보이스피싱범을 막는 AI, QA는 FDS(이상거래탐지시스템)를 어떻게 테스트할까?

AML (자금세탁방지):
- ‘돈의 출처’가 불법적인지(자금세탁)를 주로 감시합니다.
- 주로 사후 분석과 감독 기관 보고(STR)에 초점이 맞춰져 있습니다.
FDS (이상거래탐지시스템):
- ‘거래 행위 자체’가 평소 패턴에서 벗어나 사기일 가능성이 있는지를 주로 감시합니다.
- ‘실시간 차단’과 ‘피해 예방’에 초점이 맞춰져 있습니다.

FDS는 크게 ‘룰 기반’ 방식과 ‘머신러닝 기반’ 방식을 함께 사용하여 사기 거래를 탐지합니다.

QA는 두 방식 모두의 허점을 찾아내야 합니다.

1. 룰 엔진 (Rule Engine):
- 미리 정의된 명백한 사기 패턴을 규칙으로 만들어 탐지합니다.
- 예시: “평소 국내에서만 접속하던 고객이, 1분 뒤 해외 IP에서 로그인하여 고액 송금을 시도하면 거래를 차단한다.”
2. 머신러닝 모델 (Machine Learning Model):
- 고객의 평소 거래 패턴(시간, 장소, 금액, 기기 등)을 AI가 학습합니다.
- 그리고 이 학습된 패턴에서 크게 벗어나는 ‘이상한’ 거래가 발생하면, 이를 사기 위험으로 판단하고 경고합니다.
- 예시: “평소 매달 1만원대 소액 결제만 하던 고객이, 갑자기 새벽 3시에 처음 보는 기기에서 500만원을 송금하려 한다.”

QA는 ‘창의적인 해커’의 관점에서, 시스템을 속이려는 다양한 사기 시나리오를 직접 실행해봐야 합니다.

단순히 기획서에 명시된 룰만 테스트하는 것으로는 부족합니다.

FDS 테스트 시나리오 예시:
- 평소와 다른 환경 시나리오:
  - 해외 IP 주소, 새로운 기기, VPN 등을 사용하여 접속 및 거래를 시도합니다.
  - 이때 FDS가 이 거래를 인지하고, 추가 인증(ARS, 문자 등)을 요구하거나 거래를 차단하는지 확인합니다.
- 비정상적인 시간/금액 시나리오:
  - 평소 활동하지 않던 새벽 시간에, 평소 평균 거래액의 수십 배에 달하는 금액을 이체 시도합니다.
- 동시 다발적 거래 시나리오:
  - 짧은 시간 안에 여러 다른 쇼핑몰에서 연속적으로 소액 결제를 시도하는 ‘카드 도용’ 패턴을 흉내 냅니다.
- 정보 변경 직후 거래 시나리오:
  - 연락처나 비밀번호를 변경한 직후, 곧바로 고액을 송금하려는 시도를 시스템이 의심하고 차단하는지 확인합니다.

FDS가 너무 민감하면, 정상적인 고객의 거래까지 모두 막아버리는 최악의 사용자 경험을 유발합니다. “해외여행 중인데, 카드 결제가 갑자기 막혔어요!” 와 같은 고객 불만이 대표적입니다.

QA는 ‘안전’과 ‘편의’ 사이의 균형점을 찾는 데 기여해야 합니다. 정상적이지만 FDS 룰에 걸릴 수 있는 애매한 시나리오(예: 기기 변경 후 첫 고액 결제)를 테스트하고, 그 결과를 팀과 공유하여 룰을 정교하게 튜닝하도록 돕습니다.

금융 사기 수법은 계속해서 진화합니다. QA는 최신 보이스피싱, 스미싱, 파밍 등의 수법을 꾸준히 학습해야 합니다. 그리고 이를 방어할 수 있는 새로운 테스트 시나리오를 역으로 기획팀과 개발팀에 제안할 수 있어야 합니다.

FDS 테스트는 정해진 명세서를 따라가는 테스트가 아닙니다.

이는 끊임없이 진화하는 금융 사기 공격을 막기 위해, QA가 먼저 창의적인 공격자가 되어 시스템의 모든 빈틈을 찾아내는 치열한 공방전입니다.

성공적인 FDS는 보이지 않는 곳에서 수많은 고객의 자산을 지켜주는 든든한 방패입니다.

그리고 이 방패의 견고함을 검증하는 것이 바로 금융 QA의 중요한 사명입니다.