FDS(부정사용방지시스템)에 대한 사회적 관심이 뜨거워지고 있다. 카드사를 중심으로 구축된 FDS는 금융당국이 연이은 고객정보 유출과 피싱, 파밍등의 사기행위에 대응하기 위한 예방책으로 주목하며 인기를 끌고 있다. FDS는 그동안 수동적이었던 보안 정책에서 벗어나 능동적 보안 정책을 수립하는데 도움이 될 것으로 기대된다. <디지털데일리>는 FDS의 현황과 전망, 구축사례 등을 4회에 걸쳐 조망해본다.

[디지털데일리 이상일기자] FDS(부정사용방지시스템)은 새로운 금융환경과 금융보안 패러다임에서 금융거래의 유효성과 적법성을 검증하기 위한 핵심 요소로 부상하고 있다.

금융 리스크에 대한 선제적 대응방안으로 FDS가 주목받고 있지만 세간에 알려지게 된 것은 아이러니하게도 카드사의 고객정보유출 사고 탓이다.

롯데카드는 지난해 12월 FDS 업그레이드 프로젝트 수행 중 외주개발책임자 직원에 의해 고객정보가 유출되는 사고를 겪었다. 사업 과정에서 일어난 내부통제 부재에 따라 벌어진 이번 사고로 일반인들에게 FDS를 각인시키는 계기가 됐다.

흥미로운 것은 지난 8월 금융감독원이 발표한 ‘금융사고 근절 및 신뢰 회복을 위한금융회사 내부통제 강화방안’ 중 금융사고 방지를 위한 IT인프라 구축 항목에 FDS 구축이 포함돼있다는 것이다.

금감원은 피싱‧파밍 등 금융사기, 신분증 및 세금계산서 위변조로 인한 금융사고가 지속 발생함에 따라 금융권에 FDS와 신분증위변조확인 등 금융사고방지를 위한 IT인프라 확대 구축을 권고했다.

예기치 못한 사고로 주목받게 됐지만 FDS에 거는 금융당국의 기대가 적지 않음을 알 수 있다. 실제로 금융당국은 규제 일변도의 금융 감독 방침에서 벗어나 금융사 각자의 책임을 강화하는 방식으로 규제를 완화하는 것을 정책목표로 삼고 있다.

하지만 규제완화로 발생할 수 있는 정보유출 및 금융사기에 대비하기 위해 금융사가 최소한 FDS는 구축해야 한다는 전제조건을 단 것이다. 실제로 최근 금융감독원은 다시 대포통장을 이용한 금융사기가 늘어나고 있는 상황을 감지하고 각 금융사에 FDS 도입을 독려하고있는 상황이다.

이 같은 금융당국 정책에 관련 기관도 보조를 맞추고 있다. 최근 금융보안연구원이 전자금융거래 안전성 확보, 이용자 보호를 위해 ‘이상금융거래탐지시스템(FDS) 기술 가이드’를 마련한 것.

이에 대해 금융감독원 관계자는 “금융사를 대상으로 FDS 구축을 권고했지만 흉내 내기에 그치는 금융사가 있을 수 있어 최소한의 전산구비 및 프로세스 요건을 정한 것”이라며 “FDS의 효과는 이미 사례로 증명된 바 있어 금융사는 비용보다는 투자의 개념으로 접근해야 할 것”이라고 설명했다.

금융보안연구원이 마련한 가이드는 FDS를 준비하는 금융사, 관련 솔루션 개발 회사들에게 필요한 기술적인 참고 사항을 프레임워크 형태로 담는 한편 이상금융거래를 탐지하기 위한 최소 보안 기능 요구사항 등을 제시하고 있다.

다만 FDS는 금융업종, 상품 등에 따라 다양하게 적용될 수 있어 자신들에 맞는 룰(Rule)을 설정하고 고도화를 꾸준히 진행하는 것이 중요하다는 지적이다.

FDS가 금융사들의 고객정보 보호와 부정거래를 미연에 방지하는 효과를 거둘 수 있을 것으로 기대되고 있지만 부작용도 우려되고 있다.

FDS 구축을 위한 개인정보수집, 처리 과정에서 개인정보의 과도한 수집논란이 있을 수 있기 때문이다. 이는 금융권 빅데이터 분석 도입에서 불거지고 있는 문제점과 일맥상통한다. FDS 역시 데이터 분석 기법을 이용하는 기술이기 때문에 데이터의 중요성은 아무리 강조해도 지나치지 않다.

하지만 개인정보보호법에서 ‘개인정보 최소 수집 원칙’을 규정하고 있는 상황에서 FDS를 위한 개인정보수집은 논란의 여지가 있다는 지적이다. 이에 따라 업계에서는 FDS 구축에 필요한 개인정보 항목과 수집한 개인정보 보호조치 등 FDS 개인정보 수집 활용 전반에 대한 논의가 필요하다고 입을 모으고 있다.

업계의 한 관계자는 “FDS 활용을 위한 시스템 구축과정에 금융사가 의도치 않은 위법행위를 저지르지 않도록 금융당국과 정부의 정보수집에 대한 제도적 장치 마련이 필요하다”고 설명했다.

<이상일 기자>2401@ddaily.co.kr