[논문]전자금융거래의 이상징후 탐지 규칙 개선을 통한 효과성 향상에 관한 연구

최의순; 이경호

doi:10.13089/jkiisc.2015.25.3.615

전자금융거래의 이상징후 탐지 규칙 개선을 통한 효과성 향상에 관한 연구
A Study on Improvement of Effectiveness Using Anomaly Analysis rule modification in Electronic Finance Trading 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.25 no.3, 2015년, pp.615 - 625

최의순 (고려대학교 정보보호대학원) , 이경호 (고려대학교 정보보호대학원)

초록
AI-Helper

본 논문은 금융 사용자의 거래 행태를 반영한 이상거래 탐지 규칙 개선방안을 제시하고, 실제 적용된 사례를 분석하여 효과성을 검증하였다. 이상거래를 정상거래로 판단한 미탐분석은 전자금융사고 사례를 분석하여 사고유형과 거래행위를 파악하였고, 반대로 정상거래를 이상거래로 판단한 오탐 분석은 특정 기간 추가 인증 또는 차단 후 아웃바운드 안내 전화 실시 내역 전수 조사를 통해 수행하였다. 또한, 이상거래와 정상거래 행태 간 분류 기준을 정교화하기 위해 추가적인 탐지 규칙을 도출하였다. 특히, 아웃바운드 안내 전화 과정 중 탐지 규칙 정교화를 위한 추가 질의를 실시하여 금융 사용자의 거래 행태에 대한 다양한 통찰을 획득하였고, 이를 기반으로 기존 탐지규칙을 개선하였다. 그 결과 정상거래를 이상거래로 오탐하여 추가 인증 또는 차단하는 비율과 이상거래를 정상거래로 분류하여 실제 사고가 발생한 비율이 동시에 감소하였다. 본 논문에서 제안한 거래 행태에 기반한 이상거래 탐지 규칙 개선 방법은 이상거래 탐지의 효과성을 향상시키고 지속적인 탐지규칙 개선 방법론을 제공할 것으로 기대한다.

Abstract ▼ AI-Helper

This paper proposes new methods and examples for improving fraud detection rules based on banking customer's transaction behaviors focused on anomaly detection method. This study investigates real example that FDS(Fraud Detection System) regards fraudulent transaction as legitimate transaction and figures out fraudulent types and transaction patterns. To understanding the cases that FDS regard legitimate transaction as fraudulent transaction, it investigates all transactions that requied additional authentications or outbound call. We infered additional facts to refine detection rules in progress of outbound calling and applied to existing detection rules to improve. The main results of this study is the following: (a) Type I error is decreased (b) Type II errors are also decreased. The major contribution of this paper is the improvement of effectiveness in detecting fraudulent transaction using transaction behaviors and providing a continuous method that elevate fraud detection rules.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

1차 개선의 목표는 사기 거래와 정상 거래 간 중첩 (overlapping)된 부분을 찾아, 결정경계를 좀 더 명확하게 정하는데 도움이 되는 요소(factor)를 휴리스틱 접근방법(Heuristic Approach)을 사용하여 찾는 것이다. 시스템 도입 초기로 아직까지 안정적 운영 환경이 형성되지 않았기 때문에 시스템 가용성을 훼손하면서 통계분석에 필요한 데이터를 획득·처리에 애로가 많았다.
본 논문에서는 실제 사고 내역과 FDS를 통한 사고 경보를 비교·분석하여 False Negative와 False Positive를 동시에 감소시키는 방안으로 금융사용자 거래 행위에 기반한 사용자 프로파일 구성, 탐지규칙 도출, 유연한 허용 한도 적용 등을 통해 이상거래탐지 효과를 개선하는 방안을 제안하고자 한다.
둘째, 탐지규칙의 효과성 증명을 위해 실제 데이터에 통한 실증분석을 수행하였다. 셋째, 탐지규칙 개선을 위해 이상거래탐지시스템 운영과 연관된 조직과 업무 절차 조사를 수행하여 이상거래탐지시 스템 도입 초기에 발생할 수 있는 시행착오와 조직 갈등 요소를 최소화하고자 하였다.

