2023년 상반기 중 발생해 금융감독원에 보고된 전자금융사고는총 197건으로 프로그램 오류 등으로 10분 이상 전산업무가 중단·지연된 장애는 194건이고, DDoS 공격 피해 등 전자적 침해는 3건이다.
DDoS(Distributed Denial of Service, 분산서비스거부 공격)는 여러 대의 PC가 동시에 특정 시스템을 공격해 시스템 가동을 중단시키는 공격이다.
작년 하반기와 비교하면 10.0%가 감소(22건↓)했으며, 전산센터 화재·누수로 인한 시스템 중단 등과 같은 대형 사고는 없었다.
그러나, 충분한 용량의 설비를 갖추지 않아 증권사의 HTS 및 MTS가 중단·지연되거나, 프로그램 오류로 인해 환전, 보험료 출금 등에서 일부 소비자가 불편을 겪는 등의 사례가 발생했다.
다양한 유형의 전자금융사고 발생원인을 분석한 결과 향후 타 금융회사에서도 동일하게 발생할 가능성이 있는 사고가 다수 있어 사례를 공유하고 사고 예방활동을 강화할 필요가 있다고 금감원은 진단했다.
주요 전자금융 사례를 보면 우선 일부 DNS 업체가 DDoS 공격을 받아 서비스가 중단되면서 이를 이용 중인 금융회사의 전자금융업무가 사실상 중단되는 사고가 발생했다.
DNS(Domain Name System)는 사람이 기억하는 도메인 이름을 인터넷 주소(IP)로 변환해주는 시스템이다. (예시 : www.fss.or.kr → 61.73.100.30)
또한, 보안 수준이 상대적으로 취약한 일부 중소 금융회사가 DDoS 공격을 받아 간헐적으로 서비스가 지연된 사례도 발생했다.
금융회사를 대상으로 한 다양한 사이버 공격은 지속적으로 발생하고 있으나, 그간 구축한 방어체계(보안 장비 및 관제, 금융보안원 DDoS 대피소 운영 등)로 장시간 서비스 중단 등의 피해는 없었다.
둘째, 프로그램 오류로 인한 사고다. 전자금융업무를 처리하는 프로그램의 설계·구현·테스트 과정에서 오류로 인해 소비자 피해로 이어지는 사고가 다수 발생했다.
관련해서 주식매매 정산 오류, 환율·금리 산출 오류, 보험료 할인 미적용 등의 금전사고 및 고객정보 관리 오류 등의 사고 발생했다.
셋째, 하드웨어(서버, 통신장비, 저장장치 등)의 노후화 등으로 이상 동작이 발생해 서비스가 지연·중단되는 사고 다수 발생했다. 이상 동작시 이중화 예비 장비로의 전환도 실패함에 따라 자금 이체 및 해외주식 주문 장애 등의 사고 발생이 있었다.
넷째, 전자금융보조업자 등의 장애로 인한 서비스 영향이다. 전자금융보조업자의 서비스(본인인증, 카드결제 대행 등)를 이용하는 경우 외부 서비스의 장애가 금융회사에 직접적으로 영향을 줬다.
비대면 계좌개설 등의 거래가 중단되거나 보험료 등의 카드 정기 자동결제가 중복으로 발생하는 등의 사고 발생이 있었다.
다섯째, 인적요인에 의한 장애다. 전산시스템 변경 등의 통제 절차가 일부 미흡해 작업자 실수로 인한 서비스 지연·중단 사고가 발생했다.
프로그램을 이관하는 과정에서 일부를 누락하거나, 네트워크 장비 등의 설정 오류가 서비스에 영향을 미치는 사고 발생이 있었던 것이다.
기타 전산시스템을 장기간 운영하면서 거래량 증가 등에 선제적으로 대응하지 않아 서비스가 중단되는 사고도 발생했다.
이상과 관련해 금융감독원은 6일 총 269개 금융회사를 대상으로 ’23.3분기 IT상시협의체 회의를 개최해 전자금융사고 사례를 전파하고 전자금융 안전성 확보방안 등을 논의했다.
또 금융회사가 기존 사고 사례 및 발생 원인을 충분히 숙지하고, CIO 및 CISO 등 경영진이 주도해 IT 업무 프로세스 전반을 재점검하고 사고를 예방할 필요가 있다고 강조했다.
금융감독원은 앞으로도 동일·유사한 유형의 장애 사고 재발 방지를 위해 금융IT 안전성 강화를 위한 가이드라인을 배포할 예정이며, 이를 통해 전반적인 금융IT 내부통제 수준 상향을 유도하는 한편, 금융보안원 등 유관기관과의 공조체계 강화 등을 통해 사이버 공격에도 철저히 대비하겠다고 밝혔다.
또한, 전자금융사고 보고를 소홀히 하거나 안전성 확보 의무를 준수하지 않아서 사고가 발생한 경우 엄중 조치할 계획이라고 강조했다.
