[보안뉴스 김지언] 금융사고가 끊이지 않자 금융당국은 카드사, 보험사에 구축돼 있는 FDS(이상거래탐지시스템)를 증권 및 은행 등 전 금융권으로 확대하도록 한 바 있다. FDS를 전 금융권으로 확대함으로써 금융거래 정보 등을 분석해 이상 금융거래를 탐지하고 발생 가능한 금융사고를 사전에 방지하기 위함이다. 그러나 이상금융거래 탐지 시스템(FDS) 구축 이후에도 위협이 발생할 수 있는 만큼 그에 따를 대응책 마련이 시급하다는 주장이 제기됐다.

이와 관련 KTB솔루션 김태봉 대표는 ‘Global Security Dash For FDS 2014’에서 FDS의 향후 발전 방향과 구성 전략이라는 주제로 강연을 진행했다.

이에 앞서 김태봉 대표는 “현재 FDS 시장에 참여하는 국내 업체는 △오프라인 거래 중심 FDS 체계 △단말 수집 정보 기반 온라인 거래 중심의 이상징후 탐지 체계 △내부 위협분석 중심의 통합로그관리 시스템 체계 △이용자 데이터 분석 기반의 빅데이터 시스템 체계 등 크게 4가지 체계를 갖추고 있다”며 각 체계별 장단점을 설명했다.

△오프라인 거래 중심 FDS 체계

경험과 노하우는 풍부하나 단말 수집 정보가 필요하다는 단점이 있다. 카드사 중심의 거래이다 보니 은행 업무에 대한 이해도가 필요하다.

△단말 수집 정보 기반 온라인 거래 중심의 이상 징후 탐지 체계

온라인 거래에 특화돼 있다. 이러한 이유 때문에 대량 데이터 처리 기술이 필요해 통합로그 분석 기반의 기술을 접목해 통합화하는 형태로 발전하고 있다.

△내부 위협 분석 중심의 통합 로그 관리 시스템 체계

대량 데이터 처리에 강점이 있으나 FDS 및 전자금융거래에 대한 이해도가 부족해 이에 대한 컨설팅 및 가이드를 반영하는 형태로 발전되고 있다.

△이용자 데이터 분석 기반의 빅데이터 시스템 체계

SI(시스템통합업체) 등 누구에게나 손쉬운 접근성을 제공한다. 그러나 빅데이터를 제외한 FDS 전체 구성요소가 부족해 핵심 구성 요소에 대한 강점 보유자와 연계를 통해 경쟁력을 강화할 수 있도록 노력하고 있다.

그렇다면 이상금융거래 탐지를 위한 FDS의 필수 구성요소는 무엇일까. 김태봉 대표는 △거래 패턴 및 정책/모델의 정교함 △온라인 거래 특성상 검증된 단말 수집 정보 적용 △대량 데이터 처리 가능한 고성능 분석엔진 적용 △전자금융거래업무에 대한 이해도와 구축 경험이 필요하다고 밝혔다.

이어 그는 이상금융거래 탐지를 위한 FDS의 추가 소요 요소로 △FDS 구축 이후 예상되는 공격 유형 대응 요소 반영 △사고 분석 및 대응에 기술·법적 요소 포함 통합적 관리 체계 적용 △내부 위협 통제 모델과의 결합 △산업군별 분화/특화된 FDS로의 진화 요소 반영 등을 언급했다.

이와 관련해 김태봉 대표는 이상금융거래 탐지시스템 구축 이후 예상되는 위협으로 5가지를 꼽았다.

첫째로 그는 진화된 형태의 MITM 공격 기법이 등장할 것이라고 전망했다. 김태봉 대표는 “MITM 공격은 중간자 공격(Man In The Middle, MITM)을 의미하는데, 쉽게 예를 들어 FDS 구성요소인 사용자 단말단 수집정보를 메모리 단계에서 복제해 다른 기기나 조건에서 재사용할 수 있는 것을 의미한다”고 밝혔다. 즉 정상적인 A란 기기의 메모리 상에서 암호화된 전문을 훔쳐내 이를 비정상인 B기기에서 악용하기 위해 바꿔치기 할 가능성이 있다는 것이다.

