“사기 거래 31만 건 잡아냈다” 토스 사례로 본 FDS의 조건

"사기 의심 계좌, 송금 전 주의가 필요해요" 중고 거래를 위해 모바일 뱅킹 앱에서 송금하려는데, 커다란 사이렌 표시와 함께 경고문이 뜬다. 알고 보니 다른 사기에 이미 활용된 계좌였다. 꼼짝없이 돈을 날릴 뻔했다. 비바리퍼플리카의 금융 앱 서비스 '토스'가 지난 한 해 동안 '사기 의심 사이렌'을 울려 송금이나 결제를 중단시킨 것이 31만 건이다. 지금, 이 순간에도 2분에 1건꼴로 우리 주변에서 일어나는 사기 거래를 차단하고 있다.
 

 

"1년 31만 건" 토스 FDS에 주목해야 하는 이유

이처럼 '정상적이지 않은' 이상 거래를 잡아내는 것이 바로 이상 금융 거래 탐지 시스템(Fraud Detection System, FDS)이다. 토스의 FDS는 사용자의 기기 정보와 접속 위치, 사용 환경, 평상시 거래 패턴 등을 머신러닝으로 분석해 의심스러운 송금을 차단한다. 토스가 자체적으로 설정한 기준(룰)에 따라 부정 거래 점수를 산출하고 이 수치가 일정 기준을 넘으면 사용자에게 경고 메시지를 보여준다. 토스 FDS의 효과는 금융 사기범이 "토스를 쓰지 말라"고 안내할 정도로 악명(?)이 높다. 사기범이 만들어 놓은 사이트와 계좌를 토스가 찾아 차단하자, 해당 사기 사이트에 "토스 결제는 확인이 안 됩니다"라는 문구가 추가된 경우도 있었다.

토스가 FDS를 이용해 '1년 31만 건' 사기 거래를 막았다면 다른 금융사는 어떨까? 2021년 KB국민은행이 FDS 기술을 자체 개발했다는 보도에 따르면, 적발한 사기 거래가 하루 평균 3~4건이다. 1년에 1,500건이 채 안 된다. 2018년 금융감독원이 은행과 증권사의 FDS를 분석한 자료를 보면, 2017년 한 해 동안 20개 은행 전체에서 이상 거래 사고를 예방한 것은 3,588건이다. 1개 은행 기준 179건에 불과하다. 모두 토스의 31만 건과는 비교가 되지 않는다.

현재 국내 금융사 대부분이 FDS를 활용하고 있다. 평소에 귀금속을 안 사던 사람이 갑자기 금을 카드로 결제하면 카드사에서 직접 전화가 걸려 온다. FDS가 이상 거래로 감지해 카드가 도난당한 것이 아닌지 카드 소지자에게 확인한 것이다. 금융감독원에 따르면, 국내 주요 카드사와 은행 등은 이미 지난 2014년부터 FDS 구축을 시작했다. 현재 금융감독원 산하 FDS정보공유협의체에 소속된 금융사는 은행 24곳, 저축은행 13곳, 카드사 8곳, 보험 8곳, 증권사 30곳 등 거의 100곳에 달한다.
 

반면 이들 금융사가 FDS를 어떻게 활용하는지는 거의 알려지지 않았다. 사기 거래를 판단하는 기준을 세세히 공개하면 금융 범죄자가 악용할 수 있다는 우려 때문인데, 얼마나 차단해 어느 정도 사용자를 보호했는지조차 깜깜이다. 은행 간 무한경쟁 시대라고 하지만, 금융 사기에 대한 사용자 보호는 경쟁 요소가 아닌 셈이다. 이런 가운데 토스가 FDS 관련 수치를 공개했다. 후발주자의 도발적인 마케팅이라고 해도 토스의 FDS를 자세히 들여다볼 필요가 있는 이유다.