제안 방법

이에 따라, 민원발생 증가로 민원담당 부서의 불만이 증가하여, 2차 개선은 오탐률을 낮추기 위해 탐지 규칙 정교 화에 초점을 맞추어 진행하였다. 1차 개선 때 적용한 아웃바운드 콜 과정 중 입력된 상담내용을 세부적으로 분석하여 오탐 원인 파악과 사고의 주요 요인 분석을 중점적으로 진행하였다. 또한, 시스템 성능제약조건으로 과도한 탐지 규칙을 운영시스템에 바로 적용하는 것은 시스템 안정성 측면에서 부담스러운 상황이기 때문에 개선된 규칙은 시뮬레이션 시스템에 적용하여 운영 시스템과 비교·분석하는 방향으로 진행하였다.
2차 개선에 대한 효과성 테스트는 A사 시뮬레이션용 FDS를 통해 3월 1일부터 31일까지 발생한 실제 거래 건수 약 225백만 건을 가지고 수행하여, 동 기간 실제 가동중인 FDS로부터 나온 결과와 비교하는 방법으로 진행하였다.
18시 이후 이체 건에 대해서 허용수준(Tolerance Level)을 α만큼 가중하였다. 2회 이상 차단된 고객은 본인이 동의하면 FDS 정책을 적용하는 것을 배제할 수 있도록 화이트리스트(White list)에 등록하여 중복 오탐을 제거하였다.
False Negative 감소를 위해 1월 중 발생한 전자 금융 사기 거래 108건에 대해 상세 조사를 수행하였 다. 그 결과 사고 유형 중 연속 3회 미만 이체가 85건 으로 비중은 78.
가중치는 ‘기업고객 > 자영업자 > 개인고객’ 순으로 하였고, 세부 수치는 일정 구간 내에서 공격자가 규칙성을 파악하기 어렵도록 일정시간 간격을 두고 무작위로 설정하여 적용하였다.
다섯 번째 단계는 세 번째 단계에서와 마찬가지로 2월 한달간 실제 발생한 전자금융 사기와 FDS에서 사기 의심으로 판정하여 차단한 내역을 상호 비교·분석하여 네 번째 단계에서 적용한 탐지 규칙의 효과성을 분석한다.
첫 번째 단계에서는 FDS 가동 전과 후에 대한 사고 사례를 비교·분석 한다. 두 번째 단계에서는 FDS 운영 프로세스 관찰과 각 부서 담당자에게 FDS 운영과 관련된 주요 이슈에 관한 개별 심층 면접을 실시한다. 세 번째 단계에서는 1월 한 달간 실제 발생한 전자금융 사기와 FDS에서 사기 의심으로 판정하여 차단한 내역을 상호 비교·분석하여 FDS의 도입 효과를 분석한다.
첫째, 은행권을 중심으로 이루어지는 전자금융사기 탐지규칙 정교화를 위해 고객의 금융거래 행태에 대한 탐색적 연구를 수행하여 그 결과를 탐지규칙에 반영하였다. 둘째, 탐지규칙의 효과성 증명을 위해 실제 데이터에 통한 실증분석을 수행하였다. 셋째, 탐지규칙 개선을 위해 이상거래탐지시스템 운영과 연관된 조직과 업무 절차 조사를 수행하여 이상거래탐지시 스템 도입 초기에 발생할 수 있는 시행착오와 조직 갈등 요소를 최소화하고자 하였다.
가중치는 ‘기업고객 > 자영업자 > 개인고객’ 순으로 하였고, 세부 수치는 일정 구간 내에서 공격자가 규칙성을 파악하기 어렵도록 일정시간 간격을 두고 무작위로 설정하여 적용하였다. 또한, IT 부서와 민원 부서의 협조를 얻어 콜센터 상담 애플리케이션에 상담 과정에서 수집한 정보를 구조화 할 수 있도록 탐지 규칙별 표준 질의사항 및 확인사항을 입력할 수 있도록 데이터베이스를 추가적으로 설계하였다. 애플리케이션 구현까지 시간이 소요되므로, 그 동안 비망계정(콜센터 어플리케이션내 일종의 메모장 기능)에 상담내용을 정확히 기술하도록 업무 매뉴얼 수정과 상담원 교육을 동시에 진행하였다.
