전자금융사고 다수 발생… 금감원, 금융IT 안전성 강화 가이드라인 마련

올해 상반기 카드사 디도스(DDoS) 공격, 증권사 프로그램 오류 등 다수의 전자금융사고가 발생한 것으로 나타났습니다.

금융감독원이 발표한 ‘2023년 상반기 전자금융사고 발생 현황 및 대응방안’에 따르면 올해 상반기 금융감독원에 보고된 전자금융사고는 총 197건으로 집계됐습니다. 지난해 하반기보다는 22건(10%) 감소한 수치입니다.

하지만 충분한 용량의 설비를 갖추지 않은 증권사의 HTS 및 MTS가 중단·지연되거나, 프로그램 오류로 인해 환전, 보험료 출금 등에서 소비자가 불편을 겪는 등 다수의 사고가 발생했습니다. 전자금융사고 197건 중 프로그램 오류 등으로 10분 넘게 전산업무가 중단·지연된 장애는 194건이었습니다.

특히 도메인 이름을 인터넷 주소로 변환해주는 시스템인 DNS 관련 업체가 디도스 공격을 받아 이를 이용하고 있는 금융회사의 전자금융업무가 중단되는 사고도 일어났습니다. 보안 수준이 취약한 일부 중소금융회사가 디도스 공격을 받아 간헐적으로 서비스가 지연된 사례도 발생했습니다.

디도스 공격의 주요 사례로는 A저축은행 등 외부업체가 운영하는 DNS를 대상으로 디도스 공격이 발생해 이용자가 서비스 이용 시 필요한 IP주소를 획득하지 못해 인터넷·스마트뱅킹을 사용하지 못했습니다.

전자금융업무를 처리하는 프로그램 오류로 인해 소비자들이 피해를 입는 사고도 많았습니다. B증권사에서는 주식매매 프로그램 오류로 이미 매도된 주식이 계좌에 남은 것으로 잘못 표기되면서 고객 착오와 중복 거래로 이어졌습니다. C보험사는 전산시스템을 전면 개편하면서 보험료 관련 설정을 누락해 고객들에게 보험료 할인이 적용되지 않은 채 과다 청구되기도 했습니다. D은행은 환율 고시 관련 프로세스를 변경하면서 프로그램 오류로 최근 환율이 아닌 전일자 최종 환율로 환전 처리가 됐습니다.

서버, 통신장비, 저장장치 등 노후한 하드웨어를 사용하는 탓에 금융 서비스에 차질이 생긴 사고도 다수 발생했습니다. E증권사는 보안장비인 방화벽에 과부하가 생겨 고객의 거래 요청을 즉각적으로 처리하지 못하면서 이체 및 해외주식 매매 등이 지연됐습니다. F은행은 통신장비 이상동작이 발생했는데 백업장비로의 전환이 제대로 이뤄지지 않아 외부기관과의 서비스 연결에 장애가 생겼습니다.

본인인증, 카드결제 등을 대행하는 전자금융보조업체의 서비스 장애로 업무처리가 지연된 사고도 났습니다. G은행은 휴대폰 본인인증 대행업체의 시스템 장애로 비대면 계좌개설 등의 거래가 한동안 중지됐습니다. H보험사는 신용카드 단말기 설치, 카드 승인 등의 업무를 중개하는 업체인 밴(VAN)사의 업무처리 오류로 인해 보험료 카드결제건이 중복으로 결제되는 일도 겪었습니다.

작업자가 실수하는 일도 잦았습니다. I은행은 일부 소스코드를 누락하거나 데이터베이스 변경사항을 반영하지 않은 프로그램을 배포해 오픈뱅킹 관련 업무가 중단됐습니다. J카드사는 개발이 완료되지 않은 소스 코드가 운영 환경에 적용되면서 모바일 앱에 접속 장애가 발생했습니다.

금융감독원 관계자는 “동일한 전자금융사고가 재발하지 않도록 금융IT 안정성 강화 가이드라인을 배포할 예정”이라며, “전자금융사고 보고에 소홀하거나 안정성 확보 의무를 준수하지 않아 사고가 발생한 경우 엄중 조치할 계획”이라고 말했습니다.