토스가 이처럼 FDS를 공격적으로 활용할 수 있는 이유는 무엇일까? 이광현 토스 FDS팀 PO(Product Owner, 토스에서 PO는 서비스의 출시 여부, 예산 규모, 팀원 채용 등 사실상 단위 조직의 모든 것을 결정하는 막강한 권한을 갖는다)에 따르면, 토스 FDS만의 몇 가지 특징을 발견할 수 있다. 이는 곧 사용자가 효용을 체감할 수 있는 '제대로 된' FDS의 조건이기도 하다.
 

제대로 된 FDS의 조건 1. 빠르고 강력한 사기 거래 탐지

무엇보다 사기 거래 탐지 기술이다. 사실 FDS는 양날의 검이다. 송금과 결제 과정에서 FDS가 사기를 판단하는 기준을 너무 엄격하게 적용하면 사이렌을 띄우는 사례가 줄어서 사기 거래를 막고 사용자를 보호하는 효과가 유명무실해진다. 반면 너무 느슨하면 사기 거래가 아닌데도 사기 거래라고 빈번하게 경고를 띄워 사용자 경험을 해친다. 더는 '긴급하게 느껴지지 않는' 긴급재난문자처럼 사이렌이 울려도 무덤덤해진다. 따라서 사용자 보호와 편리함 사이에서 절묘한 접점을 찾아야 한다.

먼저 사용자 보호 측면에서 토스 FDS는 사용할 수 있는 사기 거래 관련 데이터를 최대한 활용한다. 송금 과정에서 계좌 번호 혹은 수신자 전화번호를 입력하는 순간 기존 사용자가 신고한 명의도용, 보이스 피싱, 중고 거래 사기 계좌 정보를 대조한다. 경찰청 사이버 안전지킴이, 더치트에 등록된 사기 계좌 등도 실시간 확인한다.

새로운 금융 사기 수법을 찾는 데는 머신러닝 기술을 활용한다. 이 과정은 FDS팀이 아닌 머신러닝팀의 도움을 받는데, 머신러닝팀은 다시 두 파트로 나뉜다. 한쪽에선 신규 모델 아이디어화, 모델 성능 개선을 위한 기능 엔지니어링 문제를 해결하고, 다른 쪽에선 모델 서비스 구조 최적화와 데이터 정합성 체크, 품질 확인을 위한 서빙 플랫폼(Serving Platform) 구축 작업을 한다. 이렇게 만들어진 새로운 룰은 FDS팀이 운영 시스템에 반영해 사용자의 송금 과정에 적용된다.

토스 FDS가 사용하는 머신러닝 모델은 지도학습 방식만 사용한다. 즉, 다양한 부정 거래 데이터를 미리 알려주고 학습한 부정 거래와 비슷한 것이 있는지 찾는다. 머신러닝 모델은 토스에서 이뤄지는 모든 송금에 대해 실시간으로 추론해 부정 거래 점수를 계산한 후 사이렌을 울린다. 지도학습 방식은 기존에 확인되지 않은 부정 거래 패턴을 찾아내는 데 취약할 수 있는데, 이광현 PO는 "사용자별로 개인화된 특성을 고려하기 때문에 낯선 거래 패턴도 알 수 있다"라고 말했다.
 

FDS의 효용을 결정하는 두 번째 요소, 편리함은 곧 속도를 의미한다. 머신러닝과 자체 룰, 외부 사기 거래 데이터를 모두 빠른 시간에 대조해 사기 거래 여부를 판단해야 한다. 토스는 API를 이용해 경찰청 자료와 더치트 정보에 대해 사기 신고 여부만 조회하는 방식으로 빠르게 처리한다. 이처럼 API를 활용하는 방식은 FDS뿐만 아니라 토스 앱의 전반적인 속도를 높인 핵심 요소다. 예를 들어 초창기 토스 앱은 사용자가 앱을 열자마자 모든 서비스의 최신 정보를 업데이트했다. 하지만 이제는 자동으로 실행되는 API를 최소화하고 송금, 결제, 증권 등 사용자의 의도가 파악되는 순간 필요한 API가 정보를 가져온다.