해당 연구는 사기거래 검출 분류기의 특정 영역 성능을 선택적이고 직접적인 방법으로 제어할 수 있음을 보여준다. 또한, 사기검출 기의 분류 비용 최소화를 위해 최적화 평가함수를 정의한 후 진화연산 기법을 이용하여 희망 동작 구간에서 최적의 분류 비용을 갖는 분류기를 제안하였다.
또한, 시스템 성능제약조건으로 과도한 탐지 규칙을 운영시스템에 바로 적용하는 것은 시스템 안정성 측면에서 부담스러운 상황이기 때문에 개선된 규칙은 시뮬레이션 시스템에 적용하여 운영 시스템과 비교·분석하는 방향으로 진행하였다.
세 번째 단계에서는 1월 한 달간 실제 발생한 전자금융 사기와 FDS에서 사기 의심으로 판정하여 차단한 내역을 상호 비교·분석하여 FDS의 도입 효과를 분석한다.
또한, IT 부서와 민원 부서의 협조를 얻어 콜센터 상담 애플리케이션에 상담 과정에서 수집한 정보를 구조화 할 수 있도록 탐지 규칙별 표준 질의사항 및 확인사항을 입력할 수 있도록 데이터베이스를 추가적으로 설계하였다. 애플리케이션 구현까지 시간이 소요되므로, 그 동안 비망계정(콜센터 어플리케이션내 일종의 메모장 기능)에 상담내용을 정확히 기술하도록 업무 매뉴얼 수정과 상담원 교육을 동시에 진행하였다. 18시 이후 이체 건에 대해서 허용수준(Tolerance Level)을 α만큼 가중하였다.
이를 바탕으로 기업고객, 자영업자, 개인고객 에 따라 최대 허용한도(Hurdle, Tolerance Level)를 차등 적용하였다. 가중치는 ‘기업고객 > 자영업자 > 개인고객’ 순으로 하였고, 세부 수치는 일정 구간 내에서 공격자가 규칙성을 파악하기 어렵도록 일정시간 간격을 두고 무작위로 설정하여 적용하였다.
이를 위해서, 작년 말 이상거래탐지시스템을 구축한 A금융회사의 사례를 중심으로 연구조사와 개선사항을 도출하였다.
이상거래시스템 도입초기 효과성을 분석하기 위해 2014년 중 12월 실제 전자금융 사고 발생 현황과 이상거래탐지시스템에서 금융 사기로 판정하여 차단 후아웃바운드 콜을 실시한 현황을 전수 조사하여 비교하였다. 실시 결과는 Table 3.
1차 개선으로 실제 전자금융 사기 사건 발생 건수는 크게 감소하였지만, 2월 중 FDS에 의한 탐지 건수는 전월대비 1,478건이 증가한 11,131건이다. 이에 따라, 민원발생 증가로 민원담당 부서의 불만이 증가하여, 2차 개선은 오탐률을 낮추기 위해 탐지 규칙 정교 화에 초점을 맞추어 진행하였다. 1차 개선 때 적용한 아웃바운드 콜 과정 중 입력된 상담내용을 세부적으로 분석하여 오탐 원인 파악과 사고의 주요 요인 분석을 중점적으로 진행하였다.
일곱 번째 단계 에서는 3월 중 실제 거래 내역과 개선된 탐지 규칙이 반영된 시뮬레이션 시스템 간 비교·분석을 통해 탐지 규칙 개선안에 대한 효과성을 최종적으로 검증하였다.
첫 번째 단계에서는 FDS 가동 전과 후에 대한 사고 사례를 비교·분석 한다.
본 연구는 기존 연구에 비해 다음과 같은 차별성을 갖는다. 첫째, 은행권을 중심으로 이루어지는 전자금융사기 탐지규칙 정교화를 위해 고객의 금융거래 행태에 대한 탐색적 연구를 수행하여 그 결과를 탐지규칙에 반영하였다. 둘째, 탐지규칙의 효과성 증명을 위해 실제 데이터에 통한 실증분석을 수행하였다.

