FDS Strategy - BaroFDS 제품소개서 성공사례분석을통한효과적인 Fraud Detect System 구축전략 2018.11
Table of Contents : Smarter Answer in Fraud Detection 1. FDS 동향 2. 성공적인 FDS 구성요소 3. BaroFDS 제품소개 4. Why BaroFDS? 02 06 15 34 2
금융시장환경및감독기관요구사항 금융거래채널이다양화되고스마트폰등의전자금융수단이발전함에따라, 개인정보유출사고및각종금융사기가급증 하고증가됨. 이에금융감독기관은금융회사에자율권을확대하고사고책임범위를확대하고있음 거래채널다양화 개인정보유출증가 금융사기증가 스마트기기영향으로인터넷뱅킹뿐만아니라텔레뱅킹 (ARS), ATM 거래등다양한채널을통해거래가증감됨 인터넷뱅킹 33.9%, CD/ATM 41.2% 텔레뱅킹 13.3%, 대면거래 11.6% 2013.04 IBK 직원정보유출적발 2013.05 손보사개인정보유출 2013.11 은행대출정보유출 2014.01 카드 3 사유출사건 금융사기의급증및지능화 금융사기단의조직화및대규모화 외국인이포함된금융사기증가 날로발전하는금융사기패턴 금융감독원 FDS 업무추진계획 1 금융감독원 FDS 로드맵 (14~16년) - 1단계 : 블랙 IP/MAC 기준차단 (14년) - 2단계 : 금융거래분석후차단 (15년) - 3단계 : 전금융권공동대응체계구축 (16년) 2 FDS 구축완료인정범위 - 블랙 IP/MAC차단까지는 FDS완료가아님 - 지속적인이상금융거래유형분석 / 적용 / 차단체계가구축되어야완료 3 그외금감원입장 - 기본적으로전자금융사기는금융회사책임 - FDS Rule의공개를가용할수없음 - 15년상반기에구축시작권고 3
금감원 FDS 로드맵 및 가이드라인 특히 2014년 하반기에 발생한 농협 1억2천만 원 인출사고 가 대대적으로 언론에 보도되면서, 일반인들의 금융사고에 대한 관심이 폭증하였음. 이에 14년 12, 금융감독원은 FDS로드맵을 발표하고 구체적인 구축가이드 라인을 제시하고, 금융사에 FDS 조기구축을 종용하고 있음 금융감독원 FDS 로드맵 1단계 : FDS 도입.전자적 장치의 접속정보 수집.이상금융거래 분석 및 차단 2단계 : FDS 확대(2015년).금융거래정보까지 확대.이상금융거래 분석 및 차단.FDS 분석 및 상담전문인력 보유 3단계 : 금융권 공동대응( 16년).FDS 전문인력 확대.금융권 공동대응체계 구축.관련법규 개정 4
2015 년 FDS 구축동향과실제운영현황 이에따라은행을중심으로 FDS 구축이활발하게진행되고있으며대부분의증권사에서년내에 FDS 를구축할예정임. 그러나실제구축과운영에있어서는 FDS Know-how 부족으로구축및실제 FDS 운영에어려움을겪고있음 금융권 FDS 구축동향 완료은행 : 신한, 국민, 농협, 외환, 하나, 우리, 씨티, 경남, 전북, 부산 예정은행 : 6 개사예정 완료증권사 : NH투자, 대신, 메리츠, 미래에셋, 신한금융투자, 유안타, 하이투자증권 예정증권사 : 24개사구축예정언론동향 구축업체 FDS 실제현황은? 구축경험이전무하여솔루션의기능만강조 원인 #1: 금융거래에대한기본적이해부족 원인 #2: FDS 최적 Rule 부재및분석 Know-how 전무 원인 #3: 빅데이터만을강조함금융권旣구축한금융사도대부분 FDS 운영에어려움을호소 원인 #1: 제기능을하기위해서는오랜기간지속적인 분석과경험으로발전되어야함. 원인 #2: FDS 구축업체에만의존 원인 #3: 대부분금융회사에서는추진은보안관련팀에서하지만정확한분석을위해서는업무에정통한담당자의참여가필요하므로경영진의적극적인의지에따른전사적지원이필요함 5
Table of Contents : Smarter Answer in Fraud Detection 1. FDS 동향 2. 성공적인 FDS 구성요소 3. BaroFDS 제품소개 4. Why BaroFDS? 02 06 15 34 6
