Financial Crime & Compliance

2016년 동안 영국의

Card Fraud, Cheque Fraud, Online banking Fraud, Phone Banking Fraud, Phishing 등에 대한

Annual Report 

발행처 : Financial Fraud Action UK

FFA.Report.Fraudthefacts.081417.pdf

2017. 05. 01

미국의 금융 전략 연구소 중 하나인 국제금융청렴조사위원회(Global Financial Integrity)는

개발도상국의 불법적인 자금 유입 / 유출 보고서(Illicit Financial Flows to and from Developing Countries): 2005~2014 에서

2014년도에 약 1조 달러에 가까운 불법적인 자금 흐름이 있었다고 밝혔다. 

추가적으로

- 2005~2014년간 불법적인 자금 유출의 평균 87%가 사기성 무역 거래의 오용에 인한 것이고,

- 사하라 사막 이남 아프리카의 불법 자금 유출은 2014년 총 무역의 5.3% ~ 9.9%로 조사된 다른 어떤 지역보다 높았으며,

- 총 불법 자금 흐름은 지난 10년간 평균 8.5 ~ 10.1% 증가했고,

- 2014년 불법 유출은 6,200억 달러 ~ 9,700억 달러, 유입은 1조 4천억 달러 ~ 2조 5천억 달러로 추정했다.

상세 보고서는 아래 링크를 참고하시길...

GFI-IFF-Report-2017_final.pdf

2016년 5월 방글라데시의 중앙은행이 뉴욕 연방준비은행(FRB of NY)에 예치해둔

1억 100만달러(1,167억원)가 방글라데시 중앙은행의 국제은행간통신협회(SWIFT) 시스템을

해킹한 해커들에 의해 필리핀과 스리랑카로 이체 승인되는 사고가 발생,

필리핀으로 이체된 8,100만 달러가 자금세탁에 성공한 사례가 발생되었다.

또한 2016년 7월,

인도의 국영 은행인 Union Bank of India에서도

뉴욕의 은행 계좌에서 5개 지점의 개인 계좌로 약 1억 7,000만 달러의 이체를 허가한 사건도 동일하게 발생되었다.

2016년 7월 말 Union Bank의 한 직원이  어느 이메일의 첨부 파일을 열자,

SWIFT(국제금융결제시스템망; International Interbank Financial Telecommunication)의 거래를 승인하기 위한 악성코드가 활성화 되었고,

해커들은 이 코드를 사용하여 전신 송금 처리 및 달러 거래를 처리하는 뉴욕의 씨티그룹의 Union Bank 계좌로

태국, 캄보디아, 호주, 홍콩, 대만의 계좌로 약 1억 7,000만 달러를 송금하도록 지시하였다.

이 돈은 중국계 범죄 단체들과 관련된 쉡 컴퍼니로 넘어가 자금세탁되었다.

이 두 가지 사건은 북한의 해킹 조직이 해킹을 통해 SWIFT에 접근, 

은행 간의 자금 거래를 위조하여 자금을 탈취하는 방식으로 진행되었다고 보안 전문가들은 밝히고 있다. 

또한, 4월 14일 해커단체 Shadow Brokers는

미국 NSA(국토안보국)가 SWIFT를 해킹해 각국 은행 간 거래내역을 감시해온 자료를 공개했다.

여기에는, NSA가 중동지역에서 SWIFT 서비스 기술 서비스를 제공하고 있는 EastNets의 시스템에 침투하고,

이를 통해 쿠웨이트, 두바이, 바레인, 요르단, 예멘, 카타르 등의 은행과 금융기관의 거래를 감시한 흔적이 있다는 것이다.

국내외 환거래(Correspondent Banking)의 대부분이 SWIFT를 통해 이루어 지고 있고,

가장 접근성이 뛰어나고 안전하고 빠른 채널로써 이루어지고 있었던 SWIFT가

여러 번의 해킹 사례에 의해 더이상은 안전하지 않은 채널이다 라는 사실이 밝혀지고 있는 것이다.

물론, 개인이 피해를 입기보다는 환거래 은행들과 뉴욕 연방준비은행이 책임져야 할 문제이기는  하지만,

이로 인해 은행의 신뢰도와 국제 금융 시스템에 대한 신뢰도는 하락될 수 밖에 없다.

