금융거래 정보 및 모바일 GPS를 활용한 모바일 이상 거래 탐지 시스템 구현

Ⅰ. 서 론

국내외 금융 산업과 IT 기술의 발전에 따라 최근 금융거래 방식은 오프라인 거래보다 온라인 거래의 비중이 증가하고 있다[1]. 하지만 편리함을 강조한 모바일 금융거래는 낮은 보안성으로 해커들의 공격이 이어지고 있다[2]. 인터넷 은행인 카카오 뱅크를 예시로 들자면, 2017년 출범 이후 편의성을 이유로 이용 고객 수가 빠르게 증가하였지만 사기 이용 계좌가 2017년 199건에서 2020년 2,705건으로 13.6배 증가하였고 이는 전체 사기 이용 계좌 중 약 11%의 비율을 차지하는 수치이다[3], [4]. 앞선 사례로 모바일 금융거래의 취약성을 인식하였고, 정부는 금융 사고 방지를 위해 이상거래 탐지 시스템(FDS; Fraud Detection System)을 도입하고 있다. FDS는 전자금융거래에 사용되는 단말기의 정보, 접속정보, 거래내용, 결제 위치 등을 종합적으로 분석하여 평소 패턴과 다른 거래임이 탐지될 경우, 금융기관과 이용자에게 탐지 사실을 알리고 더 나아가 임의로 거래를 중단시키는 데 활용된다[5].

최근 스마트폰으로 결제하는 거래가 활성화되면서 기존에 구축된 일반적인 금융거래에 특화된 FDS는 모바일 금융거래의 특성을 잡아내지 못하는 경우가 빈번하다. 이에 모바일 환경에서 적용한 FDS들이 제안되었다. 하지만 이 FDS들은 정확성이 떨어지거나 나타내는 범죄를 해결하기에는 부족하였다[6]. 정확성을 높이기 위해서 기계학습을 사용한 연구가 제안되었으며, 계속하여 발전 중이다[7], [8]. 기계학습은 방대한 데이터셋이 필요하지만, 금융거래에서 사용하는 민감한 개인정보들 때문에 감춰지는 경우가 많아 어려움이 있다. 또한, 스마트폰에 탑재된 GPS 센서로 얻어온 사용자의 현재 위치 정보를 활용해 사용자가 직접 안전 구역을 구축하고 해당 지역에서 결제가 이루어지면 추가 인증 없이 결제가 진행되는 시스템도 제안되었다[5]. 이 시스템은 빠른 결제 서비스를 제공한다는 장점이 존재하지만, GPS 좌표 조작으로 추가 인증을 피해 가는 보안 취약점이 존재한다.

본 논문에서는 모바일 결제정보를 활용한 기계학습 기반 모바일 이상거래 탐지 시스템을 제안한다. 또한 신뢰성을 높이기 위해 모바일 GPS 및 비콘의 위치정보를 활용한 탐지 방법을 제안한다. 기계학습의 훈련을 위해서 PaySim 모바일 머니 시뮬레이터에서 생성된 합성 데이터셋을 사용하여 기계학습을 수행하였다[9]. 또한 결제 위치의 신뢰성을 줄 수 있도록 GPS 센서, 비콘 그리고 결제정보에 담긴 소매점 위치를 비교하는 방법을 사용하여 이상거래 탐지의 신뢰성이 높였다.

Ⅱ. 관련 연구

본 논문에서는 기계학습 기법을 활용한 모바일 이상거래 탐지 시스템을 제안하고 구현한다. 기계학습 기법을 활용할 때 시스템이나 데이터셋에서 얻을 수 있는 정보는 사기 거래가 0.13%인 불균형데이터를 사용해야 하기 때문에 사용하는 데이터셋의 특징에 적합한 알고리즘을 잘 선별해야한다. 따라서, 우리는 최적의 알고리즘 선별을 위해 의사결정트리(DT; Decision Tree), K-최근접 이웃(KNN; K-Nearest Neighbor), 서포트 벡터 머신(SVM; Support Vector Machine), 랜덤포레스트(RF; Random Forest) 총 4가지 알고리즘을 채택하여 각각의 알고리즘을 적용해 사용하였다.

