전체메뉴

[애플경제 김미옥 기자]  디지털금융이 날로 확산되고 있다. 대부분의 금융기관들이 ICT기술과 금융업무를 융합하기 위해 앞다퉈 노력하고 있다. 그러나 기술적 결함이나 부주의로 인한, 이른바 ‘Tech Risk’(테크 리스크)가 새로운 장애물로 떠오르고 있다.

이로 인한 IT 시스템 장애는 주로 인프라와 서비스 운영, 인적 오류 등의 문제로 발생하는 경우가 많다. 이에 “실효성 있는 비상대책을 마련하고, 체계적이고 책임있는 R&R(Role & Responsibilities)시스템, 그리고 철저한 품질관리와 함께 검증을 철저히 해야 한다”는 주문이다.

“시스템 복잡성, 연계성이 큰 원인”

우리금융경영연구소는 최근 “디지털 금융 확산으로 새로운 비즈니스가 활성화되고, 시스템의 복잡성과 연계성이 높아짐에 따라 ‘테크 리스크’가 금융회사의 주요한 위험관리 대상으로 부각되고 있다”면서 이같이 진단, 눈길을 끈다.

주성철 수석연구원은 “우선 전자금융사고 빈도 측면에서는 해킹이나, 악의적 공격 등과 같은 외부요인보다는 주로 시스템·프로그램 결함 또는 인적 오류처럼 내부적 원인에서 비롯되는 장애 사고가 다수를 차지한다”고 밝혔다.

그에 따르면 특히 장애 사고는 프로그램을 설계, 구현, 테스트하는 과정에서 오류가 발생할 경우다. 또 서버, 통신장비, 저장장치 등 하드웨어가 노후화하면서 이상 동작이 생긴다. 특히 “전자금융보조업자의 본인인증이나, 결제 대행 기능 등에 장애가 생기면서, 금융회사의 서비스에 차질을 빚거나, 통제절차가 미흡한 결과 단순 실수와 같은 인적 사고로 인한 경우도 많다”고 했다.

최근엔 특히 대외 연계 시스템의 일환으로 오픈뱅킹이나 오픈API를 도입하는 사례가 많다보니 더욱 이런 장애가 빈번하다는 지적이다. 뿐만 아니라 다양한 솔루션과 보안 프로그램 패치가 일상화되고, 보안에 대비해 시스템을 빈번하게 변경하는 등의 환경도 장애 요인으로 작용한다. 물론 사용자들이 증가하거나, 네트워크상에 문제가 있거나, 화재가 발생하는 경우 등도 전산 장애가 증가하는 주요 배경이 되고 있다.

인프라, 서비스 운영, 인적 오류가 장애 유발

금융회사의 IT 시스템 장애는 세 가지로 요약된다. 즉, 인프라와 서비스 운영상의 문제, 그리고 인적 오류 등이다.

그 중 인프라 부문에선 서버나, 통신장비, 저장장치 등의 하드웨어가 노후화되거나, 화재, 홍수와 같은 천재지변, 시스템 통합과정에서의 문제 등으로 이상 동작이 발생하는 경우다.

특히 “금융회사가 디지털채널을 통해 다양한 서비스를 제공함으로써, 수 많은 솔루션과 제반 장비들로 인한 복잡도가 높아진 것도 원인”이라며 “이로 인해 발생한 인프라 결함으로 인한 장애가 일단 발생할 경우 치명적 결과를 유발할 수 있다”는 우려다.

이에 “백업 시스템으로 자동 전환하거나, 다중 시스템을 구축하는 등의 방법으로 설사 장애 가 생긴다고 해도 그 피해를 최소화할 필요가 있다”는 것이다.

각종 상품과 서비스를 운영하는 과정에서 문제가 생길 수도 있다. 예상보다 많은 사용자들이 몰려들고, 데이터가 폭주하면 인프라에 과부하가 걸리게 된다. 이로 인해 모바일뱅킹 접속이 되지 않는 등 장애가 생기는 경우가 많다. 이런 경우 “사용자들에게 이를 신속하게 알리고 장애 지속 시간을 최소화하는 것이 중요하다”는 권고다.

사람의 실수로 인해서도 장애가 생기는 경우가 많다. 즉, 시스템 설정이나 프로그래밍 과정에서 입력 실수로 인해 시스템이 원활하게 구동하지 않거나, 프로그램 오류가 발생하기도 한다. 이같은 인적 오류를 최소화하기 위해서는 평소 IT 시스템과 서비스와 관련된 품질관리를 철저히 하고, 실수를 인지했을 때 즉시 보고하는 프로세스가 갖춰지는 것이 필요하다는 주문이다.

‘테크 리스크’ 최소화를 위한 노력

이같은 ‘테크 리스크’를 최소화하기 위한 나름의 대책도 중요하다. 대표적으로 무엇보다 실효성있는 긴급 비상대책과, 함께 책임소재 등이 분명한 R&R시스템, 그리고 IT시스템에 대한 철저한 품질관리와 검증이 필수란 지적이다.

특히 장애 유형별로 발생할 수 있는 시나리오를 설정하고, 그 대응방안을 마련할 필요가 있다. 이를 통해 실제 상황이 발생할 경우 신속하고 적재적소의 대응이 가능한 체계를 구축해야 한다. 또 금융회사와 외부 용역업체 간 책임소재를 분명히하고, 조직 내부의 해당 업무에 대한 담당자를 명확히 구분하는 등 역할과 책임(R&R)을 명확히함으로써 장애가 생겨도 혼란을 최소화해야 한다.

IT 시스템을 교체하거나 새로운 상품이나 서비스를 출시하는 등의 경우, 철저한 품질관리와 검증이 중요하다. 이를 위핸 회사와 조직 내부 테스트 관련 규정과 프로세스를 정비함으로써 버그나 인적 오류가 발생할 소지 등을 사전에 차단해야 한다.

원천 차단 불가, 치명적 위험 경감 노력 필요

사실 디지털 채널 기반의 디지털 금융 시스템을 구축하는 과정에서 이같은 ‘테크 리스크’를 아예 원천적으로 없애는 것은 사실상 불가능하다는 지적이다. 설사 ‘테크 리스크’에 대한 대응체계가 잘 갖춰져 있더라도, 예상치 못한 부분에서 사고가 발생할 수 있다. 그렇다고 IT 장애를 원천봉쇄하기 위해 막대한 자본과 인력을 투입하는 것도 비효율적이다. 그 보단 치명적 위험을 경감시키는 대응 전략이 현실적으로 타당하다는게 전문가들의 조언이다.

앞서 주 연구위원은 “전산업무 중단·지연 등의 장애 사고는 DDoS 공격이나, 해킹 등의 외부 침해 사고에 비해 그 부정적 영향이 일시적·제한적으로 위험도를 제대로 인식하지 못할 수도 있다”면서 “그 때문에 내부통제가 미흡해지는 등 조직의 구조적 문제로 인해 반복적으로 발생할 가능성이 크다”고 경고했다.

누적된 장애 사고로 인해 금융감독 당국의 제재 조치 부과, 소비자 신뢰 저하, 브랜드 가치 훼손 등의 문제를 야기하고, 종래에는 금융회사로서의 경쟁력을 상실할 수 있다. 이에 “‘제로 트러스트’ 관점에서 철저한 점검과 실효성 있는 대응 훈련을 주기적으로 진행하고, 모든 구성원이 IT 장애 위험에 대한 경각심을 가질 필요가 있다”는 주문이다.