이에, 최근 블록체인 등 국내외 환거래 및 무역 거래의 무결성 및 안정성을 보장하기 위한 다양한 연구가 이루어 지고 있다. 

현재, SWIFT에 가입되어 있는 은행들이 독점하고 있는 자금 거래의 독점성 또한

해소될 가능성이 있어, 현재의 금융 시스템과는 다른 차원의 파괴적 창조가 이루어질 것으로 보인다.

2017년 3월 13일

영국 내무부는 파나마와 자금세탁 및 마약 밀거래를 비롯한 심각하고 조직적인 범죄에 대한

정보공유 협약을 체결했다고 발표했다.

특히, 이 합의는 정보 수집 절차와

정보 수집, 개발 및 분석과 같은 문제에 대한 Best Reference를 명확히 했다.

이 발표에서 조직 범죄로 인행 영국이 해마다 약 240억 파운드의 손실을 보고있으며,

양국간 양해각서(MOU)를 통해 이 분야에서 긴밀한 협력이 이루어질 것이라고 강조했다.

** 영국은 예전부터 Offshore Tax Evasion - 역외탈세 -와 관련된

   많은 노력을 수행했었고, 이에 따른 선제적 조치가 아닌가 싶다.

이르면 다음달 중순부터 은행들은 해킹·피싱·파밍·스미싱 등 전자금융거래 사고시 고객에게 손해보상을 해야 한다.

지난 1월 공정거래위원회가 전자금융거래 피해를 원칙적으로 은행이 책임지는 내용으로 

전자금융거래 표준약관을 개정했는데, 은행권이 이를 수용한 것이다.

http://v.media.daum.net/v/20170314060026838

라고, 보도되었다.

해외에는 모든 은행이 1st-Party Fraud, 3rd-Party Fraud, Insider Threats, Internal Fraud, On-line Fraud 등

다양한 형태의 Fraud를 찾아내고, 적발하기 위해 노력을 기울이고 있었으나,

우리나라에는 이런 움직임 자체가 거의 없었다.

단지, 온라인 사기를 적발하기 위한 eFDS만을 운영하고 있다.

이런 이유는, 첫번째는 사기의 피해 책임을 고객이 지고 있었고,

금융의 Regulation 자체가 규제를 준수하면 금융사는 면책이 되기 때문이었다.

또한, 금융실명제라는 제도가 실시되며, 

불과 얼마전까지 주민등록번호를 광범위하게 사용되었기 때문이었다.

하지만, 사회가 민주화되고, 개인의 인권이라는 측면이 대두되며,

법적으로 개인정보에 대한 보호 및 사용을 제한하기 시작했고,

여기에 금융기관의 책임이 더욱 강화되는 형태로 변경되고 있다.

이제 금융사도 Fraud에 눈을 돌려야 할 시점이다.

2017.02.23 전자신문 지면 & 인터넷 기사 

보도자료 원문

전체 결제의 50.6%인 신용카드를 이용한 범죄 급증...매년 1만 건 이상 위조 범죄 발생

- 유럽 최대 카드결제기관 네츠(Nets), 머신러닝 기반 SAS 카드사기방지시스템으로 사기 탐지율 50% 향상

- 단순한 카드결제서비스를 넘어 안전한 결제 보호자로서 고객 만족과 신뢰, 충성도 증대

날로 증가하는 신용카드 결제 사기

한국은행이 조사한 <2016년 지급 수단 이용 행태(2016.12)>에 따르면 현재, 성인 1명당 1.98장의 신용카드를 보유하고 있으며, 결제 시 신용카드를 가장 많이 사용하고 있는 것으로 나타났다. 신용카드는 전체 결제의 50.6%(이용 건수 기준)를 차지하며, 하루 평균 1조 6270억 원을 신용카드로 소비(2016년 상반기 중 지급결제 동향, 한국은행)하고 있다.

신용카드가 경제활동의 중요한 역할을 담당하면서 카드 사기 범죄도 급증하고 있다. 금융감독원 자료에 따르면 2016년 위조 신용카드 사용 신고 건수는 1만 5000여 건. 2015년에는 1만 5056건으로, 매년 1만 건 이상 신용카드 위조 범죄가 발생하고 있다.