DT 알고리즘은 불균형 데이터에서 다른 알고리즘보다 뛰어난 성능을 보이기 때문에 분류 알고리즘으로 널리 쓰인다. 데이터의 속성을 트리 구조로 나눠 정보이론을 이용해 데이터 집합을 분류하고 분류 규칙과 결과를 시각화한다. 이러한 과정을 쉽게 이해할 수 있어 탐지 결과를 사용자에게 명확하게 제시하고 설명할 수 있다[10]. 또한, 계산량이 적어 많은 컴퓨팅 작업을 필요로 하지 않기 때문에 빠른 속도로 분석을 수행할 수 있다. KNN 알고리즘은 분류나 회귀 알고리즘으로 사용되고 있으며, 기존 데이터 중 유사한 K개의 데이터를 이용해 값을 예측하는 알고리즘이다. 학습 과정이 빠르고 분류와 숫자 예측에 적용 가능하지만 각각의 데이터에 대한 거리를 구해야하기 때문에 분류에 많은 시간이 걸린다는 단점이 존재한다[11]. SVM 알고리즘은 지도 학습에서 사용되는 대표적인 알고리즘이다. SVM은 각 관찰값들을 선형 경계로 구별하는 방법을 사용하는 최대 마진 분류기이며 이는 훈련 관측치들로부터 거리가 가장 먼 최대 마진 초평면을 선택하여 분리하게 되는데 초평면은 데이터를 분리하기 위해 필요한 직선으로 초평면과 가장 가까이 있는 데이터와의 거리, 즉, 마진을 최대로 만드는 직선을 계산하여 데이터를 분류하는 방법을 SVM이라고 한다. 이 알고리즘은 예측의 정확도는 높지만, 모형 구축 시간이 오래 걸리고 신경망과 같이 해석이 어렵다는 단점이 존재한다[12]. Random Forest 알고리즘은 다수의 결정 이진 트리를 결합한 앙상블 학습 알고리즘이다. 학습과정에서 랜덤한 수의 노드를 생성시키고 각 트리의 노드마다 가장 적합한 판별식과 임계값을 결정한다. 생성된 임의의 수의 이진 결정트리들은 패턴 분류의 일반화율을 높이는 역할을 한다. 특히 불균형 데이터에서 다른 알고리즘보다 뛰어난 성능을 보이고 단일 의사결정 트리 모델이 특정한 학습 데이터에 대한 민감함과 불안정함을 보완해준다[13].

Ⅲ. 기계학습 기반 이상 금융거래탐지

본 논문은 위치정보 분석 및 기법을 활용한 모바일 이상 금융거래탐지 시스템을 제안한다. 이를 GFM(GPS-based Fraud detection method in Mobile payment) 시스템이라 지칭한다. 이 시스템은 기존에 있던 다른 연구의 이상 금융거래탐지 시스템과 달리 모바일 디바이스를 통한 온라인 또는 오프라인 결제에 대해서 이상거래와 정상거래를 판별하는 시스템이다. GFM은 위치정보를 활용해 탐지의 신뢰성을 높이고, 모바일 결제 데이터를 이용해 학습시킨 기계학습 모델로 정확한 정보를 사용자에게 제공한다.

제안한 시스템의 구조는 그림 1과 같이 사용자 기기, 결제 기기, GPS 정보를 활용한 위치 기반 인증, 기계학습 기반 인증으로 구성된다. GFM 시스템은 Windows 운영체제를 기반으로 하여 웹 서버와 기계학습 서버가 통합된 서버를 구축하였다. 웹 서버에서는 사용자로부터 결제요청 데이터를 안드로이드 App을 통해 수집하고, Rest API 방식을 이용해 기계학습 서버로 전달한다. 그 데이터 중에서 우선 사용자의 모바일 기기의 위치와 판매자의 결제기기의 위치의 정보를 분석하여 1차적으로 정상 거래인지 이상 거래인지를 판단한다. 위치에 대한 정보만으로 이상이 없을 시에는 기계학습 서버로 데이터가 전달되고, 이상이 있다고 판단되면 해당 요청에 대한 거래 정보를 분석 및 탐지하게 된다. 사용자에게 정상 거래로 판단될 때는 결제승인, 이상 거래로 판단될 때는 결제를 거부하기 때문에 금융 사고로부터 사용자를 보호해주는 시스템이다. 또한, 사용자의 모바일 디바이스 위치와 판매자의 결제기기의 위치를 분석하는 정보를 제공하여 해당 거래에 대한 신뢰성을 높인다.

