#지난 2월 10대 청소년 11명이 수도권 일대 찜질방을 돌면서 스마트폰 40여대를 훔쳤다. 훔친 스마트폰으로 소액결제 서비스를 이용, 모바일 상품권 수십장을 구매했다. 스마트폰을 도난당한 사람은 30만원 소액결제가 이뤄졌다는 것을 뒤늦게 알았지만 보상받을 길이 없었다. 소액결제시스템은 간단한 인증절차만 거치면 30만원 한도 내에서 스마트폰 결제를 할 수 있는 서비스다. 현 통신사 소액결제 서비스는 신분확인 절차가 없거나 주민등록번호 인증만 거치면 이용 가능하다.
간편결제 등 핀테크 서비스 활성화 요구가 거세다. 소액결제 한도액이 늘어나고 인증절차도 대폭 축소될 전망이다. 은행과 카드사는 앞다퉈 아이디와 패스워드만으로 결제할 수 있는 간편결제 서비스를 출시한다. 그러나 간편결제를 이용한 불법거래 대책은 찾아보기 힘들다. 금융감독원은 금융사에 이상거래탐지시스템(FDS) 도입을 권고했지만 대부분 형식적 도입에 그친다.
당국은 간편결제 서비스 활성화로 우려되는 불법 금융거래는 FDS로 예방하겠다는 방침이다. 금융사가 FDS를 구축해 이상 징후가 있는 금융거래를 사전 차단, 불법적 금융거래를 막겠다는 생각이다. 핀테크 시대 보안대책으로 감독당국은 FDS 외 이렇다할 다른 정책은 없다.
문제는 금융사 FDS가 감독당국의 기대에 부응할 수 있을지 여부다. 상당수 금융사는 금감원 FDS 도입 정책 발표 후 시스템 도입에 나섰다. 국민·신한·하나 등과 NH투자증권·미래에셋증권 등 다수 은행과 증권사가 도입했거나 도입 중이다.
하지만 어느 금융사도 FDS를 도입, 불법 금융거래를 사전에 차단했다고 밝힌 곳은 없다. 금융권 관계자는 “금융사가 FDS를 도입했지만, 실제 성과를 말하는 곳은 없다”고 말했다. 핀테크 시대 보안대책으로 현재 구축된 FDS 시스템은 유명무실할 수 있다는 우려가 나온다.
큰 문제는 검증된 이상거래 탐지 노하우가 부족하다는 점이다. 금융사기 탐지와 차단은 금융권의 정형화된 업무와 다르다. 금융사기는 지속적으로 진화해 사고 발생 시점의 각종 데이터를 다각도로 분석하고 오랜 기간 금융사고 유형을 확인해야 패턴을 발견할 수 있다.
금융사는 짧은 기간 내 FDS를 구축해 금융사고 분석을 제대로 하지 못했다. B증권사는 지금까지 150개 규칙을 만들었지만 실제 차단에는 적용하지 못했다. 의심되는 것을 대부분 규칙으로 만들었을 뿐 검증이 전혀 안됐기 때문이다. 금융사 관계자는 “검증 안 된 규칙을 적용하면 이상거래 탐지율이 지나치게 높아져 다른 업무에 지장을 준다”고 설명했다.
전문가는 효과적 이상거래 탐지를 위해 많은 규칙보다 다양한 탐지인자를 조합하는 노하우가 필요하다고 제시한다. C증권사 관계자는 “수백만건 이체거래 중 정상거래 비중은 99.868%이고 나머지가 이상거래율인데, 이중 실제 금융사고 비율은 0.0004%에 불과하다”며 “금융사고 사전 탐지는 백사장에서 바늘 찾기보다 어렵다”고 토로한다.
금융사별 특성을 적절히 반영하지 못한 것도 한계다. 금융사마다 주력 서비스도 다르다. 그만큼 발생될 수 있는 금융사기 패턴도 다르다. 카드FDS는 불법 카드 사용 발생 후 이를 감지하고 스코어링을 해 일정 스코어가 넘으면 차단하는 구조다. 보험FDS는 사후분석으로 탐지하는 형태다. 이처럼 금융형태별로, 금융서비스별로 각기 다른 FDS 방식을 적용해야 한다.
금융감독원의 잘못된 가이드도 한 몫 한다. 금감원은 지난해 12월 DFS 정책 발표 당시 ‘구축도 중요하지만 이상거래탐지율 향상’을 제시했다. 보이스피싱, 파밍 등 금융사기는 인터넷뱅킹에서 주로 발생한다. 이상거래탐지율보다 수백만~수천만건의 금융거래 중 1~2건의 사고를 찾아내는 정탐률을 높여야 한다. 사고가 아닌데, 사고로 인식하는 오탐은 적게 발생해야 한다. FDS에서 인지하지 못하는 미탐률도 낮춰야 한다.
상당수 금융사는 불법 금융사고를 예방, 고객서비스 강화 차원보다 감독당국 규제 대응을 위해 FDS를 도입했다. 눈치 보기 식 도입이어서 형식적 수준에 그친다. 감독당국 규제도 실질적 FDS 적용보다는 시스템 구축에만 초점이 맞춰졌다.
A은행은 지난해 12월 FDS 가동했지만 최근 대대적인 시스템 고도화에 착수했다. 일부 증권사는 낮은 예산으로 공동 프로젝트를 진행했다. 턱 없이 낮은 예산으로 개별 증권사에 맞는 적절한 FDS를 구축하는 것은 현실적으로 불가능하다는 게 전문가 판단이다.
유경식 인피니그루 대표는 “실질적 금융사고 예방을 위해 이상거래탐지 규칙을 제대로 만드는 것이 핵심”이라며 “금융사고 피해 고객과 인터뷰를 통해 사기 패턴을 이해하려는 노력도 필요하다”고 제안했다.
<금융권이 도입한 FDS 미흡한 부분>
신혜권기자 hkshin@etnews.com