이상거래탐지율이 FDS 성공운영의 지표? 언론에서는 이상금융거래탐지율 이 중요하다고 이야기하고 있으나, 이 지표가 실금융사고예방을 나타내는 지표는 아 님. 성공운영의 지표는 전체이상금융거래팀지건수, 실제사고건수, 미탐지건수 등을 종합적으로 살펴야 함. - 14.12.16 머니투데이 기사 하나은행의 이상거래탐지율이 71.7%라고 언급 그렇다면 나머지 28.3%는? 이상금윰거래탐지율이 실효적으로 이상거래 를 예방하는 지표로 인식하기 어려움 WTS이상금융탐지실적 전체수동이체건수: Y증권사는 백만 건/ 의 수동이체가 발생함 이상거래탐지건수: 백 만 건의 수동이체 중에서 300~ 600건의 이상거 래를 탐지 7
이상금융거래의 정의 및 핵심지표 FDS시스템 운영 관점에서 이상금융거래 의 명확한 정의는? FDS시스템에서는 FDS룰을 통해서 탐지된 이상금융거래 중에서 실제 금융사고발생 여부에 따라 정탐/오탐으로 나뉨. 또한, FDS에서 미탐(탐지하지 못한 금융사고)도 이상금융 거래의 범주로 포함되므로, 정탐률을 높이고 미탐률을 0%에 가깝게 운영하는 것이 시스템 방향성임. 미탐: FDS에 탐지가 안된 건으 로 사고 후 고객센터와 컨플라 이언스팀에 접수된 금융사고. 미탐률,高信賴시스템 오탐: 이상거래로 탐지했으나, 정상거래인 경우. 오탐률,고효율체계임 정탐: 이상거래로 탐지, 실제 금 융사고 경우. 정탐률,고효율체계임 8
FDS 성공사례: 모금융기관 2006년 시작된 보이스피싱은 2010년대 초반부터 파밍, 메모리해킹, 스미싱 등 신종전자금융사기수법과 맞물려 진화 하고 있음. 대부분 금융사는 이에 대응할 시스템도 갖춰져 있지 않는 상황이나 모금융기관은 금융사기를 거의 완벽하게 방지하고 있음. 모금융기관 사례에서 성공적인 FDS 구축의 중요 요소를 확인하는 것이 필요 http://s1332.fss.or.kr/fss/kr/acro/free/fssbbs_view.jsp?seqno=131943&no=80&page=1&menu=squ040000 금융사기방지는 더 이상 보안업무만이 아니라, 고객만족과 고객유치에 지대 한 영향을 미침!! 2014-11-07 은행과 모금융기관에 계 좌를 가지고 있던 고객이 보 이스피싱을 당한 경험을 등록 한 글로 모금융기관을 통해 금융사기를 방지할 수 있다는 내용과 감사인사를 등록. 9
성공적인 FDS 요소 #1: RULE(1/2) 운영실적과 FDS RULE 백만 13 년 03 FDS 도입한 Y 증권사는 2 년간총 94 회를실제금융사고를탐지, 이중약 17 억원규모의금융사기를예방함. 또한이상금융탐지 Knowhow(FDS RULE) 가축적될수록피해금액이거의없어지는추세를보이고있음 Y 증권사의 WTS FDS 운영실적추이 누적예방금액누적피해금액건수 1,800 1,600 1,400 1,200 1,000 800 600 400 200 25 20 15 10 5-0 03 04 05 06 07 09 11 01 02 03 04 05 07 08 09 10 11 12 2013 2014 피해증가추이 1.4% 94 회실제금융사고건수 2 년간실제발생한사고건수. 운영초기에많은시도가감지되었음. 1,695 백만원피해방지금액 2 년간총 94 회의금융사기에서약 17 억규모의피해를예방함 1.4% 피해증가율 ( 14.9~12) 14 9 FDS 안정화이후, 피해가거의발생하지않는추세를보이고있습니다. 10
성공적인 FDS요소#1: RULE(2/2) RULE과 핵심지표의 상관관계 FDS는 수백만 정상거래 중에서 0.0004%의 사고를 탐지해야 함. 백사장에서 바늘찾기 보다도 더 어려운 업무로 Rule 이 고도화될 수록 미탐을 0%에 가까워지고 정탐률은 높아지는 상관관계를 가짐. 14.05~12(8개) FDS운영실적 수동이체 WTS 이상금융탐지실적 백만건/ 이상거래탐지 400.7건/ 실제금융사고 5.1건/ 미탐 0.625건/ 전체금융거래대비 비율 정상거래비율 99.968% 이상거래로 탐 지된 건수비율 0.032% 실금융사고비율 18 16 600 실미탐비율 0.0004% 0.00005% 탐지실적/금융사고/정탐 500 14 12 400 10 300 8 6 200 4 100 2 0 0 5 6 7 금융사고 8 9 WTS미탐 10 11 이상거래탐지수 12 핵심은 이상금융거래탐지율 이 아니라, 탐지하지 못한 미 탐률 및 실 정탐률이 중요! 미탐률 0%는 모든 이상징후 탐지하고 있음을 의미 정탐률 상승 의미는 금융 사고방지, 업무효율성 RULE이 고도화될수록 정탐, 오탐/미탐 11