위조 신용카드 사기를 막기 위해 정부는 2013년 3월부터 신규 발급 신용카드의 경우 보안성이 높은 IC카드 발급을 의무화하고, 2015년부터는 마그네틱 카드를 이용한 신용 구매를 중단했다. 또한 여신전문금융업법을 개정, 2018년 7월까지 기존 사업자와 신규 가맹점은 IC카드 단말기를 의무적으로 설치하도록 했다.

미국도 예외는 아니다. 지난 1월, 컨설팅업체인 '재블린 스트레이터지 앤 리서치(Javelin Strategy & Research)’ 발표를 보면 IC카드만으로 신용카드 사기를 완벽히 차단할 수는 없다. 2016년 미국 내 신용카드 사기 피해자 수는 1540만 명. 2003년 통계 발표를 시작한 이후 최고 수준이다. 피해액도 2015년보다 10억 달러나 늘어난 160억 달러(약 18조 4000억 원)에 달했다. 개인정보 보호를 위해 마그네틱 카드를 IC카드로 교체하고, 가맹점들 또한 더 안전한 결제 단말기로 교체하고 있는데도 말이다.

그 이유는 무엇일까? 보고서에서는 새로운 사기 수법이 끊임없이 개발되기 때문이라고 언급했다. 신용카드 사기 범죄자들은 날로 적극적이고 유기적으로 조직화되고 있으며, 각종 첨단기술을 이용해 카드 이용자 정보에 접근한다. 카드 리더기에 정교한 판독기를 설치해 카드번호 등 정보를 빼내는 ‘스키밍(skimming)’, 금융기관을 사칭하여 금융정보를 빼내는 ‘피싱(fishing)’, 신용카드 정보를 얻기 위해 접속을 유도하는 가짜 웹 사이트 등 사기 수법은 날로 교묘해지고 있다. 자동화된 소프트웨어를 사용해 15초 내에 카드 정보를 탈취하기도 한다.

컴퓨터나 모바일 기기를 이용해 단 몇 번의 클릭이나 터치만으로 결제가 이뤄지는 온라인 결제의 증가도 카드 사기 범죄자에게는 좋은 기회가 되고 있다. 특히 최근 핀테크 열풍이 일면서 결제 시스템은 더욱 간편하게 변화하고 있다. 이처럼 기술이 점점 스마트해지고 효율적으로 기술을 활용하게 되면서 범죄 수법도 지능화하고 있는 것이다.

카드 사기, 사후 적발에서 사전 방지로

북유럽과 발트해 국가에 있는 250여 은행과 35만여 가맹점, 1900만여 장의 카드 소유자를 대상으로 결제 인프라를 제공하는 유럽의 대형 카드결제서비스 회사인 네츠(Nets)는 지난 한해, 카드 사기 건수를 무려 50~70% 감소시켜 큰 주목을 받고 있다.

네츠는 그동안 대부분의 카드결제서비스 회사와 마찬가지로 내부 사기 전담 수사관이 수상쩍은 거래를 조사해왔다. 문제는 조사가 이뤄지는 시점에는 이미 다른 거래 행위와 함께 수상쩍은 거래가 종료된 상태라는 것. 때문에 카드 소지자나 카드사는 결제가 차단되기 전에 이미 상당한 손실을 입을 수 있다. 사후 대응적 접근방식을 뛰어넘어 사기 거래를 미연에 방지하는 새로운 전략이 필요한 이유다.

네츠의 사기 및 분쟁 해결 서비스 부문 수석 부사장 카스파 콕 크리스텐센(Kaspar Kock Kristensen)은 “모든 것이 연결된 하이퍼 커넥티드 세상에서는 누구나 쉽고 빠르게 정보를 얻을 수 있으며, 그렇게 얻어낸 정보는 순식간에 악용될 수도 있다”며 “범죄자들의 행동 방식을 파악해 카드 소지자가 더 큰 손실을 입기 전에 사전에 막을 수 있는 방법을 알아내고자 했다"고 설명했다.