속도를 좌우는 또 다른 요인은 인프라다. 필요한 컴퓨팅 파워를 충분히 제공받아야 한다. 전자공시 등에 따르면, 토스는 2018년부터 서초와 평촌으로 데이터센터를 이중화해 운영하고 있다. 보통 데이터센터를 이중화하면 한 곳은 액티브(활성화) 상태, 다른 한 곳은 스탠바이(대기) 상태로 둔다. 주센터에 장애가 발생하면 다른 한 곳으로 재해복구가 이뤄지는 식이다. 반면 토스는 2곳 모두를 액티브-액티브 상태로 운영한다. 필요에 따라 사용자 트래픽을 50대 50, 70대 30 등으로 조절한다. 대규모 증설이나 장애 상황에서도 중단없이 사용자가 서비스를 이용할 수 있는 이유다. 단, 이런 안정성과 속도를 얻기 위해서는 상당한 비용이 필요하다. 잉여 컴퓨팅 자원을 상시로 안고 가는 것이기 때문이다.

이광현 PO는 "가장 까다로운 것은 역시 빠른 속도로 실시간 탐지하고 변경된 룰을 반영하는 것이다. 탐지는 서버 구조를 최적화하고 인프라에 투자하면서 빨리 처리할 수 있었고, 룰은 스크립트로 컴파일해 실시간으로 적용하고 있다. 토스는 송금이 간편하고 빠른 것으로 알려져 있는데, 간편 송금 속도를 유지하면서 이상 거래를 탐지하는 것이 중요하다. 송금이 일어나는 매우 짧은 시간에 모든 정보를 결합해 룰과 머신러닝 모델을 실행한다"라고 말했다.
 

제대로 된 FDS의 조건 2. 포괄적인 사기 거래 피해자 보호

토스 FDS에서 또 하나 눈여겨봐야 할 것은 FDS를 중심으로 한 이상 거래 피해 대응 체계다. 사실 사용자의 금융 경험 전체에서 보면 이상 거래를 탐지하는 것은 시작에 불과하다. 이상 거래에 휘말렸을 때 보호, 보상받는 것이 오히려 더 중요하다. 금융 거래 과정에서 보이스피싱이나 중고 거래 사기를 당하기 전에 경고를 받을 수 있고, 설사 피해를 봐도 보상받을 수 있다는 신뢰는 금융 기업에 가장 중요한 자산이다. 금융사가 이런 신뢰를 확보하려면 지능적인 FDS뿐만 아니라 피해 사용자를 안심시키고 적절한 후속 지원을 할 수 있는 조직과 제도가 필요하다.

토스는 사용자가 이상 거래 피해를 봤을 때 수사기관에 신고만 해도 결과가 나오기 전에 피해를 보상한다. 일명 '안심보상제'다. 명의도용이나 보이스피싱 피해를 보면 최대 5,000만 원, 중고 거래 사기를 당하면 최대 50만 원이다. 2022년 한 해 동안 사용자 2,500명이 16억 원 상당의 피해를 구제받았다. 현재 일부 은행이 보험 상품을 통해 금융사기 피해를 보상하지만, 토스의 안심보상제는 상대적으로 보상 폭이 넓고 절차가 간편하다. 물론, FDS의 사이렌 경고를 무시하고 송금하면 보상하지 않는다.
 

토스의 창업부터 2022년까지를 정리한 <유난한 도전>에 따르면, 토스는 안심보상제를 구상하면서 페이팔의 부정 거래 보상 제도를 참고했다. 결제가 간편해질수록 부정 거래도 늘어나기 마련이다. 페이팔은 간편함을 포기하지 않는 대신 부정 거래가 발생했을 때 금융 약자인 사용자에 우선 보상한다. 페이팔이 2019년에 부정 거래 보상에 쓴 비용은 1조 3,000억 원, 전체 거래액 854조 원의 0.15%다. 보상금을 먼저 지급한 후 수사 결과가 나오면 일부는 회수한다.