Fig. 1.

Proposed second authentication function abnormal transaction detection system.

3-1 데이터 소개 및 피처 선별

GFM 시스템에서 사용되는 데이터셋은 PaySim 모바일 머니 시뮬레이터에서 생성된 합성 데이터셋(Synthetic Financial Datasets For Fraud Detection)을 사용한다[9]. 금융 관련 서비스의 데이터들은 개인정보 등 보안의 이유로 공개되어 있는 데이터셋을 구하기가 힘들다. 이러한 문제를 해결하기 위해 아프리카 국가에서 구현된 모바일 머니 서비스에서 1개월간 재무 로그에서 추출한 실제 거래 샘플이 기반인 합성 모바일 금융거래 데이터셋을 사용하였다. 이렇게 합성된 데이터셋은 원래 원본의 데이터셋의 1/4로 축소된 데이터셋으로 생성되었으며 다섯 가지 타입의 금융 데이터들을 도합해서 약 2,400만 개의 재무 기록이 있다.

PaySim 데이터셋의 특징들은 표 1과 같다. GFM 시스템에서는 기계학습에 훈련에 불필요한 특징인 발송인과 수령인의 ID, 수령인의 계좌 잔고 정보를 제외한 거래시간, 거래 유형, 거래 금액, 거래 전후의 잔고 총 다섯 가지의 특징들을 선별했다. 그리고 정답 데이터로 사기 여부를 보여주는 isFraud를 사용하였다.

Table 1.

The PaySim dataset feature used to build the model

2018년 전 세계 카드 사기율은 0.07%로 통상적으로 사기 거래와 정상 거래를 구분해주는 데이터셋은 불균형한 데이터셋의 형태를 가진다. 방대한 양을 가진(약 630만 개) PaySim 데이터셋에서도 사기 거래의 비율이 0.13%밖에 되지 않았다[14]. 또한 PaySim 데이터셋의 사기 거래가 발생한 데이터들을 분석해본 결과 대부분의 사기 거래가 연속적으로 이루어진다는 사실을 알게 되었고, 이러한 데이터들의 특징을 이용해 현재 거래 및 이전 거래들을 동시에 검사할 수 있도록 새로운 데이터셋을 제안하고, 기계학습 훈련을 진행해 보았다. 그림 2는 PaySim 데이터셋의 사기거 래 발생 데이터의 예시이다. 데이터 셋 내에 사기 거래만을 확인하기 위해 isFraud 항목이 1인 경우, TRANSFER와 CASH_OUT이 연속적으로 발생하는 것을 확인할 수 있었다.

Fig. 2.

An example of fraudulent transaction occurrence data in PaySim dataset.

Ⅳ. 시스템 구성

시스템은 클라이언트, 서버, 위치기반 인증(1차 인증), 기계학습기반 인증(2차 인증)으로 이루어진다. 클라이언트는 서버에게 결제요청을 보내고, 서버는 위치기반 인증과 기계학습기반 인증을 통해 결제요청이 올바른 지 검사한다. 2차 인증까지 수행한 결과에서 결제요청이 정상 거래였다면 서버는 클라이언트에게 결제요청을 승인한다. 반대로, 사기 거래였다면 서버는 클라이언트에게 결제요청을 거부한다.

4-1 클라이언트

클라이언트는 안드로이드 기반으로 제작된 애플리케이션으로, 사용자가 앱 실행 후 결제 요청을 진행한다.

