- 카카오 전산센터 화재 이후 진행한 금융IT 비상대책 관련 점검결과 및 대응방안을 설명하고, 재해 등에 대비한 실효성 있는 예비 인프라 확충 및 대응체계 마련을 당부 

Ⅰ. 개요

 금융감독원은 이명순 수석부원장 주재로 9개 유관기관 담당임원 및 22개 금융회사 CIO와의 간담회를 개최하여, 지난해 카카오 전산센터 화재와 같은 재해 발생시에도 전자금융서비스 중단 및 금융소비자 피해가 최소화될 수 있도록 업무연속성(Business Continuity) 제고 방안을 논의하였음

[ 간담회 개요 ]

​일 시 :’23.7.13.(목) 10:00~11:30

장 소:금융감독원 본원 9층 대회의실

참석자: 금감원, 유관기관 담당임원 및 주요 금융회사 CIO 등 30여 명

​- (금 감 원) 수석부원장 및 IT검사국장

- (유관기관) 금융결제원, 은행연합회, 한국거래소, 금융투자협회, 생명보험협회,손해보험협회, 저축은행중앙회, 여신금융협회, 핀테크산업협회

- (은 행) 국민은행, 하나은행, 우리은행, 기업은행, 농협은행, 카카오뱅크

- (증 권) 미래에셋증권, 한국투자증권, KB증권, NH투자증권, 삼성증권

- (보 험) 교보생명, 신한라이프, 현대해상, KB손해보험

- (중소서민) SBI저축은행, 웰컴저축은행, 신한카드, 국민카드

- (전자금융) 네이버파이낸셜, 카카오페이, 비바리퍼블리카

Ⅱ. 수석부원장 주요 발언내용

지난해 카카오 화재사고에서도 보았듯이, 디지털금융이 확산될수록 서비스가 정상적으로 제공되지 않았을 때 발생하는 소비자 피해와 사회적 손실 가능성이 함께 커진다는 점을 명심해야 함.  모든 소비자가 전자금융서비스를 안심하고 이용할 수 있도록 사고를 방지하고 업무 연속성을 확보하는 것을 최우선으로 고려할 필요.

IT 비상대책 점검 등 많은 노력에도 불구하고 금융권 IT 내부통제는 여전히 부족한 실정이므로, 지속적으로 관심을 가지고 챙겨주기 바람. 클라우드 컴퓨팅과 같은 신기술 도입 등 변화하는 환경에 맞춰 적정 인프라를 확보하고, 업무 연속성 계획을 관리해 주시고, 예기치 못한 사고에 대비하여 실효성 있는 재해복구 전환훈련 실시 등을 통해 IT시스템의 운영복원력을 갖춰 주시기 바람. 이 두 가지는 금융회사 뿐만 아니라, 한국거래소, 금융결제원 등 전자금융서비스를 제공하는데 있어 핵심적인 기능을 담당하는 기관들도 항상 최우선으로 고려해야 하는 사항임. 

금융감독원은 검사시 비상대책 관련 사항을 중점적으로 점검하여 업무 연속성 확보 노력을 소홀히 한 회사는 엄중 조치하고, 재해복구센터 의무화 확대 등 제도적으로 개선이 필요한 부분에 대해서는 금융위원회와 협의하여 신속하게 추진하도록 하겠음.

업무 연속성 계획은 예기치 못한 재해나 장애 등과 같은 불확실성에 대비하는 최선의 전략이라는 사실을 유념하시기 바라며, 이 자리를 통해 각 회사의 비상대응 체계를 다시 한번 점검하여, 업무 연속성 확보 수준을 높이는 계기가 되었으면 함