네츠의 구체적인 니즈는 세 가지였다. ▶의심스러운 거래가 완료되기 전에 이를 중지시켜 사기를 미연에 방지하고 ▶실제 사기 행위와 카드 소지자의 순수 지출을 구별하고 ▶오탐지로 인한 고객의 계정 및 카드 사용 중지를 방지하는 것. 이를 해결하기 위해 네츠는 ‘SAS 카드사기방지시스템(SAS Fraud Management)’이었다.

SAS 카드사기방지시스템은 미심쩍은 거래가 이뤄지기 전에 이를 사전에 중지시켜 사기를 미연에 방지하도록 돕는다. 또한 카드결제기관의 오탐지로 고객의 계정이나 카드가 중지되어 고객이 당황스러운 상황에 놓이지 않도록 실제 사기 행위만 탐지하도록 한다. 실제로 네츠는 SAS 카드사기방지시스템을 도입하면서 더 많은 사기 행위를 탐지 및 예방할 수 있게 됐다. 2016년 한 해 카드 사기 오탐지율은 절반으로 줄었고, 사기 탐지율은 50% 향상됐다. 카드 사기 건수는 50~70% 감소했다.

머신러닝과 실시간 거래 기록이 핵심

이처럼 놀라운 성과를 거둘 수 있는 가장 큰 비결은 머신러닝 기법에 있다. SAS 카드사기방지시스템은 각 카드 소지자별로 고객 행동 프로파일을 생성하는데, 여기에는 고객의 소비 습관은 물론, 일상적인 활동과 관련된 정보가 포함된다. 이를 기반으로 이상징후를 자동으로 포착해서 부정거래를 스스로 잡아낸다.

두 번째 비결은 구매 시점에 이뤄지는 모든 거래를 실시간으로 기록하는 데 있다. 행동 프로파일 규칙과 점수화 모델을 결합하여 사기 위험을 정확하게 평가하기 때문에 보다 많은 범죄 행위를 막을 수 있다.

SAS 카드사기방지시스템을 통해 카드 사기 행위를 탐지하여 카드 소지자의 피해를 사전에 방지하게 됨으로써 네츠는 단순한 카드결제서비스 회사를 넘어, 고객을 보호하기 위해 하루 24시간 만전을 기하는 결제 보호자로서 강력히 자리매김하고 있다. 또한 범죄 정보를 주요 관계당국에 제공하여 범죄자 검거에도 기여하고 있다. 이로 인해 네츠에 대한 고객의 만족과 신뢰, 충성도까지 날로 높아지고 있다.

한 통계에 따르면 지난 2013년 이후 3년동안 국내에서 ‘카드 부정사고(제3자의 카드 사고)’로 적발된 카드는 총 18만 1807장에 이른다. 적발 금액만 898억 원 이상이었다. 카드 1장당 평균 사고액은 49만 4370원. 더욱 놀라운 사실은 부정사고로 적발된 카드와 금액이 해마다 늘어난다는 사실이다. 공인인증서 부정 사용, 인터넷 허위 발급 시도, 포스 단말기 정보 유출 등 카드 부정 사용과 사기는 날로 지능화 다양화하고 있다. 인공지능(AI)와 같은 최신 기술로 사기방지시스템을 지속적으로 고도화하고 분석기법의 다양화로 부정거래를 원천 차단하는 것만이 대안이다.

12월 8일 보도 자료

다양한 분야에서 사기와 범죄를 방지 / 적발하는 ‘SAS 애널리틱스’

각종 사기 방지, 빅데이터 분석으로 답을 찾다

모든 범죄는 흔적을 남긴다. 빅데이터 시대, 그 흔적은 바로 ‘데이터’다. 각종 사기 행위가 날로 지능화되며 파급력을 더하고 있지만, IoT 시대의 축적된 모든 데이터를 실시간으로 분석하는 AoT(Analytics of Things)가 현실화되면서 분석 기반의 사기 방지 솔루션이 기업 자금 보호에 큰 역할을 하고 있다. 실제로 국제사기감사관협회(ACFE; Association of Certified Fraud Examiners) 발표에 따르면 사기 방지 솔루션을 갖추지 못한 기업의 평균 손실액은 2배 이상 많은 것으로 나타났다.