Fig. 3.

A example of results of normal and anormal transaction.

구현된 애플리케이션에서는 가상의 사용자 정보 및 결제 정보를 입력하여 결제 요청하였다. 또한, GFM 시스템을 통해 사용자의 결제 요청시 보낸 정보에 따라 이상 거래 판단 결과를 가시화해주는 역할도 수행한다. 애플리케이션에서는 기계학습 과정에서 필요한 정보인 결제 시간, 결제유형, 금액, 거래 전 잔고, 거래 후 잔고를 입력하도록 되어 있다. 결제정보 입력 후 결제 실행 시 데이터값을 전환하고 Rest API 방식으로 인증 서버로 값을 전달한다. 그리고 다시 인증 서버는 애플리케이션으로 응답 정보인 거래 성공, 거래 실패 결과를 받고, 이상 거래 판단 결과 확인할 수 있도록 최하단에 텍스트로 출력하였다.

4-2 서버

서버 구축은 Windows 운영체제를 기반으로 하여 클라이언트에서 주입하는 데이터를 훈련된 기계학습 모델로 전달하고 판단 결과를 다시 클라이언트로 전달한다. 안드로이드 애플리케이션과 기계학습 모델을 연결하기 위해 Python에서 Flask 서버를 구축하였고, 모델에서 저장한 Pkl 파일을 Flask 서버에서 불러오는 방식을 사용하였다. Flask는 Python으로 작성된 웹 프레임워크이다. Flask는 자체에 구현된 것처럼 애플리케이션 기능을 추가할 수 있는 확장기능을 지원하기 때문에, 이 시스템에 사용하였다.

클라이언트(App)에서 JSON 형태의 데이터로 저장 후 Flask 서버에 전달하게 되면 List 방식으로 정보를 받아오게 구성된 기계학습 모델에 정보를 넣기 위해 JSON 형태의 데이터를 List 형태의 데이터로 바꾸는 작업을 진행하였다. Flask 서버 구축이 완료된다. 클라이언트에서 Flask 서버에 접속하여 데이터를 전달하기 위해서는 서버가 외부로 접속을 허용해야한다. 본 시스템에서는 Ngrok 프로그램을 사용하여 로컬 호스트를 외부에서 접근할 수 있도록 터널을 만들고 도메인을 할당하였다. 그림 4는 port를 7070으로 지정하고 Flask 서버, Ngrok 프로그램을 이용하여 안드로이드 클라이언트와 Flask 서버의 통신이 가능하도록 한 예시이다.

Fig. 4.

Server build result screen(run ngrok).

이후 클라이언트에서 거래 데이터를 주입하게 되면 거래 데이터는 Flask 서버를 거쳐 기계학습 모델로 들어가게 되고 모델에서 이상 거래 여부를 판단한 결과를 다시 Flask 서버를 통해 안드로이드 애플리케이션 화면에 출력한다.

4-3 위치정보

위치정보를 분석하여 이상 거래 탐지를 위한 실험을 위해서 스마트폰과 비콘을 사용하였다. 스마트폰은 사용자가 모바일 결제를 하는 기기이며, 비콘은 판매자의 결제 기기 POS 기기와 같은 결제 담당 기기로 가정한다. 비콘에서 제공하는 정보인 Major, Minor, UUID 값을 활용하여 판매자의 고유 식별자를 만들었다. 비콘은 라즈베리파이 3 B+모델을 사용하여 전파 송출을 만들었으며, UUID를 포함한 값을 수정하여 고유 식별자로서 판매자를 구분할 수 있도록 하였다. 그리고 스마트폰 애플리케이션을 통해 비콘의 정보를 읽어와 얼마나 떨어져 있는지, Major, Minor, UUID값을 갖는지 확인할 수 있다. 그림 5는 비콘 기능을 사용했을 때 POS기기와 사용자의 거리를 보여준다. UUID로 개인 고유의 ID를 지정하고 아래의 RSSI 값을 이용해 거리를 계산 후에 거리정보를 출력하게 된다.