Ⅲ. 금융IT 비상대책 점검결과 및 대응방안

점검결과 주요내용

■ 구체적인 대응절차와 대응조직의 역할이 포함된 비상대책을 마련하고, 전사적인 업무영향분석을 통해 핵심업무 선정과정을 체계화 할 필요 

​비상대책에 재해 대응절차가 구체적이지 않고, 비상대책위원회가 별도로 구성되어 있지 않거나 역할과 책임 부여가 불분명. 업무영향분석* 절차가 마련되어 있지 않거나, 단편적인 평가요소만으로 업무별 복구 우선순위를 결정하여 핵심업무의 누락 발생

* 단위업무를 식별하고 잠재손실 추정을 포함한 개별 업무 중단시 미치는 영향 분석을 통해 업무별 복구 우선순위를 결정하는 일련의 과정으로 핵심업무 선정의 기초가 됨

■ 적정 성능과 규모를 갖춘 재해복구센터를 확보하고, 외부 연계서비스 관련 리스크 관리 및 비상대책을 마련할 필요. 

전자금융서비스를 제공하는 금융회사 중 중소형사 일부*(약 118개사)는 재해복구센터를 별도로 구축하지 않음. 

* 다만, 관련 법규상 재해복구센터 구축 의무가 있는 회사는 아님

재해복구센터 서버 등 용량이 주전산센터에 크게 미달하거나, 대외기관 전용선이 누락되어 재해발생시 정상적인 서비스 제공 의문. 외부 연계서비스 계약시 IT위험평가 절차 및 손해배상 등 계약지침이 마련되어 있지 않고, 장애발생에 대한 대책 미흡.

■ 재해복구 전환훈련의 실효성 확보 필요

훈련시 구동테스트를 일부 시스템만 수행하거나 주요 대외기관과의 연계 업무를 대상에서 제외하여, 훈련결과의 적정성을 담보하기 곤란.  재해복구센터 기동절차 자동화 미흡 등으로 전환에 소요되는 시간이 과다 소요되고, 재해복구센터 전환 절차서에 대한 현행화가 미흡.

​■ 전자금융사고 책임이행을 위한 적정 보험 가입 및 사고 관리 필요

최근 3년간 전자금융사고 관련 손해배상 금액은 총 172억원*으로, 금융투자 권역에서 책임이행보험 기준금액을 초과한 사례 발생

* 금융투자 139억원, 중소서민 23억원, 은행 2억원, 전자금융업 8억원 등

◦ 전자금융사고 책임이행을 위한 보험 가입을 하지 않거나 기준에 미달*

* 특정 유형의 사고에 대해 기준금액 미만으로 가입, 사고발생 건당 보상한도를 기준금액 미만으로 가입, 전자금융업 추가 등록 이후 보험가입 금액을 증액 누락 등