백만 성공적인 FDS 요소 #2: 사전차단 사전차단과피해방지율 운영초기, FDS 운영 know-how 부족으로사기피해방지율이 67% 수준에불가했음. 2014 년 09 금융사기근절을위 한특단조치로이상거래로탐지된건에대해사전차단룰을뱅킹시스템에적용하여 97% 대수준으로 UP WTS 피해방지율추이 예방금액 피해금액 400 300 200 100-12 03 187 04 42 05 52 111 76 06 07 09 14 11 244 01 14 02 0 03 38 18 51 2013 2014 04 05 07 40 08 288 09 77 10 245 186 68% 78% 93% 97% 11 12 년 금융사고시, 방지율 비고 3 4 5 68% FDS 시스템오픈 2013 6 7 9 11 1 2 3 78% 의심거래부가인증 2014 4 5 7 8 9 93% 사전차단 10 11 12 97% Rule 강화 68% FDS 초기운영시기 ( 초기 ) FDS 초기운영시에는금융사고대응에대한경험이적어서금융사고가진행중에사고를인지하는경우가많았음.. 78% 의심거래부가인증시기운영초기, 사고는감지되었으나피해예방효과가원하는수준까지이르지않았기때문에이를보안하가위해 의심거래에대한부가인증 " 체계로전환하였습니다. 소기에성과는얻었으나여전히만족스러운수준은아니었음. 97% Rule 강화및사전차단 14 년 9, 뱅킹에사전차단룰을적용하고추가 Rule 반영하여방지율이 93% 수준으로높아져서 2014 년말에는 97% 수준으로피해방기가높아지고있음 12
성공적인 FDS#3 요소 : 이상거래탐지후금융사고대응체계 이상금융거래징후탐지후에는금융사고를줄이기위해서는대응체계가필요. 1 이상금융거래징후탐지시, 금융거래를 차단시키고 2 고객 ( 피해자 ) 에게이상거래에대한내용을즉시통보 3 고객에게직접통화하여혹시사기범에현혹되 었을지모를고객에게상황을인식시켜야함. 즉, FDS 는탐지뿐만아니라, 즉시대응하는시스템이매우중요. 금융감독원자유게시판 http://s1332.fss.or.kr/fss/kr/acro/free/fssbbs_view.jsp?seqno=131943&no=80&page=1&menu=squ040000 대응절차 #1 이상거래징후탐지 1 대응절차 #2 이상거래에대한고객통보 (SMS, 전화 ) 2 4 3 대응절차 #3 통화및고객설득 대응절차 #4 고객의사후처리안내 13
성공적인 FDS 의핵심구성요소 FDS 구축에는다년간의축적된 FDS Knowhow 가필요함. 만약, 이런운영을최소화면서도구축즉시성과를내는시스 템을도입하려면금융사고대응경험에기반한 FDS Rule 필수임. 또한, 탐지즉시사전차단이가능한초고속 Infra 가구 성되어야하며, 사건발생후이에대응할수있는사고대응체계가구비되어야만성공적인운영이가능!!! FDS Rule 이상금융거래탐지경험지식필요 FDS 시스템이도입후, 즉시성과 를내기위해서는, 이상금융거래 탐지에대한노하우가확보되어야 함. 핵심은 FDS Rule! FDS 탐지후대응체게 FDS Response System 금융사고대응체계 차단후, 빠르고체계적으로대응하는것이중요 함. FDS 금융사고대응체계! Real-time Transfer Block 이상금융거래의실시간차단 이상금융거래탐지시, 이체전에차단이되어야 금융사고가예방됨. 즉, 초고속인프라가필수임. 실시간차단을위한초고속인프라! 14
Table of Contents : Smarter Answer in Fraud Detection 1. FDS 동향 2. 성공적인 FDS 구성요소 3. BaroFDS 제품소개 4. Why BaroFDS? 02 06 15 34 15
