기술적 결함과 부주의 탓, 해킹 등 외부요인보다 내부적 원인이 커
시스템·프로그램 결함, 인적 오류도 요인, “R&R, 철저한 품질관리·검증 필요”
![우리은행의 차별화된 영업장인 팝업스토어. 본문과 직접 관련은 없음. [우리은행]](https://cdn.sbiztoday.kr/news/photo/202403/21735_22222_4541.jpg)
[중소기업투데이 이상영 기자] 금융사들이 디지털금융을 도입하고 있지만, 기술적 결함이나 부주의로 인한, ‘Tech Risk’(테크 리스크)가 장애물로 등장하고 있다. 이에 책임있고 실효성있는 대응책을 서둘러야 한다는 지적이다.
우리금융경영연구소는 최근 “디지털 금융 확산으로 새로운 비즈니스가 활성화되고, 시스템의 복잡성과 연계성이 높아짐에 따라 ‘테크 리스크’가 금융회사의 주요한 위험관리 대상으로 부각되고 있다”면서 이같이 제안했다.
해당 연구소의 주성철 수석연구원은 “전자금융사고 빈도 측면에서는 해킹이나, 악의적 공격 등과 같은 외부요인보다는 주로 시스템·프로그램 결함 또는 인적 오류처럼 내부적 원인에서 비롯되는 장애 사고가 다수를 차지한다”고 밝혔다.
특히 장애 사고는 프로그램을 설계, 구현, 테스트하는 과정에서 오류가 발생할 경우다. 또 서버, 통신장비, 저장장치 등 하드웨어가 노후화하면서 이상 동작이 생긴다. 주 수석연구원은 특히 “전자금융보조업자의 본인인증이나, 결제 대행 기능 등에 장애가 생기면서, 금융회사의 서비스에 차질을 빚거나 통제절차가 미흡한 결과 단순 실수와 같은 인적 사고로 인한 경우도 많다”고 했다.
또 대외 연계 시스템의 일환으로 오픈뱅킹이나 오픈API를 도입하는 사례가 많다보니 더욱 이런 장애가 빈번하다. 다양한 솔루션과 보안 프로그램 패치가 일상화되고, 보안에 대비해 시스템을 빈번하게 변경하는 등의 환경도 장애 요인으로 작용한다. 사용자들이 증가하거나 네트워크상에 문제가 있거나 화재가 발생하는 경우 등도 전산 장애가 증가하는 주요 배경이 되고 있다.
IT시스템 장애 3가지 원인 ‘인프라, 서비스 운영, 인적 오류’
주 수석연구원은 “금융회사의 IT 시스템 장애는 세 가지, 즉, 인프라와 서비스 운영상의 문제, 그리고 인적 오류 등이 원인”이라고 했다.
인프라 부문에선 서버나, 통신장비, 저장장치 등의 하드웨어가 노후화되거나 화재, 홍수와 같은 천재지변, 시스템 통합과정에서의 문제 등으로 이상 동작이 발생하는 경우다. 이는 금융회사가 디지털채널을 통해 다양한 서비스를 제공함으로써, 수 많은 솔루션과 제반 장비들로 인한 복잡도가 높아진 것도 원인으로 꼽힌다. 이로 인해 발생한 인프라 결함으로 인한 장애가 일단 발생할 경우 치명적 결과를 유발할 수 있다.
이에 “백업 시스템으로 자동 전환하거나, 다중 시스템을 구축하는 등의 방법으로 설사 장애가 생긴다고 해도 그 피해를 최소화할 필요가 있다”고 강조했다.
각종 상품과 서비스를 운영하는 과정에서 문제가 생길 수도 있다. 예상보다 많은 사용자들이 몰려들고, 데이터가 폭주하면 인프라에 과부하가 걸리게 된다. 이로 인해 모바일뱅킹 접속이 되지 않는 등 장애가 생기는 경우가 많다. 이런 경우 사용자들에게 이를 신속하게 알리고 장애 지속 시간을 최소화하는 것이 중요하다.
사람의 실수로 인해서도 장애가 생기는 경우가 많다. 즉, 시스템 설정이나 프로그래밍 과정에서 입력 실수로 인해 시스템이 원활하게 구동하지 않거나, 프로그램 오류가 발생하기도 한다. 이같은 인적 오류를 최소화하기 위해서는 평소 IT 시스템과 서비스와 관련된 품질관리를 철저히 하고, 실수를 인지했을 때 즉시 보고하는 프로세스가 갖춰지는 것이 필요하다는 주문이다.
이에 주 수석연구원은 ‘테크 리스크’를 최소화하기 위해선 실효성있는 긴급 비상대책과 함께 책임소재 등이 분명한 R&R시스템, 그리고 IT시스템에 대한 철저한 품질관리와 검증이 필수라고 권했다.
우선 장애 유형별로 발생할 수 있는 시나리오를 설정하고, 그 대응방안을 마련할 필요가 있다. 이를 통해 실제 상황이 발생할 경우 신속하고 적재적소의 대응이 가능한 체계를 구축해야 한다. 또 금융회사와 외부 용역업체 간 책임소재를 분명히하고, 조직 내부의 해당 업무에 대한 담당자를 명확히 구분하는 등 역할과 책임(R&R)을 명확히 함으로써 장애가 생겨도 혼란을 최소화해야 한다.
IT 시스템을 교체하거나 새로운 상품이나 서비스를 출시하는 등의 경우, 철저한 품질관리와 검증이 중요하다. 이를 위핸 회사와 조직 내부 테스트 관련 규정과 프로세스를 정비함으로써 버그나 인적 오류가 발생할 소지 등을 사전에 차단해야 한다.
그러나 “‘테크 리스크’에 대한 대응체계가 잘 갖춰져 있더라도, 예상치 못한 부분에서 사고가 발생할 수 있다”면서 “그렇다고 IT 장애를 원천봉쇄하기 위해 막대한 자본과 인력을 투입하는 것도 비효율적”이라고 했다. 그 보단 치명적 위험을 경감시키는 대응 전략이 현실적으로 타당하다는 조언이다.
또 “‘제로 트러스트’ 관점에서 철저한 점검과 실효성 있는 대응 훈련을 주기적으로 진행하고, 모든 구성원이 IT 장애 위험에 대한 경각심을 가질 필요가 있다”고 당부했다.