유밍밍
글로벌 금융회사의 TECH RISK 사례와 시사점 _ 출처: 우리금융그룹 본문
목차
1. 금융회사 Tech Risk 대두 배경
2. 글로벌 금융회사의 유형별 IT 장애 사례
3. 시사점
1. 금융회사 Tech Risk 대두 배경
- 디지털 금융 확산으로 신규 비즈니스가 활성화되고 시스템의 복잡성·연계성이 높아짐에 따라 Tech Risk( 기술적 결함) 가 금융회사의 주요한 위험관리 대상으로 부각
- Tech RIST의 범위는 광범위하나, 금번 보고서에서는 IT 장애로 국한
- 전자금융사고 빈도 측면에서는 외부요인(해킹, 악의적 공격 등)보다는 주로 내부적 원인(시스템·프로그램 결함, 인적 오류 등)에서 비롯되는 장애 사고가 다수를 차지
- 금융감독원이 집계한 상반기 전자금융사고 중 프로그램 오류 등으로 10분 이상 전산 업무에 차질이 발생한 장애 사고가 194 건으로 집계
- 금융회사의 IT 시스템 장애는 ① 인프라 문제, ② 서비스 운영 문제, ③ 인적 오류 문제 등으로 인해 발생
- 누적된 장애 사고는 금융감독 당국의 제재 조치 부과, 소비자 신뢰 저하, 브랜드 가치 훼손 등의 문제를 야기하고, 종래에는 금융회사로서의 경쟁력을 상
II. 글로벌 금융회사의 유형별 IT 장애 사례
- 금융회사의 IT 시스템 장애는 1. 인프라 문제 2. 서비스 운영 문제 3. 인적 오류 문제 등으로 발생
인프라 문제는?
- 하드웨어(서버, 통신관리, 저장장치 등)의 노후화 또는 화재, 홍수와 같은 천재지변, 시스템 통합과정에서의 문제 등으로 이상 동작이 발생하여 서비스가 지연, 중단
- 인프라 문제 [ case 1] - 싱가포르 DBS 2023 10 14
- 싱가포르 DBS의 데이터 센터를 관리하던 외주업체인 ‘Equinix’는 정기 업그레이드 과정에서 냉각 시스템 고장으로 인한 데이터 센터의 급격한 온도 상승을 인지하지 못하면서 장애가 발생한 경험
- DBS는 IT 사고 발생 시 책임소재와 역할을 명시하고, 잠재 위험도가 높은 시스템 장애별 시나리오를 설정한 후 대응방안을 마련하는 등 후속 조치 실행
- 인프라 문제 [ case 2] - 영국 TSB, 2018.04.20
- TSB1)는 고객 데이터를 이전·통합하는 과정에서 IT 시스템 업그레이드가 원활히 이루어지지 않으면서 2018년 4월부터 12월까지 간헐적인 온라인뱅킹 접속 불량 현상 발생
- IT 시스템 장애로 CEO은 사임하였고 고객에게 약 5950억 원을 배상 진행함
서비스 문제는?
서비스 문제 [ case 1] - 영국 HSBC, 2023 11 24
- Black Friday 행사 당일, 고객들이 HSBC 앱에 일시적으로 몰리면서 내부 시스템에 오류가 발생하고 모바일뱅킹 접속이 불가
- 오전 7시부터 시작된 장애는 오후 11시에 정상화가 되었고 4천 명 이상의 고객이 월세, 카드 대금을 결제하지 못하는 피해가 발생하였다.
서비스 문제 [ case 2] - ATM 거래 불능 사태, 일본 미즈호 은행 2021 02 28
- 정기예금 거래 데이터 이관 작업 중 서버에 많은 데이터가 집중되면서 과부하가 발생했고, 계정계 시스템 가동이 멈추면서 ATM 거래 불가능
- 전문 대응인력 부족과 대응 메뉴얼 부재로 시스템 가동이 멈췄을 때 적절한 초기대응을 취하지 못하면서 오후 12시부터 시작된 장애는 다음날 오전 8시가 되어서야 정상화
- 장애 발생 후 미즈호은행은 IT 전문 인력을 120명 채용
3. 인적 오류 문제는?
- 시스템 설정이나 프로그래밍 과정에서 입력 실수로 인해 시스템이 원활하게 구동하지 않거나, 프로그램 오류가 발생
- 타행 송금 장애 [ case 1] 일본 미즈호은행, 2021 12 30
- 고객이 ATM이나 온라인뱅킹을 통해 신청한 타행 송금 건이 처리되지 않는 장애가 발생
- 일본의 은행 간 송금 시스템인 전국은행자금결제네트워크를 담당하는 직원이 시스템 관련 설정을 잘못한 것이 장애 발생 원인
4. 시사점
디지털 채널 기반의 금융서비스를 제공하는 과정에서 TECH RISK를 ZERO로 만드는 것은 사실상 불가능하다.
하지만 확실한 것은 TECH RISK를 최소화 하기 위한 전략은 필요하다.
① 실효성 있는 Contingency plan 마련) 장애 유형별 시나리오 설정과 대응방안을 마련함으로써, 실제 상황 발생 시 신속하고 적재적소의 대응이 가능한 체계를 구축
② 명확한 R&R 설정: 금융회사와 외부 용역업체 간 책임소재뿐 아니라 조직 내부의 담당자 구분을 명확화하여, 장애 시 혼란을 경감
③ 철저한 품질관리 및 테스트 강화: IT 시스템을 교체하거나 신규서비스를 출시하는 등의 경우, 내부 테스트 관련 규정·프로세스 정비를 통해 버그 발생, 인적 오류 등을 사전에 교정
TECH RISK에 대한 대응체계가 잘 갖춰져 있더라도, 예상치 못한 부분에서 사고가 발생할 수 있으므로 ZERO -TRUST 관점에서 철저한 점검과 실효성있는 대응 훈련을 주기적으로 진행할 필요가 있다.