Fig. 5.

Becon implementation using Raspberry Pi (Distance, Major, Minor, UUID).

Ⅴ. 이상거래 탐지 실험 결과 및 고찰

DT로 구축된 이상 거래 탐지 모델에 대한 예측 성능을 확인하기 위해 다양한 평가지표를 통해 모델의 예측 성능을 비교/평가한다. 정확성(Accuracy), 재현율(Recall), 정밀도(Precision), F1 score, AUC, ROC curve와 같이 여섯 개의 평가지표를 사용해 예측 성능을 평가했다[15]. 정확성은 전체 대비 정확하게 예측한 개수의 비율이다. 하지만 본 논문의 데이터셋처럼 데이터가 불균형하면, 무조건 높은 성능을 도출하게 되므로 성능을 왜곡할 수 있는 문제점을 가지고 있다. 재현율은 실제 정상 거래인 것 중에서 얼마나 잘 예측하였는지의 비율이다. 정밀도는 정상 거래라고 예측한 비율 중 진짜 정상 거래인 비율이다. F1 score은 정밀도와 재현율을 통합한 측정 지표로 두 지표 값의 조화평균이다. F1 score은 불균형 데이터셋을 이용한 모델일 때 좋은 지표이다.

ROC curve는 진짜 정상 양성 비율에 대한 거짓 양성 비율을 나타내며, 불균형한 데이터셋에서 정확도보다 훨씬 더 좋은 지표이다. AUC는 ROC 그래프를 명확한 수치로써 비교하기가 어려워 그래프 아래의 면적값을 이용한다. 최대값은 1이며 좋은 모델은 1에 가까운 값이 나온다[16].

본 논문의 아이디어는 이전 거래를 활용하여 예측의 정확성을 높이는 방법이다. 활용한 PaySim 데이터셋을 이전거래도 함께 테스트할 수 있도록 변형을 하고 각각을 비교해 보았다. PaySim 데이터셋의 사기 거래가 발생한 데이터들을 분석한 결과 대부분의 사기 거래가 연속적으로 이루어진다는 사실을 알게 되었고, 이러한 데이터들의 특징을 이용해 현재 거래 데이터셋과 이전거래 데이터셋을 모델에 동시에 넣어 평가지표를 비교했다.

총 5개의 모델을 비교했는데 현재 거래와 이전거래들을 포함해 2개, 3개, 4개, 5개의 데이터를 비교하는 모델이며, 현재 거래만을 표현한 데이터셋은 1-Tran, 이전 거래를 포함한 데이터셋은 개수에 따라서 2-Tran, 3-Tran, 4-Tran, 5-Tran으로 표현한다. 표 2는 제안한 GFM 시스템의 성능 평가 지표이다. 앞서 언급한 대로 사기의 패턴이 연이어 사기가 발생하였으므로, 현재 거래와 바로 직전 거래를 데이터셋으로 사용한 2-Tran이 가장 좋은 지표를 가진다. 그림 6은 AUC-ROC 곡선으로 분석한 성능 평가 지표로 0.98로 매우 높은 수치를 갖는다.

Table 2.

A Performance evaluation of GFM system’s algorithm.

Fig. 6.

a AUC-ROC result based on 2-Tran.

Ⅵ. 결 론

본 논문에서는 웹과 기계학습 서버, GPS 정보를 이용한 기계학습 모델 구축, 사용자의 결제정보를 바탕으로 한 GFM 시스템을 설계했다. 제안한 현재 거래 및 이전 거래를 합쳐 기계학습을 수행한 결과로 모든 성능지표가 0.91 이상임을 확인할 수 있었고, 라즈베리파이를 통해 판매자의 결제 기기를 모델링하여 스마트폰과의 위치정보를 확인해 이상거래 탐지의 신뢰성을 높였다. 모바일 결제시장의 규모가 점차 확대됨에 따라 그에 따른 결제 사기 등의 사례가 더 증가할 것으로 판단되므로, 본 논문에서 제안하는 GFM 시스템의 연구 및 개발을 통해 사용자의 모바일 결제 이상거래 탐지에 도움이 되는 시스템이 되기를 기대한다.