대상 데이터

논문의 구성은 총 5장으로 구성되었다. 2장에서 본 연구에 앞서 선행된 기존연구 소개와 주요 특징을 해외와 국내 동향으로 구분하여 살펴보고, 본 연구의 차별성을 밝힌다.
데이터 수집 모듈에서는 이용자의 매체(devices) 정보와 A사가 보유한 금융거래정보를 수집한다. 분석 및 탐지모듈에서는 데이터분석 엔진과 탐지패턴 데이터베이스를 이용하여 이상금융거래를 식별하고 탐지 패턴을 업데이트하는 기능을 담당한다.

성능/효과

하지만, FDS를 효과적으로 운영하기 위해서는 내부 지식을 활용한 분석 역량이 절대적으로 요구되나, 국내 은행들의 경우 아직 운영 경험이 적고 이상거래 탐지에 필요한 데이터 축적도 미미한 수준이다. 결과적으로 오탐율이 높아 고객의 불편과 불만으로 민원발생 빈도가 높고, 오탐에 따른 추가인증 또는 아웃바운드 콜 등 고객확인 절차에 수반되는 마찰적비용도 동반 증가한다.
False Negative 감소를 위해 1월 중 발생한 전자 금융 사기 거래 108건에 대해 상세 조사를 수행하였 다. 그 결과 사고 유형 중 연속 3회 미만 이체가 85건 으로 비중은 78.7%였다. 통합이체 서비스를 이용한 사고는 29건이 발생하였다.
IT 부서는 탐지 규칙 추가에 따른 시스템 사용률 급증 등으로 인한 시스템 불안정성을 예측할 수 없고, 민원 담당 부서는 FDS의 도입 초기 오탐율이 증가하여 FDS가 거래를 차단할 때마다, 고객에게 본인거래유무를 확인을 해야 하므로 업무량이 폭증된다. 그러나, 본 연구에서는 고객민원 대응 과정이 고객의 거래 의도와 거래 행태 등을 파악할 수 있다는 점에서 매우 효과적인 탐지 규칙을 생성할 수 있다는 것을 발견하였다.
또한, 1차 개선 사항이 적용된 실제 운영 중인 FDS도 1차 개선 전과 비교하여 전자금융 사기 감소에 효과적임을 보여준다.
본 논문에서 제시된 방안은 국내 A 금융회사의 FDS 적용 전· 후, FDS 탐지 규칙 개선에 따른 금융사고율 감소를 실증함으로써 본 제안의 효과성을 입증하였다.
이상거래탐지시스템의 특성상 안정화와 고도화에 많은 노력과 시간이 소요된다. 본 논문에서는 그러한 노력의 강도와 시간을 단축할 수 있는 방법으로 FDS 에서 차단 후, 본인 확인 절차를 위한 아웃바운드 콜과정에서 입수된 정보를 토대로 2차례 탐지 규칙을 개선하고, 그 결과 False Positive와 False Negative를 동시에 감소시켰음을 실제 사례를 통해 확인할 수 있었다. 향후 연구 방향은 현재 진행 중인 아웃바운드 콜 과정에서 입수된 정보를 체계화를 목적으로 FDS 업그레이드 진행하여 오탐률을 더욱 감소 시킬 수 있는 탐지 규칙 개선방법 정형화기법 도출이 다.
이 과정에서 본 논문에서 적용한 휴리스틱 기법을 패턴인식과 데이터마이닝 기법을 접목하여 좀 더 발전 시킬 수 있을 것으로 기대된다. 본 논문을 통해서 제 시된 방법은 FDS를 구축·운영 중이거나 곧 도입하려는 금융회사에게 FDS 정상화 및 안정화에 소요되는 시간과 노력을 훨씬 감소시켜 줄 수 있다고 확신한다.
의심 등급 거래는 ARS나 SMS를 통한 추가 인증을 실시한 후 본인확인이 정상적으로 된 경우에 한하여 이후 거래를 진행하고 추가 인증에 실패하게 되면 차단 후 민원담당 부서로 해당 내역을 실시간으로 전송하여 해당 고객에게 본인거래 확인 전화를 하게 된다. 이 결과, 본인 확인이 정상적으로 종료되면 차단을 해제하고 일정시간동안 이상거래탐지 예외 승인을 통해 고객이 해당 금융 거래를 수행할 수 있도록 한다. 고위험 등급으로 판정되면 즉시 거래를 차단하고 민원대응 부서에서 아웃바운드 콜을 실시한다.
정탐 건수도 실제 운영 중인 FDS 대비 25건이 증가하였다. 즉, 오탐률과 정탐률이 동시 개선되었음을 확인할 수 있었다.

