23년 상반기 금융기관의 전자금융사고 발생 현황 및 대응방안

  계속해서 전기통신금융사기에 대해서 다양한 방면으로 이야기를 하고 있는데 소비자만이 금융사고가 있는 것이 아니라 금융기관 자체에서도 전자금융사고가 발생할 수가 있습니다. 이번 시간에는 2023년 상반기에 금융기관에서 발생한 전자금융사고에 대해 이야기하고 금융사고가 발생할 시 무조건 소비자의 잘못이 아니라 금융기관의 사고로 피해를 볼 수 있으니 내용을 인지하고 혹시 모를 일에 대비하였으면 합니다.

1.  23년 상반기 사고 발생 현황 및 평가

  23년 상반기에 금융감독원에 보고 된 전자금융사고는 총 197건으로 프로그램 오류 등으로 10분 이상 전산업무가 중단 및 지연된 장애는 194건이고 DDoS(분산서비스거부 공격으로 여러 대의 PC가 동시에 특정 시스템을 공격하여 시스템 가동을 중단시키는 공격)공격 등 전자적 침해는 3건입니다.

 

  작년 하반기와 비교하면 10.0%가 감소하였으며 전산센터 화재 및 누수로 인한 시스템 중단 등과 같은 대형 사고는 없었으나 충분한 용량의 설비를 갖추지 않아 증권사의 프로그램 운영이 중단 및 지연되거나 프로그램 오류로 인해 환전, 보험료 출금 등에서 일부 소비자가 불편을 겪는 등의 사례가 발생하였습니다.

 

  향후 타 금융회사에서도 동일하게 발생할 수 있는 가능성이 다수 있어 사례를 금융기관마다 공유하고 사고 예방 활동을 강화할 필요가 있다고 금융감독원은 판단한 상태입니다.

 

 

2. DDoS 공격으로 인한 피해

  일부 인터넷 업체가 DDoS 공격을 받아 서비스가 중단되면서 이를 이용 중인 금융회사의 전자금융업무가 사실상 중단되는 사고가 발생하였고 또한 보안 수준이 상대적으로 취약한 일부 중소 금융기관이 DDoS 공격을 받아 간헐적으로 서비스가 지연된 사례도 발생하였는데 사실 금융회사를 대상으로 한 다양한 사이버 공격은 지속적으로 발생을 하고 있으나 그간 구축한 보안 장비 및 관제, 금융보안원 DDoS 대피소 운영 등 방어체제로 장시간 서비스 중단 등의 피해는 없었습니다.

 

  상반기에 다수의 카드사가 결제 서비스를 대상으로 DDoS 일제 공격을 약 1분간 정도 집중적으로 당했으나 금융보안원과의 공조 등을 통해 비상상황에 대해 신속히 대응함으로써 서비스가 장시간 지연되거나 중단되는 피해는 없었으며, 한 저축은행도 DDoS공격을 받아 이용자가 서비스 이용 시 필요한 IP주소를 획득하지 못하여 인터넷 및 스마트 뱅킹 등을 사용할 수 없는 사례가 있었습니다.

 

 

3. 프로그램 오류로 인한 중복거래 피해

  전자금융업무를 처리하는 프로그램의 설계·구현·테스트· 과정에서 오류로 인하여 소비자 피해로 이어지는 사고가 다수 발생하였는데 증권회사의 주식매매 정산 오류, 환율·금리 산출 오류, 보험회사 보험료 할인 미적용 등의 금전사고 및 고객정보 관리 오류 등의 사고가 있었습니다.

 

  증권회사의 경우는 주식매매 프로그램 오류로 인해 이미 매도 된 주식이 계좌에 남은 것으로 잘못 표시되면서 고객 착오로 주식을 추가로 중복 매도라는 등의 사고가 발생하였으며 또 다른 증권회사는 회사가 보유한 고객정보와 고객정보를 관리하는 프로그램 오류로 일부 고객의 정보의 오류가 발생하는 사고가 있었습니다.

  보험사의 경우는 전산시스템을 전면 개편하면서 보험료 관련 설정을 누락하여 보험료가 할인이 적용되지 않은 채 과다 청구가 되는 사고가 발생하였습니다. 은행의 경우는 환율 고시 관련 프로세스를 변경하면서 프로그램 오류로 인해 현재 시점의 환율이 아닌 전 일자 최종 환율로 환전 처리가 되는 사고가 발생하였습니다.