References

• K. H. Seo. In finance, the era of digital and smart transactions is now wide open [Internet]. Available: https://news.imaeil.com/page/view/2019050918340441728.
• J. W. Lee. Convenient finance, how to ensure ‘safety’ [Internet]. Available: https://www.hani.co.kr/arti/economy/economy_general/969264.html.
• K. M. Lee. Kakao Bank fraudulent accounts soar... 13.6 times in 3 years [Internet]. Available: https://www.hani.co.kr/arti/economy/finance/1013579.html, .
• H. W. Lim. When will Kakao Bank's fraudulent payment, FDS improve? [Internet]. Available: https://www.ekoreanews.co.kr/news/articleView.html?idxno=44677, .
• M. K. Lee, H. J. Shon, B. M. Sung, and J. B. Kim, “Fraud Detection System applying GPS in Fintech-based environment,” Multimedia Journal of Convergence of Arts, Humanities and Social Sciences, Vol. 5, No. 4, pp. 659-666, 2015.
• H. Zhou, H. F. Chai, and M. L. Qiu, “Fraud detection within bankcard enrollment on mobile device based payment using machine learning,” Frontiers of Information Technology & Electronic Engineering, Vol. 19, No. 12, pp. 1537-1545, 2018. [https://doi.org/10.1631/FITEE.1800580]
• C. M. R. Haider, A. Iqbal, A. H. Rahman, and M. S. Rahman, “An ensemble learning based approach for impression fraud detection in mobile advertising,” Journal of Network and Computer Applications, Vol.112, pp. 126-141, 2018. [https://doi.org/10.1016/j.jnca.2018.02.021]
• J. Hu, T. Li, Y. Zhuang, S. Huang, and S. Dong, “GFD: A Weighted Heterogeneous Graph Embedding Based Approach for Fraud Detection in Mobile Advertising,” Security & Communication Networks, pp. 1-12, 2020. [https://doi.org/10.1155/2020/8810817]
• E. A. Lopez-Rojas, A. Elmir, and S. Axelsson, “PaySim: A financial mobile money simulator for fraud detection,” In 28th European Modeling and Simulation Symposium, EMSS, Larnaca, pp. 249-255, 2016.
• H. C. Han, H. Kim, and H. K. Kim, “Anormal transaction detection system using data mining in mobile payment environment,” Journal of the Information Security Society, Vol. 26, No. 6, pp. 1527-1537, 2016.
• T. Park, “Shifted Sorting-based k-Approximate Nearest Neighbor Searching Algorithm with Extra Loops Based on Permutation for Better Accuracy,” Journal of Digital Contents Society, Vol. 22, No. 2, pp. 325-330, 2021. [https://doi.org/10.9728/dcs.2021.22.2.325]
• M. Kim and J. Seo, “A Control Method of ASMR Contents through Attention and Meditation Detection Based on Internet of Things,” Journal of Digital Contents Society, Vol. 19, No. 9, pp. 1819-1824, 2018. [https://doi.org/10.9728/dcs.2018.19.9.1819]
• N. H. Lee and T. M. Lee, “A study on sentiment analysis from photos based on machine learning model,” Journal of Digital Contents Society, Vol. 22, No. 8, pp. 1295-1302, 2021. [https://doi.org/10.9728/dcs.2021.22.8.1295]
• E. A Lopez-Rojas, S. Axelsson, and D. Baca, “Analysis of fraud controls using the PaySim financial simulator,” Int. J. Simul. Process. Model., Vol. 13, No. 4, pp. 377-386, 2018. [https://doi.org/10.1504/IJSPM.2018.10014984]
• Wikipedia. Confusion matrix [Internet]. Available: https://en.wikipedia.org/wiki/Confusion_matrix.
• S. Narkhede, “Understanding auc-roc curve,” Towards Data Science, Vol. 26, No. 1, pp. 220-227, 2018.