BaroFDS 소개 BaroFDS는 이상금융거래탐지 및 대응업무에 대한 모금융기관의 2년간의 Know-how을 바탕으로 개발된 금융권 유일 의 검증된 FDS 솔루션으로서 복잡한 금융권 환경에서 쉽고 빠르게 적용하여, 구축 즉시 효과를 발휘할 수 있음. 1. 현장에서 검증된 FDS Rule 2년간 모금융기관에서 운영된 FDS Rule 을 적용하여 즉시 현장 FDS적용 및 운영이 가능 2. 실시간 로그 수집 가능 Collecting 다양환 환경에서도 간단한 환경 설정만으로도 쉽게 실시간 로 그수집이 가능하여, 복잡한 금융시스템환경에 적합 3. 실시간 사전차단 구현 Real-Time In-Memory 기반 아키텍처로 설계되어, 이상금융거래탐지 즉 시 사전차단이 가능함. 4. 축적된 사고대응체계 RESPONSE PROCESS ANALYSIS & UPDATE 2년간 현장 경험으로 축전된 대응체계가 시스템화 되어, 금 융사고 대응 및 처리가 용이합니다. 5. Rule Audit & Simulation 발생되는 미탐을 분석하여 신규 Rule을 만들고, 파라미터 조 정을 통하여 정탐을 높이는 룰 최적화를 손쉽게 실현 BaroFDS 어떤 환경에서던 각종 로그를 실시간 수집분석하여 이상금융거래탐지 즉시, 사전차단이 가능한 금융권의 유일의 검증된 Fraud Detection System 16
특장점#1 Rule(1/3) -이상금융거래의 특징과 이해 금융사기는 해킹/파밍 등으로 통한 피해자 대상자의 기초정보를 습득하고, 보이스피싱을 통하여 최종 정 RULE 보를 획득하여 사기범죄를 실행. 이런 행위는 일상적인 행동과는 다르기 때문에, 이 패턴이 기록된 로그를 분석하면 탐지할 수 있는 이상금융거래인자의 도출이 가능하고 이를 조합해 Rule 구성이 가능. 금융사기 유형의 예 -특징MAC Address, IP Address 불일치 사기범이 피해자 컴 퓨터에서 직접 접속 하지 않기 때문에 과 거 피해자가 접속한 컴퓨터의 Mac address 와 일치하 지 않음 -특징피해자 계좌와 대포계좌 관계는 無 ⑤ 인증서 재발급 해킹 / 파밍 / 스미싱 메모리해킹 ③ 피해자 기본 정보 습득 보이스 피싱 사기범 ① 보이스 피싱 (공공기관사칭) ④ 추가 개인 정보 ② 개인정보 및 금융정보유출 예) 계좌정보, 비밀번호 사기범,대포통장,피 해자는 관계가 서로 아는 사이가 아니기 때문에, 따라서 이전 금융거래내역은 없 음. ⑥ 다건 이체시도 -특징공인인증서 재발급 BANK WTS / MTS ⑦ 대포통장에 다건 소액입금 BANK 피해자 대포통장 피싱 사기범은 반드시 피싱사기 피해자의 공 인인증서를 재발급함. 기 발급된 인증서를 획 득하기는 어렵고, 기습 득한 개인/법인정보로 인증서 발급이 가능 -특징대포통장에 대한 이체금액, 이체횟수 사기범은 피해자가 인 지하기 전에 출금을 시 도한다. 현재 시행되고 있는 300만원 이상의 지연인출제도를 회피 하기 위에 이체금액과, 다건 이체가 시도된다 17
실제 금융사기범이 수집한 개인정보 18
특장점#1 Rule(2/3) 이상금융거래탐지인자 누BaroFDS에서는 이상금융거래징후를 찾아낼 수 있는 Value를 이상금융거래인자라고 지칭. 이런 인자들 RULE 을 개별적/평면적으로 조사하는 것으로는 사기예방이 어려움. 인자들을 발생빈도나 범죄형태에 따라 체계 적/구조적으로 조합하는 것이 중요하며 이를 어떻게 조합하느냐에 따라, 오탐/미탐이 결정됨 3차 이상금융거래요소 구조화 1차, 2차에서 확인되지 않은 이상금융거래에 대해서, 이체를 실행하는 순간의 패턴과 행위를 예측하여 징후를 감지 시, 즉지 차단하여 금융사고를 사전에 예방 이체정보 2차 이상금융거래요수 구조화 사기범의 범죄패턴에 따른 분석을 기반으로 심화된 Rule을 생성. 2차 징후를 보다 빠르고 정확하게 예측하여 이상금융거래를 차단 공인인증서 해외출국 1차 이상금융거래요소 구조화 IP/MAC Terminal IP Address, MAC Address, 단말기 정보, 브러우저 정보, 해외IP 등 쉽게 인지할 수 있는 인자들로 1차적인 Rule을 생성 해외IP 이상금융거래탐지 인자 피라미드 19