후속연구

향후 연구 방향은 현재 진행 중인 아웃바운드 콜 과정에서 입수된 정보를 체계화를 목적으로 FDS 업그레이드 진행하여 오탐률을 더욱 감소 시킬 수 있는 탐지 규칙 개선방법 정형화기법 도출이 다. 이 과정에서 본 논문에서 적용한 휴리스틱 기법을 패턴인식과 데이터마이닝 기법을 접목하여 좀 더 발전 시킬 수 있을 것으로 기대된다. 본 논문을 통해서 제 시된 방법은 FDS를 구축·운영 중이거나 곧 도입하려는 금융회사에게 FDS 정상화 및 안정화에 소요되는 시간과 노력을 훨씬 감소시켜 줄 수 있다고 확신한다.
박래정의 연구[6, 7]는 신용카드 사기거래 검출을 위한 신경망 분류기 연구를 통해 신용카드 사기거래에 특화된 진화연산기법을 제안하였다. 해당 연구는 사기거래 검출 분류기의 특정 영역 성능을 선택적이고 직접적인 방법으로 제어할 수 있음을 보여준다. 또한, 사기검출 기의 분류 비용 최소화를 위해 최적화 평가함수를 정의한 후 진화연산 기법을 이용하여 희망 동작 구간에서 최적의 분류 비용을 갖는 분류기를 제안하였다.
본 논문에서는 그러한 노력의 강도와 시간을 단축할 수 있는 방법으로 FDS 에서 차단 후, 본인 확인 절차를 위한 아웃바운드 콜과정에서 입수된 정보를 토대로 2차례 탐지 규칙을 개선하고, 그 결과 False Positive와 False Negative를 동시에 감소시켰음을 실제 사례를 통해 확인할 수 있었다. 향후 연구 방향은 현재 진행 중인 아웃바운드 콜 과정에서 입수된 정보를 체계화를 목적으로 FDS 업그레이드 진행하여 오탐률을 더욱 감소 시킬 수 있는 탐지 규칙 개선방법 정형화기법 도출이 다. 이 과정에서 본 논문에서 적용한 휴리스틱 기법을 패턴인식과 데이터마이닝 기법을 접목하여 좀 더 발전 시킬 수 있을 것으로 기대된다.