사기로 인한 손실액은 전 세계적으로 매년 약 3조 7천만 달러에 달한다. 세계적인 분석 선두기업인 SAS는 이 같은 손실과 위협에 대응할 수 있도록 여러 기업 및 기관과 협력하고 있다. 특히 국제사기감사관협회가 매년 추진하는 ‘국제 사기 인식 주간(International Fraud Awareness Week, 11월 13일~19일)’의 후원 기업으로서 교육을 통해 사기 방지에 대한 인식을 높이고 사기 행위를 미연에 방지하기 위해 노력하고 있다.

SAS코리아 조민기 수석은 “일반적으로 매년 각종 사기로 인해 5%의 수익 손실을 감수하고 있는 기업들에게 고급 분석과 전문화된 툴은 사기를 탐지하고 차단하는데 필수가 되었다”며 "SAS는 고급 분석과 산업별 전문성을 결합한 효과적인 도구를 고객들에게 제공함으로써 기업 스스로 사기 범죄를 차단할 수 있도록 지원하고 있다”고 말했다.

실제로 전 세계 은행, 보험, 카드사 등 금융기관과 일반 기업, 정부기관 등은 SAS 솔루션을 기반으로 지속적으로 증가하고 지능화되는 각종 사기와 자금 낭비/유용, 자금 세탁 방지 등의 효과를 경험하고 있다.

미국 아이오와주가 발표한 보고서에 따르면, 세무 환급 신청 중 약 1.5%가 부정 신고에 해당한다. 비율로 보면 낮은 수준이지만, 금액 상으로는 수백만 달러에 달하는 금액이다. 아이오와주 세무국(IDR)에서는 부정적인 세무 환급을 비롯한 각종 금융 사기와 낭비, 오용 등을 없애기 위해 미국 연방정부 국세청(IRS)와 여러 주 정부에서 활용하고 있는 SAS의 사기 방지 프레임워크를 도입했다.

아이오와주 세무국은 SAS 사기 방지 프레임워크를 기반으로 범죄 수법에 따라 유연하게 대처하고, 공개 데이터까지 통합하여 규정 위반 또는 사기 징후 특성을 식별함으로써 사기 적발은 물론, 사기를 사전에 방지하고 있다.

아이오와주 세무국 커트니 케이 덱커(Courtney Kay Decker) 국장은 "사기 적발 비율을 높이고 사기를 원천 차단함으로써 세입을 타당하게 사용하여 아이오와주 모든 시민에게 혜택이 돌아가도록 노력하고 있다"고 말했다.

포브스(Forbes)가 선정하는 ‘미국 최고의 은행(Best Banks in America)’에 매년 이름을 올리는 Texas Capital Bank는 매출 규모가 3년간 90억 달러에서 210억 달러로 성장했다. Texas Capital Bank는 미국에서 가장 많이 활용되고 있는 SAS의 자금세탁 방지 플랫폼을 도입하여 금융범죄 예방 시스템을 보다 강화하고, 규제 당국의 각종 규제 사항과 향후 지속적으로 진화/강화될 규제에 유연하게 대비하고 있다. 아울러, 시각적 데이터 분석 도구인 SAS® Visual Analytics를 이용해 컴플라이언스 관련 데이터를 임원진과 비즈니스 파트너에게 신속히 배포하고 대응함으로써 은행 내의 투명성을 제고하고 즉각적인 판단과 의사결정을 지원하고 있다.

SAS 애널리틱스는 보험사의 사기 방지에도 활용된다. 보험사기는 나날이 증가하고 있지만 보험사기 전담 조사자 인력은 턱없이 부족한 실정이다. 심사와 지급 처리 기간은 촉박하고, 보험사기로 인한 손실액은 매해 눈덩이처럼 불어나고 있다. 네덜란드 건강보험사 CZ은 SAS의 예측 분석 솔루션으로 손실을 사전에 막고 있다. 사후 대책이 아닌 청구 절차 초기 즉, 보험금 지급 이전에 허위 신고 또는 사기를 적발하고 있는 것이다.