특장점#1 Rule(3/3) 조합된 인자기반 FDS RULE SET FDS RULE은 여러 가지의 이상금융거래인자가 조합되어 구성됨. 실제 고객의 사용환경 및 행동패턴에 대한 RULE 축적된 로그를 기반으로 룰을 만들고, 사기건의 환경/패턴에서 이질성을 감지하여 이상금융거래를 탐지함 실제 RULE SET #1 現수신된 ID의 IP와 mac 주소가 로그인 Table에 t-1일(전일) ~T -365(전일) 에 없으면 비정상 #2 現수신된 ID의 IP 또는 mac 주소가 해외IP면 비정상임 #3 現수신된 ID의 접속매체가 로그인 테이블에 t-1(전일) ~ T-365(전일) 에 없으면 비정상임 Login Table 금융패턴 ① 동일PC 접속 ② 국내에서만 사용 MAC IP address 01/09 IP address mac ③ WTS로만 접속 A씨 01/11 01/13 01/24 IP address 202.113.0.XXX mac B 사기범 00:A0:CC:23:AF:4A 사기범 환경 신규PC 중국에서 접속 01/26 202.113.0.XXX Channel 01/24 01/25 WTS WTS 01/26 HTS HTS로 접속 상이 01/25 00:A0:CC:23:AF:4A IP Range 123.45.X.X 상이 KOR 202.113.0.XXX CHN 20
특장점#2 다양한 Platform을 지원하는 Log-Collector FDS의 또 다른 핵심은 기존업무에 변경을 거의 주지 않고 로그를 실시간으로 수집하고, 이를 필요한 형태로 Collecting 저장이 가능해야 함. BaroFDS는 J2EE기반의 Collector로 어떤 환경에서 즉시 로그수집이 가능함 ① 실시간로그수집: 환경변수 설정만으로 Source 종류에 상관없이 실시간으로 수집 가능 ② 필요형태저장: 로그포맷터를 보유해 환경변수만으로도 비정형/정형에 상관없이 원하는 형태로 저장가능 ③ 부하분산: 순차적 배분(Round Robin), 동적배분(Random) 가능 ④ 장애대응: 장애 시 이를 감지하여, 다른 Thread (또는 다른 Instance)로 대체 및 비정상 종료시 재기동으로ㅗ 안정적인 수집 가능 BaroCollector Architecture Logs exec ① 실시간로그수집 Collector Master#1 (Thread#1) Baro Agent M1 Source Channel M1 M2 SINK - Formatter - Detector - Store File Collector Master#2 (Thread#2) spooldir M2 Source Channel M1 M2 SINK - Formatter - Detector - Store File shell Collector Master#X (Thread#X) M2 M1 MX DB DB pooling ② 필요형태로 로그데이터 파싱 ③ 장애대응 Source Channel Extreme Speed In-Memory DBMS SINK - Formatter - Detector - Store M2 M1 21
특장점#3 초고속 인-메모리 아키텍처 (1/2) BaroFDS는 극초고속 인메모리 기반 아키텍처로 설계되어, 이상금융거래인자를 기반으로 각종 로그발생 후 Real-time 고객채널 고객의 과거의 금융 프로파일을 빠른 시간에 분석 대조하여 이상거래징후를 탐지하고 거래를 차단함 BaroFDS BP Server Banking 사용자 Detector 정의 Dashboard Log exec Baro Agent WTS Collector Thread File MTS Source spooldir Channel File ARS shell Baro Baro Collector SINK - Formatter - Detector - Store Fraud Detector Rapid Fraud Responder Detecting Thread Log Formatter Log Formatter Detector 사고계좌등록 SQL generator Alert 사고 확인 업무배정 Rule Set 등록/해제 사고처리 Baro Rule Generator 초고속패턴조회 Rule Admin Extreme Speed In-Memory DBMS 과거 데이터 조회 DB DB Polling - 초고속 데이터 입력 - 초고속 데이터 조회 사고계좌 Database 사고보고 Legacy 후선 처리 Rule Repository 신규 Rule 적용 ATM Legacy Banking System Fraud Audit & Simulator - Data Analytics - Rule Simulator - 탐지모델 개발 - 통계, 상관분석, 데이타마이닝 - SMS BaroOTP Compliance Team 대응 고객센터 22