현재 토스가 페이팔 수준으로 이상 거래 보상금을 관리하고 있는지는 확실치 않다(구체적으로 확인해 주지 않았다). 그러나 토스 앱을 통한 누적 송금액은 이미 2021년 5월에 160조 원을 넘어섰다. 간편 결제까지 포함한 토스의 모든 서비스 중 안심보상제로 지급한 비용이 16억 원이라면, 적어도 현재까지는 매우 효과적으로 안심보상제를 운용하는 것으로 보인다. 그 중심에 FDS가 있는 것은 물론이다.
 

아픈 만큼 '안전해졌다'

토스가 FDS 구축을 처음 시작한 것은 2015년이다. 그러나 본격적으로 사용자 보호에 활용하게 된 계기는 2020년 사건이다. 토스 사용자 8명이 자신도 모르는 사이 계좌에서 200만 원 정도 빠져나갔다고 신고했다. 토스 측은 시스템이 해킹된 것이 아니라 제3자가 이들의 개인정보를 탈취해 결제한 것이라고 주장했지만, 최종 수사 결과는 알려지지 않았다. 사건이 보도되는 1시간 사이 토스 탈퇴자는 평소의 수백 배에 달했다. 고객 보호팀을 신설하고 부정 거래에 대한 피해보상 절차와 기준을 마련해 안심보상제를 내놓은 것도 이때다.

따라서 토스 FDS의 성과는 이런 시행착오의 맥락에서 읽을 필요가 있다. 토스는 오프라인 영업 인프라가 없으므로 사용자 유입과 유지(탈퇴 방지)에 더 적극적일 수밖에 없다. 2,000만 명이 넘는 방대한 사용자를 가졌고 개인 정보와 금융 정보를 통합 분석하는 서비스가 많아 기존 금융사보다 FDS를 활용하는 데 더 유리하기도 하다. 더구나 토스 역시 FDS에 대해 제한적으로 정보를 공개하고 있다. 탐지하지 못한 이상 거래 건수, 사이렌을 띄운 전체 횟수 등 토스 FDS의 부족한 점을 짐작할 수 있는 데이터는 대부분 "외부로 노출하는 데 한계가 있다"고 했다(단, 토스 FDS의 경고를 무시하면 보상을 받을 수 없으므로, 안심보상 건수는 곧 토스 FDS가 놓친 이상 거래의 최소치다).

그러나 설사 시행착오에 대한 대응이자 후발 금융사의 공격적인 마케팅이라고 해도 FDS를 통해 사용자 보호 측면에서 금융 서비스를 차별화하려는 토스의 시도는 평가할 부분이 있다. 금융사고의 현실적인 면을 고려하면 더 그렇다. 국내 범죄수익 환수율은 1% 수준이다. 일단 사기에 휘말리면 돈을 되찾기 어렵다. 토스 역시 안심보상제로 지출한 보상금 대부분을 손실 처리했을 가능성이 크다. 안심보상제로 지급된 건수의 90%가 중고 거래 사기이고 평균 금액이 37만 원이어서 소송으로 대응하는 실익도 크지 않다.

가장 중요한 것은 결국 사용자가 불안감 없이 금융 서비스를 누리는 환경을 만드는 것이다. 더 많은 금융사가 FDS를 고도화하고 충분한 보상 제도 등 사용자 보호 측면에서 경쟁한다면, 사용자는 더 안심하고 금융 서비스를 이용할 수 있다. 사기 거래가 이뤄지기 전에 송금이나 결제를 중단하고 재산을 안전하게 지킬 수 있도록 '제대로 된' FDS가 필요한 것도 이 때문이다. 이광현 PO는 "금융 사기는 사전에 차단하는 것이 매우 중요하다. 금융사고 특성상 구제되지 못하는 경우가 상당히 많다. 토스가 선제적 대응에 집중하는 것도 이 때문이다"라고 말했다.
sanghun_park@idg.co.kr