alert
파트너 프로그램 문의 요청이 정상적으로 전송되었습니다.
담당자가 곧 연락드리도록 하겠습니다.
메뉴 열기

고객성공사례 0.5초 이내에 이상 금융 거래 탐지를 달성한 D은행

기존 보험사기탐지, 부정카드결제탐지와 달리 은행의 이상거래탐지는 실시간성을 요구합니다.
뱅킹 규모에 따라 500-2000TPS 이상의 데이터를, 50종 이상의 패턴 및 2년간의 행위이력과 대조하여 0.5초 이내에 이상 거래 여부를 탐지해야 합니다.

D은행은 인터넷뱅킹, 스마트뱅킹 등 다양한 매체를 통해 발생하는
이상금융거래를 탐지하기 위한 실시간 FDS를 로그프레소 기반으로 구축했습니다.
배치 아키텍처, 실시간 아키텍처

아키텍쳐 설명

로그프레소 FDS는 앱 확장 기능을 사용하여 개발되었습니다. 운영망에는 FDS 탐지 서버 1세트를 액티브-액티브로, FDS 분석 서버 1세트를 액티브-스탠바이로 구축하였습니다. 각 구성요소에 대한 세부 설명은 아래와 같습니다.


뱅킹 WAS : PC단말지정등록, 공인인증서 재발급 등의 이벤트를 전송거나, 이체/대체 거래에 대한 이상탐지 요청을 전송합니다. 탐지 서버와 통신시 전용 프로토콜을 사용하며, TLS를 이용한 암호화 통신을 지원합니다.


탐지 서버 : 탐지 서버는 0.5초 안에 모든 이상거래탐지 과정을 수행하고 결과를 응답합니다. 탐지 서버는 해당 거래가 패턴탐지 룰과 프로파일 탐지 룰을 위반하는지 실시간으로 검사하고, 각 룰별로 탐지 결과를 인메모리 세션에 기록하며 최종적으로 이상거래 시나리오와 대조하여 이상거래 여부를 판단합니다.

탐지 서버는 탐지 지연을 다음과 같이 방지합니다. 탐지 서버는 수집한 각종 데이터를 직접 저장하지 않고, 분석 서버로 실시간 전송합니다. 분석 서버는 주기적으로 탐지 룰을 만들고, 탐지 서버는 이 룰을 가져옵니다. 별도로 분리된 분석 서버에서 프로파일링 함으로서, 프로파일링시 발생하는 부하를 방지합니다.

탐지 서버는 다음과 같이 고가용성을 보장합니다. 액티브-액티브로 구성된 탐지 서버는, 각자 인메모리 세션을 유지하면서 데이터를 처리합니다. 만약 자신이 관리하는 세션 키 영역을 벗어난 탐지 요청이 들어오면, 다른 탐지 서버로 요청을 전달하여 처리하고 그 결과를 대신 응답합니다. 따라서, L4 스위치 등을 사용하여 임의로 거래전문을 전송하더라도 문제없이 탐지할 수 있습니다.


DR 서버 : 탐지 서버에서 분석 서버에 데이터를 실시간으로 전송하는 것과 마찬가지로, 분석 서버에서 다시 DR 서버로 데이터를 실시간 전송하여, DR 서버를 항상 동일한 상태로 유지할 수 있습니다. 따라서 주 전산센터 전체에 장애가 발생하여 DR 센터로 전환하게 되더라도, DR 서버를 이용하여 문제없이 이상거래탐지 업무를 수행할 수 있습니다.

이 사례의 특징

- 500-2000TPS의 거래 데이터에 대해 0.5초 이내 이상거래여부 판별

- 탐지 서버와 분석 서버를 분리하여, 탐지 지연 방지

- DR 복제를 실시간으로 수행하여, 비상시에 즉시 DR 전환 가능

최신정보 받기