특장점#3 초고속 인-메모리 아키텍처 (2/2) 이상징후탐지는 현재 패턴과 고객의 과거금융이력을 비교하여 상이성을 찾는 것이 핵심. 예로, 고객께서 Real-time 127.168.*.* IP주소에서 과거에 한번이라도 접속했는지를 빠르게 검색한다면, 이상징후를 즉시 확인할 수 있음. 즉, 이상금융거래인자와 RULE을 극초고속으로 비교분석하는 것이 사전차단의 핵심임. BaroFDS의 Query Performance 특정 대역대의 ip 주소를 특정 날짜에 대해서 검색 : 0.03초 select hts_id from tb_item where con_date = to_date('2015-01-05', S사 Search Performance 특정 대역대의 ip 주소를 특정 날짜에 대해서 검색 : 3.35초 search tb_item con_date=2015-01-05 AND ipv4=127.16.*.* table hts_id 'YYYY-MM-DD') and ipv4 like 127.168.%.' count(*) count(*) ------------------------------------- ------------------------------------- 86,267 86,267 [1] Row Selected [1] Row Selected Elapsed Time : 3.35 Elapsed Time : 0.03 23
특장점#4 체계화된 FDS PROCESS (1/2) 이상금융거래탐지는 지금까지의 금융업무와는 전혀 다른 업무로, 진화하는 금융사기범들의 사기수법을 지 Process 속적으로 모니터링하고 이를 FDS에 반영해야 함. BaroFDS는 ㅁ모증권사에서 검증된 체계를 기반으로 운영 되어, 분석 운영 대응이 선순환으로 운영되어 계속 변화하는 금융사기에 효과적 대응이 가능 금융사고분석 운영 신규사고유형접수 분석 (컴플, 고객센터, 자체) FDS운영 신규/차단/탐지 Rule 가동 기존/신규차단/탐지 사고유형관련 이상금융거래 Rule 적정성 모니터링 (오탐 / 정탐 ) 인자 분석 신규차단/탐지룰 생성 기존 사고사례 기반 대응 Rule Simulation 사고발생시 대응체계 사고대응 #1 차단룰에 의한 차단 사고대응 #2 고객 금융거래 Profile 기반 초동분석 사고대응 #3 고객과 직접 Contact (현재 정보는 유출을 전제하여 본인확인) 사고대응 #4 오탐: 사고해지 정탐: 수취은행 출급차단 요청, 고객설득, 경찰신고안내, 거래수단재발급 안내 사고대응 #5 사고보고 금감원 고객 사고보고서 작성 24
특장점 #4 체계화된 FDS PROCESS (2/2) 고객이보이스피싱을당하고있을경우, 사기범의농간으로대부분정확한상황인지를못하고있음. Process BaroFDS 는주요이상거래탐지시, 즉시거래를차단하고 FDS 담당직원및고객에게사고를 SMS 안내함. 또 한, FDS 담당직원에사고대응및처리를위한 1 point view 를제공하여즉시사고대응이가능 B 사기범 금융사기시도 WTS MTS ARS ATM 선차단 뱅킹시스템 사고대응화면주요내용 1 금융사고개요 - 이상내용정보 - 탐지룰설명 3 SMS 사고통보 1 이상금융거래탐지 BaroFDS 2 사고계좌등록 3 SMS 사고통보 2 고객식별정보 - 수진자가고객인지를확인하기위한고객식 별정보제공 ( 과거이력 ) 3 고객대응가이드 - 고객사고인지및 설득프로세스안내 - 수취은행심사팀 4 사고대응 Dashboard A 씨 업무연락 ( 전화번호등 ) 4 사고처리 - 사고계좌해제 / 유지 FDS 담당직원 / 콜센터 5 고객통화 - 보고서작성 25
