디도스 공격에 인터넷뱅킹 못 써…상반기 전자금융사고 197건

전자금융업무 설계·구현·테스트 오류도 발생

사진=게티이미지뱅크

올해 상반기 A저축은행의 외부업체가 운영하는 도메인이름시스템(DNS)을 대상으로 디도스 공격이 발생했다. 이에 따라 이용자가 서비스 이용시 필요한 IP주소를 획득하지 못해 인터넷뱅킹과 스마트 뱅킹을 쓰지 못했다.

6일 금융감독원에 따르면 2023년 상반기 중 발생해 금융감독원에 보고된 전자금융사고는총 197건이었다. 프로그램 오류 등으로 10분 이상 전산업무가 중단·지연된 장애는 194건이고, DDoS 공격 피해 등 전자적 침해는 3건이었다. 작년 하반기와 비교하면 10%가 감소했다.

충분한 용량의 설비를 갖추지 않아 증권사의 HTS 및 MTS가 중단·지연되거나, 프로그램 오류로 인해 환전, 보험료 출금 등에서 일부 소비자가 불편을 겪는 사례가 발생했다.

전자금융업무를 처리하는 프로그램의 설계·구현·테스트 과정에서 오류가 나 소비자 피해로 이어지는 사고도 발생했다.

B증권사에서는 주식매매 프로그램 오류로 이미 매도된 주식이 계좌에 남은 것으로 잘못 표시되면서 고객이 주식을 추가 매도했다. C보험사는 전산시스템을 전면 개편하면서 보험료 관련 설정을 누락해 보험료가 할인이 적용되지 않은 채 고객에게 과다 청구했다.

보안 수준이 상대적으로 취약한 일부 중소 금융회사가 디도스 공격을 받아 간헐적으로 서비스가 지연된 사례도 발생했다.

금감원은 지난 6일 총 269개 금융회사를 대상으로 3분기 IT상시협의체 회의를 개최해 전자금융사고 사례를 전파하고 전자금융 안전성 확보방안 등을 논의했다.

금감원은 "금융회사 최고정보관리책임자(CIO)가 주도해 IT 업무 프로세스 전반을 재점검하고 사고를 예방할 필요가 있다"며 "금융IT 안전성 강화를 위한 가이드라인을 배포할 예정이며, 이를 통해 전반적인 금융IT 내부통제 수준 상향을 유도하겠다"고 했다. 또한 "전자금융사고 보고를 소홀히 하거나 안전성 확보 의무를 준수하지 않아서 사고가 발생한 경우 엄중 조치할 계획"이라고 밝혔다.

심나영 기자 sny@asiae.co.kr