FDS(Fraud Detection System) - 이상거래탐지

FDS(Fraud Detection System)

FDS는 전자금융거래에서 사용되는 단말정보, 접속로그, 거래정보 등을 분석하여 금전 및 사적인 이득을 취하려는 부정한 거래 행위를 탐지, 분석하고 예방하는 시스템이다. 거래에 필요한 여러 정보들을 바탕으로 분석하기 때문에 탐지 및 분석 방법은 각 기업마다 기밀로 유지되고 있다. 대표적으로 탐지에 사용하는 방법은 위치정보를 이용한 이상 거래판단, 고객 정보와 평소 거래 패턴 분석, 고객 접속 환경, 기존의 통계 데이터를 이용한 분석 등으로 나눠진다. 이러한 분석 방법을 조합하여 이상 거래를 확인하고 예방할 수 있게 해주는 시스템이다.

이상 패턴을 사용할 때는 앞에 설명한 여러 방법들과 더불어 기업에서 수집하는 정보 등을 바탕으로 판단할 수 있다. 예를 들어 서울에서 사용자의 신용카드로 결제가 이루어지고 1시간도 안되서 광주에서 동일한 신용카드 정보로 결제가 이루어졌다면 아주 특별한 상황이 아니라면 이상 상황으로 판단할 수 있다.

이러한 FDS는 여러 데이터들을 조합과 패턴을 분석하는 과정이 필요하고 지속적인 모니터링과 데이터 수집이 필요하다. 이 과정들을 볼 때 머신러닝, 딥러닝 등의 기술을 조합하여 사용하기에도 적합하다고 생각한다. 금융보안원에서는 FDS에 머신러닝을 적용한 기술을 소개하였다. 분석, 판단 등을 자동화 하므로써 여러 비용을 절감할 수 있다고 한다.

 

FDS의 주요 기능

FDS는 크게 4가지의 주요 기능이 있다.

정보 수집 및 가공 : 금융거래 이용자의 PC, 모바일 등에서 생성된 여러 정보들을 수집하고 이후 분석에 적용할 수 있도록 전처리 과정을 진행한다. 수집되는 여러 정보로는 로그인, 금융 거래 단말기, 거래한 은행 등이 있을 수 있다. 이러한 데이터를 머신러닝에 바로 적용하기에는 불필요한 정보가 있을 수 있다. 패턴 자체가 특정 행위를 판단하기에는 정상 패턴과 차별성이 없는 경우가 있다. 이러한 데이터는 추가로 전처리 과정을 거치거나 필요한 데이터만 사용하도록 특징추출 등의 과정을 거쳐서 머신러닝에 적합한 데이터로 가공하는 것이 필요하다.

분석 및 탐지 : 분석 및 탐지 과정에서는 앞에서 전처리한 데이터를 바탕으로 패턴을 분석하고 악성행위로 의심되는 패턴에 대해서는 조치를 취하는 정책을 세워서 부정 거래를 예방할 수 있게 한다. 이 부분에서 머신러닝 모델을 적용하면 앞의 전처리, 특징추출의 과정을 통해 가공된 정보를 이용하여 모델을 생성하고 해당 모델을 통하여 분석 및 탐지 행위를 자동화 하는 방법이 있다. 하지만 머신러닝 모델이 완전히 대체할 수는 없다. 정확도가 아무리 높은 모델이라도 오용 탐지, 이상 탐지 등이 존재할 수 있어 각각 시그니처 기반과 머신러닝을 이용한 분석으로 나누어 결정한다. 각 용어들과 시그니처, 머신러닝을 적용한 탐지는 다음과 같다.

오용 탐지(Misuse Detection)	오용 탐지는 악성 행위에 대한 패턴을 미리 저장하여 해당 패턴을 바탕으로 악성행위릉 판단하는 것이다. 이러한 오용 탐지는 오탐률은 낮지만 미탐률은 높다. 여기서 오탐률은 정상 행위를 공격으로 잘못 판단하는 것이고 미탐은 공격 행위를 정상 행위로 잘못 판단하는 것이다. 즉, 시그니처 기반이기 때문에 이미 알려진 공격에 대해서는 높은 탐지 정확도를 보이지만, 제로 데이 공격에 대해서는 낮은 탐지 정확도를 보인다.
이상 탐지(Anomaly Detection)	이상 탐지는 미리 정상 행위에 대한 패턴을 저장해두고 해당 행위들을 제외한 나머지 행위에 대해서는 이상행위로 판단하여 탐지, 차단하는 방식이다. 이 방식은 오탐율은 높지만, 미탐율은 낮다. 이 탐지 기법의 장점은 알려지지 않은 공격 즉, 제로데이와 같은 공격도 탐지, 차단할 수 있다. 하지만 정상 행위도 탐지, 차단되는 경우가 발생할 수 있어 서비스를 사용하는 사용자 입장에서는 불편함이 발생할 수 있다.

오용 탐지 (시그니처 기반)
패턴탐지, 상태전이	금윰 거래 정보들 중 사기, 악성 행위에 해당하는 패턴들을 분석하여 통계, 휴리스틱 등의 방법을 이용하여 시그니처를 정의하고 해당 시그니처를 기반으로 탐지, 차단하는 방법이다. 데이터만 충분하다면 탄탄한 시스템을 구축할 수 있으며 주어진 시그니처를 기반으로 동작하기 때문에 빠르고 단순한 구조이다.

이상 탐지 (머신러닝 이용)
지도 학습(Supervised)	앞의 가공한 데이터들에 라벨링을 하여 악성, 정상 행위에 대한 판단을 한다. 여기서 라벨링은 모델이 학습할 수 있도록 패턴에 답을 달아주는 것이다. 모델은 해당 라벨링 데이터를 이용하여 각각의 패턴에 대해 악성, 정상 행위를 학습하고 학습한 내용을 바탕으로 행위에 대한 판단을 진행한다. 이러한 지도학습의 중요한 점은 악성 행위와 정상 행위에 대한 패턴의 수가 비슷해야 한다. 즉, 정상 행위에 대한 정보는 구하기 쉽지만 그에 비해 악성행위에 대한 정보는 비교적 데이터이 수도 적으며 구하기도 쉽지 않다. 때문에 수집한 악성 행위에 맞춰서 정상 데이터 수도 조절하여 구성해야할 필요가 있다.
비지도 학습(Unsupervised)	비지도 학습은 정답이 달려있는 라벨링 데이터를 제공하지 않는다. 즉, 패턴을 기반으로 그룹화하여 해당 그룹별로 악성행위, 정상행위를 판단하는 것이다. 즉, 정상행위는 비교적 많이 수집되고 비슷한 정상 행위들이 많이 발생하여 정상 그룹이 생성될 것이다. 이때, 악성 그룹의 경우 정상 그룹에서 하는 행동 패턴과 차이가 있을 때, 정상 그룹에서 멀어지게 되고 이러한 행위는 악성행위로 판단하는 것이다.
하이브리드(지도 + 비지도)	금융거래 중 적은 양은 라벨링을 통하여 지도학습을 진행하고 수집양이 많은 정보에 대해서는 비지도 학습을 통해 그룹화하여 분류한다.

위의 탐지 방법들의 장점을 더한 이상+탐지 하이브리드 형태의 기법도 존재한다.

 

이러한 기법들은 PayPal, BillGuard 등의 기업에서 딥러닝, 머신러닝 기반의 모델을 구축하여 FDS를 이용 중이다. 우리나라에서도 여러 은행과 기업에서 수집한 정보들을 바탕으로 FDS를 구축하여 사용중이다.