침해사고/위협동향

부산은행 “FDS 구축, 룰(Rule) 설정이 제일 어렵더라”

이민형

[디지털데일리 이민형기자] “이상거래탐지시스템(FDS) 구축시 제일 어려웠던 점은 이상행위를 잡아내는 룰(Rule)을 만들고 세팅하는 것이었습니다. 이상행위를 탐지하는 것도 중요하지만, 고객들의 민원을 최소화하는 것도 무시할 수 없기 때문입니다.”

전성인 부산은행 정보보호부장은 12일 역삼동 한국과학기술회관에서 열린 ‘금융정보보호 컨퍼런스’에서 FDS 구축시 가장 어려웠던 부분으로 ‘룰 세팅’을 꼽았다.

전 부장은 “룰을 너무 강력하게 만들면 이상행위의 탐지건수가 많아지고, 이는 고객들의 불편으로 이어질 수 있다”며 “이 때문에 우리는 룰을 만드는 것에 가장 많은 노력을 쏟았다. 빅데이터 분석전문가와 현업에 있는 보안전문가가 머리를 맞대 룰을 만들고 수천, 수만번의 시뮬레이션을 돌렸다”고 말했다.

부산은행은 룰 세팅에만 1개월의 시간을 투자했다고 한다. 룰 세팅에 필요한 테스트 서버는 총 16대를 마련했다. 빅데이터 처리에 사용되는 하둡 클러스터 서버가 3대인 것을 감안하면 상당한 숫자다.

전 부장은 “매번 테스트를 진행해야 되기 때문에 성능적인 이슈를 고려할 수 밖에 없었다”며 “룰 테스트 서버 16대를 통해서 시뮬레이션을 돌리고, 적절한 임계치 아래로 탐지가 되는지, 사고사례가 반영될 경우 어떻게 달라지는지에 대한 테스트를 진행했다”고 설명했다.

이어 “앞서 언급한 것처럼 탐지건수가 많은 룰은 고객 입장에서는 독이 될 수 있어 적용할 수 없다. 이러한 룰을 하나하나 살펴보기 위해서는 테스트 서버의 성능도 우수해야 한다”고 덧붙였다.

FDS 구축완료 후 부산은행은 다양한 거래유형이 존재한다는 것을 파악했다. 한 대의 PC에서 규칙적으로 인터넷뱅킹을 사용하는 ‘화이트리스트’, 다중PC사용, 물리적/시간적 비논리 거래, 해외IP, 중국발 가상사설망 거래 등은 ‘그레이리스트’, 사고이력이 있는 거래는 ‘블랙리스트’로 구분했다.

이 거래유형은 고객성향, 실시간 거래패턴, 실시간 관제 등을 모두 결합해 점수로 판정하게 된다. 부산은행은 유형에 따라 대응책도 달리 적용했다.

전 부장은 “화이트리스트 그룹의 경우 이미 한 대의 PC에서 2채널인증 등을 사용하는 안전한 고객으로 별도의 대응책을 수립할 필요가 없다”며 “그레이리스트의 경우 룰 정책의 변화관리를 통해 별도의 추가 인증(ARS, 문자 등)을 받도록 했다”고 말했다.

전 부장은 FDS 구축시 고려해야할 또 다른 사안으로 성능과 확장성을 꼽았다. FDS로 인해 본 거래에 영향을 미쳐서는 안되며, 텔레뱅킹이나 ATM기기 등 채널을 확장하더라도 쉽게 적용이 가능해야된다는 의미다.

이에 대해 “인터넷뱅킹에서 예비거래시 수집된 로그를 DB에 저장하고 기존 흐름을 계속 진행하되, FDS는 이를 재빨리 분석해 본거래가 이뤄지기전에 차단/추가인증/거래를 할지를 시스템에 알려줘야 한다. 성능의 이슈에서 자유로울 수 없다”고 전 부장은 강조했다.

또 “텔레뱅킹, CD/ATM과 같이 전자금융업무의 채널이 확대되는 것을 지원할 수 있어야 하며, 더 나아가 다채널 상관관계분석도 가능하도록 설계를 해야 할 것”이라고 설명했다.

한편 부산은행은 공인인증서, 키보드보안 등 거래보안수단이 고객들의 자산을 보호해주기에는 부족하다고 판단하고 FDS 구축을 계획했다. 이 은행은 지난해 10월 FDS 구축을 시작해 올해 2월 완성했으며 현재는 안정화 작업을 진행하고 있다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널