특장점#5 Rule Audit 및 Simulation 금융사기는 지속적으로 진화하기 때문에 Rule도 이에 따라 지속적으로 추가되어야 함. 또한 오탐증가로 인한 ANALYTSIS 업무 생산성이 하락하는 문제가 발생하기 때문에 이를 개선할수 있는 도구가 필요. BaroFDS는 데이터분석솔 루션을 활용하여 추가적인 신규룰 개발이 가능하고 시뮬레이션을 활용한 정탐률 향상이 가능함 오탐증가 ① 오탐인지 BaroFDS대쉬보드 123.45.23.90 IP address Nation 05/31 123.45.12.137 KOR 08/30 202.113.35.137 CHN HTS KOR 123.45.X.X 시뮬레이션: 조회기간을 3 6개로 확장 시, 정 탐처리 IP address 01/31 202.113.X.X 05/31 123.45.X.X CHN KOR 08/30 202.113.X.X CHN ② 오탐 데이터셋 호출 ③ 이상거래탐지인자별 파라미터 시뮬레이션 오탐 이벤트에 대한 인자확장 및 파라미터 시뮬레이션 KOR 123.45.X.X 이전3개 내 해외 사용로그가 없는데 해외접속 시 차단 01/27 01/26 오탐의 예: 123.45.23.43 Fraud Detection 01/26 HTS HTS ④ 신규룰 반영 ISP(신규인자) IP Range Channel 01/09 01/25 01/09 미탐발생 정탐 향상을 위한 Simulation Process ② 미탐이벤트 데이터셋 호출 ③ 이상거래탐지인자별 분석 및 원인확인 IP address ~ ~~ RULE감사 및 신규룰 개발 프로세스 RULE GENERATOR 미탐 이벤트에 대한 다면심층 분석 ① 미탐인지 특정IP 대역대에서 사고발생이 빈번함을 발견 고객센터/컴플 파라미터수정 3M 6M ④ 파라미터 조정 RULE GENERATOR 26
FDS 경쟁사 비교 현재 시장에서는 FDS를 실제로 구축하고 운영하면서, 실제 금융사고를 대응해 본 솔루션업체가 전무함. BaroFDS는 모 금융기관에서 축적된 Know-how를 기반으로 제품이 개발되어 시스템 Open 즉시 FDS의 정상운영이 가능하면서도 실 제적 성과를 바로 낼 수 있는 있는 국내 유일의 FDS Package SW임 검증된 이상금융거래탐지인자 있는가? FDS RULE 경험기반 RULE SET이 있는가? 실시간 수집이 가능한가? COLLECTING ANALYSIS & UPDATE 검증된40 40여개 여개이상금융거래탐지인자 이상금융거래탐지인자 검증된 구체적 이상금융거래탐지인자 모름 경험기반RULE RULESET SET봉유 보유 경험기반 다양한 환경에 적용이 용이한가? 실시간 수집이 가능 1초 이내 최대 3년치 데이터 조회 가능 금융환경에 적합한 설정 및 적용 실시간 수집 불가 환경 별로 추가적 개발 필요 1초 이내에 고객의 1 년 이상의 금융이력 조회가 가능한가? 실시간 수집이 가능 1초 이내 최대 3년치 데이터 조회 가능 금융환경에 적합한 설정 및 적용 Hadoop 기반의 배치처리 실시간 분석 불가 뱅킹과 통합된 대응화면이 있는가? 뱅킹과연계된 연계된통합 통합 VIEW VIEW제공 제공 뱅킹과 단계별조치 조치및 및가이드 가이드 안내 안내 단계별 뱅킹과는 분리된 시스템 단계별 조치 및 가이드 안내 없음 데이터를 분석하여 새로운 금융사고패턴을 확인할 수 있는가? 원초적 데이타마이닝, 통계분석만 가능 (FDS Knowhow 부족으로 분석 어려움) REAL-TIME RESPONSE PROCESS 기존 FDS 업체 BaroFDS FDS 도입 시, 기술검토항목 단계별 사고 대응 가이드가 가능한가? 보유 보유 분석 및 시뮬레이션 가능 경험기반 RULE SET 초기 수준 27
TCO & 구축기간 기존 업체들은 전형적인 SI Project의 형태로 FDS 프로젝트를 진행됨. 그러나, FDS업무는 정형화된 업무가 아닌 사기 범에 대한 대응 업무이기 때문에 외부회사가 이를 분석하여 정형화하는 것은 매우 어려움. 또한 빅데이터 수집에 초점을 맞추기 때문에 구축기간이 5개 이상 걸리며 HW/SW/인력투입비용도 과다 소요됨 FDS 도입 시, 기타 검토항목 비용 시간 인력 업데이트 BaroFDS BaroFDS는 국내 유일의 Package 검증된 40 여개 이상금융거래탐지인자 SI개발형태 진행됨 최소 1개, 최대 2~3개 소요예상 1초 이내 최대 3년치 데이터 조회 가능 도입 즉시, 실효적 FDS운영가능 최소 5개 ~ 7개 소요 도입하더라도, 정상운영까지 6개 이상이 소요됨 컨설팅,구축,Customizing - 3명 예상 실시간 수집이 가능 사고대응시스템의 운영으로 금융환경에 적합한 설정 및 적용 최소인원으로도 운영 가능 최소 10명 이상 대응체계가 없어, 필요 운영인력을 예측하기 어려움 Rule Factory (Rule subscription) 시, 지속적인 신규적인 계약 분석 체결 및 시뮬레이션 가능 Rule개발하는 전담자를 두기 어려워, 지속적인 업데이트가 어려움 SI개발로 진행되는가? 