로그 내용이 부족할 경우 업무 트랜잭션 결과로 만들어지는 Table Record

 

 

2.1.2 로그 수집 기능

 

-FDS Rule를 구성하는 이상금융거래인자가 포함된 문자열을 추출 또는 DB조회

-추출/조회된 이상금융거래인자 문자열을 인 메모리 DB로 전송

 

 

2.1.3 로그 수집 주의사항

 

-로그 수집 프로그램에 의해 기존 업무 트랜잭션의 지연/중지/장애가 발생하지 않아야 함.

-설정파일 등을 통해서 로그 포멧이 변경되더라도 이상금융거래인자 문자열이 파싱 및 전송될 수 있도록 구현

 

 

2.1.4 수집 로그/추출 데이터

 

업무 구분 추출데이터 비고
로그인 로그 -시간 : 각 트랜잭션 로그 앞에 시간이 명시됨
-고객컴퓨터 IP : 
f_ip_addr:115.140.206.61[~~~]
-고객컴퓨터 MAC : 없으면 NULL,가운데 콜론(:) 제거 후 저장
 f_mac_addr:00:25:22:D9:63:1B[~~~]
-접속매체코드 : 
f_mdm_tp:201[~~~]
-ID : 
f_n01:skyiuna[~~~]
log_dttm
ip_addr
 
mac_addr
 
 
mdm_tp
 
user_id
공인인증서발급 로그 -시간 : 각 트랜잭션 로그 앞에 시간이 명시됨
-ID :
 f_n01:csj1872[~~~]
-인증서변경코드 : ‘01’이외는 수집하지 않음
 f_n06:01[~~~]
-접속매체코드 :
 f_mdm_tp:531[~~~]
-ID :
 f_n01:skyiuna[~~~]
log_dttm
user_id
 
ofcl_cert_chg_item_cd
 
mdm_tp
 
user_id
출국조회 로그 -시간 : 각 트랜잭션 로그 앞에 시간이 명시됨
-ID :
 로그에서 ID 자리 위치 값 확인 필요
-출국여부
 로그에서 Y/N 자리 위치 값 확인 필요
log_dttm
user_id
 
lvcr_yn
이체정보 테이블 -거래일자 : TDR_DT(PK)
-전문일련번호 : TLGR_SN(PK)
-시각 : WRK_DTM
-수취금융기관코드 : RCVG_FNS_CD
-당사타사구분코드 : OUR_ANCD_TP_CD
 ‘1’값만 수집(출금), ‘2’는 입금
-수취은행지점코드 : RCVG_BNK_BRCH_CD
-수취계좌번호 : RCVG_ACNT_NO
-거래금액 : TRD_AMT
-수취계좌명 : RCVG_ACNT_NM
-출금계좌명(당사고객명) : OTAM_ACNT_NM
-출금계좌번호(당사계좌번호) : OTAM_ACNT_NO
-고객컴퓨터 IP : WRK_TRM_IP_ADDR
-뱅킹거래상태코드 : BKNG_TRD_STAT_CD
 ‘02’값만 수집
-채널구분코드 : CHNL_TP_CD
-매체분류코드 : MDM_CLSS_CD
-전자금융매체구분코드 : ELEC_FN_MDM_TP_CD
-ATM기기번호 : ATM_MACH_NO
-ID : WRK_EMP_NO
 
 
log_dttm
 
 
 
 
 
 
 
 
 
ip_addr
 
 
 
 
mdm_tp
 
user_id
OTP발급
(500)
테이블 -OTP벤더코드 : OTP_VEND_CD(PK)
-OTP일련번호 : OTP_SN(PK)
-시각 : WRK_DTM
-교부일자 : DLV_DT
-ID : HTS_ID
-OTP상태코드 : OTP_STAT_CD
 030:이용등록,031:당행이용등록,032:타행이용등록만 수집
 
 
log_dttm
 
user_id
단말기지정 로그 -시간 :
 일시 : [2015/10/05 10:07:25:100]
-ID :
 user_id : [sdi177]
-고객컴퓨터 IP :
 ip_addr : [211.36.145.96]
-고객컴퓨터 MAC :
 mac_addr : [00:25:22:D9:63:1B]
-접속매체코드 :
 mdm_tp : [201]
-하드 시리얼번호 :
 e_n03 : [GEK244RT0NK1HG][하드일련번호]
 
log_dttm
 
 
 
 
 
 
 
 
 
hdd_sn
ARS 로그 -시간
 일시 : [2015/10/05 10:07:25:100]
-ID
 User_id : [sdi177]
-등록일자
 Reg_dt : [2015/10/05]
 
log_dttm