그는 이럴 경우 FDS의 탐지 패턴을 우회 할 수 있음은 물론 피해자가 가해자로 둔갑해 분쟁이 발생할 소지도 크다며 보안조치가 필요하다고 밝혔다. 김태봉 대표는 “보안조치의 예로 NTP(Network Time Protocol)를 적용해 클라이언트와 서버 사이의 시간 동기화 정보를 암호화된 단말 수집 전문상에 추가 삽입하고, 이를 FDS에서 비교·검증해 시간차가 발생하면 차단 대상으로 정의하면 된다”고 밝혔다.

두 번째로는 FDS를 우회하는 기법이 다양화될 것이라고 주장했다. 김태봉 대표는 “FDS 보안체계 우회를 위해 각종 단말 수집 정보를 제거하거나 조작하는 것은 물론 거래 패턴 탐지 우회를 위한 임계치를 탐지하고 예외처리에 대한 악용을 시도할 것으로 예상된다”고 밝혔다. 이에 대한 대안으로는 “Behavior 기반 대응 요소를 추가해 단말 보안상태 수준 진단 등의 조치가 필요하고 거래 패턴에 대한 주기적인 능동형 변화 요소를 적용해 사용자별로 서로 다른 거래 패턴 탐지 임계치 값을 조정해야 한다”고 덧붙였다.

세 번째로는 악성 앱을 통한 RAT이 확산될 것이라 예상했다. RAT은 원격 접속 툴(Remote Access Tool)에 의한 승인받지 않은 불법적인 원격조종 기법이다. 공격자 입장에서는 사용자가 지정한 단말기가 아니면 유출한 개인정보 및 인증서로 1일 100만 원 이상 불법이체를 할 수 없기에, 지정된 사용자 단말기의 권한을 탈취해 불법 원격 조종을 시도할 것이라는 얘기다.

이와 관련 김태봉 대표는 “FDS에서 이를 인지하지 못한다면 피해자가 가해자로 둔갑하고, 모든 증거와 책임은 억울하게도 피해자를 향할 것”이라고 경고했다. 이에 대비하기 위해서는 관련한 전용 보안 모듈 적용과 화이트 리스트 정책 기반의 통제 방안이 강화되어야 한다고 주장했다.

네 번째로는 보험사기와 같은 계획적이고 조직화된 금융거래 사기집단이 증가할 것이라고 예측했다. 온라인 전자금융거래는 비대면 거래라는 특성상 법적 제도적 한계점을 악용해 사기형태의 조직화된 범죄가 발생할 수 있다는 것이다. 김태봉 대표는 “개인화 거래 정보 및 연관 정보를 기반으로 소셜관계형 연관관계를 찾아 사기 공모 개연성을 탐지하는 노력이 필요하다”고 밝혔다.

다섯 번째로는 각종 법적 분쟁 및 소송이 증가할 전망이라고 밝혔다. 현재는 사용자 스스로 문제를 인지해 신고하는 형태가 대부분이지만, 앞으로는 금융회사가 사용자의 금융거래 사고 또는 의심되는 정보를 사용자에게 고지해야 한다. 김태봉 대표는 “공모에 의한 사기 및 자작극, 실제 피해 등 다양한 사례의 사고 유형이 증가할 것이고, 이에 대비해 전문적인 사고 분석 및 감정, 법률 지원 조직이 가동될 필요가 있다”고 답했다.

김태봉 대표의 설명처럼 이상거래 탐지 시스템 구축 이후에도 예측되는 위협요소들은 다분하다. FDS 솔루션 업체들은 이러한 추가 위협 요소를 인지하고 예측해 대응책을 마련해야 할 것으로 보인다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>