 

4. 하드웨어 결함으로 지연 및 중단 된 전자금융거래 피해

  서버, 통신장비, 저장장치 등 하드웨어의 노후화 등으로 인해 전산의 이상 독작이 발생하여 서비스가 지연·중단되는 사고가 다수 발생하였는데 이상 동작 시 이중화 예비 장비로의 전환도 실패함에 따라 자금 이체 및 해외주식 주문 장애등의 사고가 발생하였습니다.

 

  한 증권사의 보안 장비에 과부하가 발생하여 고객의 거래요청을 즉시 처리하지 못하면서 이체 및 해외주식 매매 서비스 등의 지연이 발생하여 제대로 거래를 하지 못하였고, 한 은행의 서버 및 통신장비 등을 다중화하여 장애상황에 대비하였으나 통신장비에서 이상동작이 발생한 상태에서 백업장비로 전환이 원활치 않아 대외계 서비스 장애가 발생하여 소비자들이 불편을 겪었습니다.

 

5. 전자금융보조업의 장애로 인한 피해

  전자금융보조업인 본인인증, 카드결제 대행 등의 서비스를 이용하는 경우 외부 서비스다 보니 장애가 금융회사에 직접적으로 영향을 미치며 비대면 계좌개설 등의 거래가 중단되거나 보험료 등의 카드 정기 자동결제가 중복으로 발생하는 등의 사고가 발생하게 됩니다.

 

  휴대폰 본인인증 대행업체의 시스템 장애로 인하여 은행 및 저축은행 등에서 비대면 계좌개설 등의 거래가 불가하는 피해가 발생하고 보험사의 경우는 보험료 결제 요청 시 카드사의 업무처리 오류로 인하여 정상 결제 건을 카드사에 재요청함에 따라 보험료가 중복 결제되는 사고가 발생하였습니다.

 

6. 인적 요인으로 인한 피해

  전산시스템 변경 등의 통제 절차가 일부 미흡하여 작업자의 실수로 인한 서비스 지연 및 중단 사고가 발생하거나 프로그램을 이관하는 과정에서 담당자가 일부를 누락하거나, 네트워크 장비 등의 설정 오류가 서비스에 영향을 미치는 사고가 발생하는 사례입니다.

 

  프로그램을 운영환경에 배포시 일부 프로그램 등을 누락하거나 변경된 사항들을 반영하지 않은 상태에서 프로그램을 배포하여 은행의 대출 및 오픈뱅킹 서비스가 중단되는 사고가 발생하였고, 카드사의 경우는 개발이 완료되지 않은 프로그램이 운영환경에 이관됨에 따라 모바일 앱의 접속 장애가 발생하여 이용에 불편함을 느끼는 사고도 발생하였습니다.

 

7. 전산시스템의 갑작스러운 거래량 증가로 서비스 중단 피해

  전산시스템을 장기간 운영하면서 갑자기 거래량이 급증하는 경우 선제적으로 대응하지 못해 서비스가 중단되는 사고도 발생하는데 한 은행이 거래번호 채번 시 급증한 거래량으로 7자리 숫자를 지정하는데 최대값이 초과하여 오픈뱅킹 이체거래 이용 시 제대로 작동이 되지 않아 중단되거나 기업뱅킹 로그인이 불가능한 상황이 발생하여 소비자들이 이용을 못하는 사고가 발생하였습니다.

 

8. 향후 계획

  금융감독원은 총 269곳의 금융회사를 대상으로 회의를 개최하여 전자금융사고 사례를 전달하고 안전성 확보방안을 논의하였으며 금융기관들은 내용을 충분히 숙지하고 전반적인 IT관련 프로세스 전반을 재점검하고 사고를 예방할 필요가 있다고 강조한 가운데 위의 유형의 장애 사고 재발방지를 위해 금융 IT 안정성 강화를 위한 가이드라인을 배포할 예정이라고 합니다.

 

  금융기관은 전반적인 금융 IT 내부통제 수준 상향을 위해 노력하며 금융보안원 등 유관기관과의 공조체계 강화 등을 통해 사이버공격에도 철저히 대비를 약속했으며 만약 전자금융사고 보고를 소홀히 하거나 안전성 확보 의무를 준수하지 않아서 사고가 발생한 경우 엄중 조치할 계획이라 발표하였습니다.

 

 

  이처럼 꼭 소비자를 통한 금융사고가 있는 것이 아니라 금융기관 자체적으로 발생하는 금융사고도 존재하니 사고가 발생 시 금융기관에도 꼭 확인을 해야 합니다.

 

  지금까지 금융감독원 자료를 토대로 글을 작성하였습니다.