질의응답

핵심어	질문	논문에서 추출한 답변
	국내의 전자금융 보안환경은 어떻게 발전해왔나?	국내와 해외의 전자금융 보안환경은 최근까지 상이하게 발전해왔다. 국내는 금융당국 주도로 보안성을 강조하면서 전자금융서비스가 사용자 편의성보다 사고 방지에 초점을 두고 시행되었다. 특히, 금융사고 방지를 위한 보안솔루션이 사용자 단말 구간에 집중되 었다. 반면, 해외의 경우 전자금융서비스가 사용자 편의성이 강조된 계정기반 간편서비스 위주로 발전되어 왔다.
	FDS를 효과적으로 운용하기 위해 무엇이 요구되나?	이미 카드사는 8개 업체 전부 FDS 구축을 완료하여 운영중이고, 은행권은 18개 중 10개 회사가 구축 완료하였고 나머지 회사도 연내 구축을 완료하여 운영 예정이다. 하지만, FDS를 효과적으로 운영하기 위해서는 내부 지식을 활용한 분석 역량이 절대적으로 요구되나, 국내 은행들의 경우 아직 운영 경험이 적고 이상거래 탐지에 필요한 데이터 축적도 미미한 수준이다. 결과적으로 오탐율이 높아 고객의 불편과 불만으로 민원발생 빈도가 높고, 오탐에 따른 추가인증 또는 아웃바운드 콜 등 고객확인 절차에 수반되는 마찰적비용도 동반 증가한다.
	금융 산업이 어떻게 해야 영속기업의 본질을 유지할 수 있는가?	금융 산업은 고객과의 신뢰를 기반으로 지속가능한 고객관계를 유지해야만 영속기업(going concern)의 본질을 유지할 수 있다. 안전한 금융거래환경을 만들어 금융소비자를 보호하는 것은 고객과의 신뢰를 형성하는 첫 단추이다.

참고문헌 (12)

Richard J. Bolton and David J. Hand, "Statistical Fraud Detection: A Review," Statistical Science, Vol. 17, No. 3. pp. 235-249. Aug, 2002,

상세보기
A Fast, L Friedland, M Maier, B Taylor, "Relational data pre-processing techniques for improved securities fraud detection," IEEE Transactions on Information Theory, vol. IT-22, no. 6, pp. 644-654, Nov. 1976.
Franz Josef Och Hermann Ney, "A Systematic Comparison of Various Statistical Alignment Models," Computational Linguistics Volume 29 pp9-51, March. 2003.
Chan, P.K et tl, "Distributed data mining in credit card fraud detection," Intelligent Systems and their Applications, IEEE (Volume:14 , Issue: 6 ), pp67 - 74, Aug 200.2
Clifton Phua et tl. "A Comprehensive Survey of Data Mining-based Fraud Detection Research," Intelligent Computation Technology and Automation (ICICTA), pp50 - 53 Sep 2010.
Lae-Joeng, Park, "Evolutionary Learning of Neural Networks Classifiers for Credit Card Fraud Detection," Korean institute of Intelligence Systems, pp 400 - 405, Oct 2001.
Lae-Joeng, Park, "Cost Sensitive Learning for Credit Card Fraud Detection," Korean institute of Intelligence Systems, pp 544 - 551, Oct 2005.
Telecommunications Technology Association. "Fraud Detection and Response Framework Electronic Financial Transaction System,"Dec 2011.
Financial Security Researchers, "Fraud Detction System Technical Guide," Aug.2014.
J.S. Kim, "Trading for over phishing detection assay fraud prevention," Information Security Journal, 23(6), pp.41-48, Dec. 2013.
E.Y. Park, "A Study of Accident Prevention Effect through Anomaly Analysis in E-Banking," Society for e-Business Studies, pp 119-134, Nov 2014.
J.H, Park, "Effective Normalization Method for Fraud Detection Using a Decision Tree," Journal of The Korea Institute of Information Security & Cryptology, Vol 25, Feb. 2015.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증