국내에서는 최근 NH농협손해보험이 SAS 보험사기 방지 프레임워크를 기반으로 보험사기 방지시스템을 구축, 지난 11월부터 보험사기 상시 모니터링 체계를 가동했다. 보험업계 최초로 NH농협손보만의 특화된 가축, 농기계 보험에 대한 사기 적발 및 사전예방 대응체계를 구축했다. 이를 통해 제한된 인력으로 보험사기 적발의 정확도를 높이고, 보험사고 접수에서 심사, 조사, 사후관리에 이르는 모든 프로세스를 체계적으로 관리함으로써 보험사기 방지 업무의 효율성을 높이고 있다.

한편, SAS코리아 조민기 수석은 “앞으로도 많은 기업과 정부기관이 선제적으로 사기를 예방하고, 손실을 줄일 수 있도록 솔루션을 개발하고 협력해 나갈 것”이라며 “기업 및 공공기관과 다양한 방식으로 협업하고, 사기와 낭비, 오용을 적발 및 방지하기 위해 적극 지원해 다양한 분야에서의 사기 방지를 위해 지속적으로 노력해 나갈 계획”이라고 말했다. (끝)

2016. 12. 19 미국 국무부가 한국, 일본과 핵심 인프라를 위한 사이버 보안 회의 개최

2016년 12월 19일 워싱턴 D.C에서 미국은 핵심 인프라의 사이버 보안에 관한 3자간 사이버 전문가 회의를 주최했다. 

이 회의에는 사이버 트렌드 및 핵심 인프라에 대한 위협, 악의적인 사이버 활동과 연관된 이슈에 대응하기 위한 시나리오 기반 협의가 

포함되었다. 

3국은 이 중요한 안보 문제에 대한 협력을 진전시키겠다는 의지를 재확인했다. 

이 회의는 미국에서는 국무부 차관보 안토니 블린켄, 대한민국은 임성남 외교 통상부 제1차관, 일본은 신스케 스기야마 외교부 차관이 다양한 사안에 대해 3자간 협상을 확대하기 위해 노력에 바탕을 두고 있다.

크리스토퍼 페인터 국무부 사이버 쟁점 담당관은 국무부, 국방부, 법무부, 국토 안보부, 에너지부, 국가안보부의 다른 대표를 포함하는 미국 정부 대표단을 이끌었다.

대한민국의 외교통상부 이경철 대테러 및 사이버 보안 조정관이 한국 대표단을 이끌었다. 그는 외교통상부, 경찰청, 대검찰청, 한국인터넷진흥원, 국가정보원의 대표와 동행했다.

외교부 외교정책국 사이버보안정책과장인 사이토 아츠시가 일본대표단을 이끌었다. 그는 NISC(국가 안보 지원 센터), 경찰청, 외무부, 경제산업성 및 국방부의 대표와 동행했다.

2016.09.22 BI Korea

http://www.bikorea.net/news/articleView.html?idxno=15034

자금세탁방지는 Compliance 차원에서 반드시 준수되어야 하는 Regulation이지만,

금융 범죄는 자금세탁과 뗄레야 뗄수 없는 환경이 되었다.

금융 기관은 Pernalty를 대비하기 위해서라도 광범위하게 의심 거래를 모니터링하여야 할 의무가 있고,

단지 여기에 그칠 것이 아니라, 어짜피 해야 할 모니터링이라면

금융 범죄도 통합하여 모니터링하는 것이 바람직할 것으로 보인다.

이런 의미가 이 기사에 포함된 금융회사의 FCIU(Financial Crime Intelligence Unit)의 의미가 아닐까 싶다.

2016년 12월 13일 기호일보

돈이 있는 곳에 부정이 있다.

Social Benefit / 사회 복지 뿐만 아니라

고용 보험 등의 4대 보험에서의 부정 누수 금액이 상상을 초월한다.

물론, 복지를 더욱 증가시켜야 하는 것은 복지사회로 가는 당연한 기조이지만,

그 복지를 엉뚱한 사람들이 탈취 / 부정 수급하는 것은 규모를 떠나 사회 정의를 위해서도 반드시 방지하여야 한다.

특히, 제도를 잘 알고있어 그 헛점을 노리는 White Color의 범죄는 더더욱 더...

여기 기사에는 세무회계사무소 직원이 사업주와 공모하여 고용보험 허위 신고하여 실업급여를 부정수급한 사례이다.