저렴한 비용으로 구축할 수 있는가? 경쟁사 대비 최대 60% 저렴 경험기반 RULE SET 봉유 짧은 시간 내에 구축이 가능한가? 프로젝트에 투입되는 인력은? 변화하는 금융사기에 대응가능하도록 지속적인 RULE 업데이트가 가능한가? 구축 즉시, 업무운영이 가능한가? 적은 인원으로도 운영가능한가? 기존 FDS 업체 형태의 FDS SW 보유 신규Rule 업데이트 가능 Rule, Solution 보다는 인력투입량에 따라 비용이 증가 28
구축사례 모금융기관 FDS고도화 모금융기관은 FDS구축하여 성공적으로 운영하고 있는 금융보안에 선도적인 금융사임. 이번 BaroFDS의 도입으로 금융사기 근절은 물론 더 높은 업 무효율성과 고객만족이라는 달성한 대표적인 FDS 구축사례임. 시스템 개요 2013.3, 국내 최초로 FDS시스템을 도입 도입 이후, 지속적인 금융사고 및 이상금융거래 분석을 통해서 Rule 최적화하여 시스템 구성도 OS: RED HAT 6.6 / XEON 16 core, MEM 512G 업계 최고의 부정거래방지 실적을 보유한 시스템 도입배경 HTS/WTS 최초 도입으로 인한 FDS 한계점이 존재 ARS MTS FDS 초기 도입 채널 ATM FDS 추가 도입 채널 ① 데이터 수집 및 분석을 위해 SPLUNK를 도입하였으나 검색속도 지연으로 이상이체거래의 실시간 차단이 어려움 ② 고과금체계로 인하여 대량 데이터 수집 /저장 에 한계 존재함 탐지범위 확대가 불가 ③ 추가적인 RULE반영 시, SPL전문가 필요했음 A BP Server 실시간 로그수집 금융업무 뱅킹시스템 ④ 뱅킹과의 연계가 불가하여, 구조가 이원화되어 업무효율성 저하 Fraud Detector 실시간 사전차단: RULE기반 검색을 0.03초 이내 처리하여, 이상 이체거래 발생 가능하여, 이에 따라 오탐률 /업무효율성 Collector Extreme In-Memory DBMS 고객 만족도 향상: 금융사고 예방을 증가되고 또한 오탐이 적어져 금융보안과 고객만족의 두마리 토기를 잡음 Rapid Fraud Responder 초고속패턴조회 전 사전차단이 가능 오탐률 저하: 대량데이터 처리가 가능해 탐지범위가 확대되고 거래채널 추가 사고계좌등록 사고감지 기대효과 Rule Register Data Analytic In-Memory Based FDS 29
Table of Contents : Smarter Answer in Fraud Detection 1. FDS 동향 2. 성공적인 FDS 구성요소 3. BaroFDS 제품소개 4. Why BaroFDS? 02 06 15 34 30
Why BaroFDS? BaroFDS는국내 FDS시장에서유일하게현장에서검증되어개발된솔루션으로 1 검증된 FDS Rule을보유하여, 도입즉시성과도출이가능하고 2 어떠한금융환경에서도손쉽게로그수집이가능하며 3 탐지즉시실시간차단이가능하도록초고속인메모리기반아키텍처로설계되어있으며 4 사고대응프로세스를갖추어사고예방효과가극대화됨. 이모든것을짧은구축기간과합리적인비용으로구축가능한국내유일의솔루션임. BaroFDS 손쉬운로그수집다양한환경에서도간단한환경설정만으로도쉽게실시간로그수집이가능하여, 복잡한금융시스템환경에적합 COLLECTING 사고대응체계 2년간현장경험으로축전된대응체계가시스템화되어, 금융사고대응및처리가용이 RESPONSE PROCESS 비용 & 시간절감 Package SW 형태로구축하여구축기간이감소되고이에따른비용이절감됨 COST SAVING FDS RULE 현장검증된 Rule 2년간모금융기관에서운영된 FDS Rule 을적용하여, 즉시현장 FDS적용및운영이가능 REAL-TIME 실시간사전차단 In-Memory 기반아키텍처로설계되어, 이상금융거래탐지즉시사전차단가능 ANALYSIS & SIMULATION Fraud Audit & Simulator 발생되는미탐을분석하여신규 Rule을만들고, 파라미터조정을통하여정탐을높이는룰최적화를손쉽게실현 31