◦ 장애내역을 관리하지 않는 등 전자금융사고 관련 내부통제가 미흡하고, 보고기준을 자의적으로 해석하여 사고 미보고 사례 빈발

대응방안

■ IT부문 검사시 업무 연속성 확보대책 중점 점검

◦ 정기 및 수시검사 수행시 적정 수준의 재해복구센터 구축, 재해복구 전환훈련 실효성 등 비상대책 관련 사항을 중점적으로 점검

■ 금융IT 비상대책 가이드라인 제정

◦ 검사 및 점검을 통해 확인된 주요 미흡사항 등을 반영한 가이드라인을 제정하여, 감독규정을 보완하는 구체적 기준을 제시

■ 전자금융보조업자 평가체계 개편 등 상시감시 강화

◦ 정보처리 업무위탁 현황 보고서에 IT위험평가* 및 손해배상 항목을 추가하여 연계서비스 제공 제3자에 대한 리스크 관리 강화

* 제3자 선정절차(실사 등), 제3자 모니터링, 출구전략 등 구체적인 평가기준 마련

■ 재해복구센터 구축의무 대상회사 확대

◦ 전자금융업무 수행방식 및 회사 규모 등을 고려하여 재해복구센터 구축이 의무화되는 금융회사 등의 범위 확대를 추진

​■ 전자금융사고 책임이행보험 최저 보상한도 상향

◦ 최근 손해배상 현황 등을 고려하여 업권별 책임이행보험 최저 보상한도 상향을 추진

■ 전자금융사고 관리 및 보고체계 개선 추진

◦ 금융회사 및 전자금융업자가 전자금융사고의 유형, 처리단계, 조치방법, 영향도·심각도 등 관리 절차를 마련하는 방안 추진

※ 관련 구체적 내용·기준은 금융위 협의 및 업계 의견수렴을 거쳐 추후 별도로 발표 예정

Ⅳ. 참석자 발언내용 및 향후 계획

간담회에 참석한 CIO들은 자사의 전자금융사고 대응 사례를 공유하면서 유사사고의 재발 방지를 도모하였음

◦ 카카오페이는 작년 사고를 통해 상세 매뉴얼을 포함한 재해복구 관리체계의 정비, 단일 인증체계의 이원화, 재해복구센터 자동전환시스템 이중화 등의 필요성을 인식하게 되었다고 발언

◦ 기업은행은 휴대폰 명의인증 등 특정 제휴업체 장애 발생시에도 타 업체로 전환되어 서비스가 지속되도록 연계서비스에 대한 업체 이중화가 필요하다는 점을 강조

■ 아울러, 참석자들은 디지털금융 업무연속성을 제고하기 위한 금융감독원의 대응방향에 공감하면서, 전 금융권 합동 재해복구 전환훈련, 회사 규모별 규제 차등 적용, 사례 교육 실시 등을 건의

​◦ 최근 타 업권과의 연계서비스가 확대되는 추이를 고려할 때, 실질적인 사고대응 능력을 제고하기 위해서는 전 금융권이 공동으로 실시하는 재해복구 전환훈련 실시를 고려할 필요

◦ 중소형사가 대형사와 동일한 수준의 재해복구 인프라를 마련하는 것에는 어려움이 있으므로, 관련 규제 적용에 차등화 필요

◦ 전자금융사고 예방 및 경영진의 인식 제고를 위해 주요 사고의 원인 및 시사점 등에 대한 지속적인 교육을 실시할 필요

■ 금융감독원은 금번 간담회에서 논의된 사항들을 포함하여 디지털금융 신뢰성 확보를 위한 정책들을 일관성 있게 추진하고, 금융위원회와 긴밀히 협의하여 제도개선과 관련한 구체적 내용을 마련할 계획(별도 보도자료 배포)

출처 : 금융감독원 http://www.fss.or.kr

디지털금융 업무 연속성 제고를 위한 CIO 간담회 금융감독원 수석부원장 이명순 모두발언

반갑습니다. 금융감독원 수석부원장 이명순입니다.

바쁘신 와중에도 오늘 간담회에 참석해주신 유관기관 임원 및 금융회사 CIO 여러분들과 사례발표를 준비해주신 기업은행과 카카오페이 담당자께 감사드립니다.

아시는 바와 같이, 금융의 디지털화가 지속되고 있고 이를 통해 금융소비자의 편의성이 크게 높아졌습니다.

대부분의 금융서비스를 인터넷이나 모바일을 통해 처리할 수 있게 되었고, 빅데이터, 인공지능, 플랫폼 기반의 맞춤형 금융서비스를 이용할 수 있게 되었습니다.

하지만, 지난해 카카오 전산센터 화재사고에서 보았듯이, 디지털금융이 확산될수록 서비스가 정상적으로 제공되지 않았을 때 발생하는 소비자 피해와 사회적 손실 가능성이 함께 커진다는 것을 우리는 항상 명심해야 합니다.

이런 관점에서, 모든 금융소비자가 전자금융서비스를 안심하고 이용할 수 있도록 사고를 방지하고 업무 연속성을 확보하는 것은 여기 모인 여러분이 가지고 있는 최우선 책무라 할 수 있습니다.

지난해 화재사고 이후, 금융당국의 지침대로 IT 비상대책 수립․운용 등과 관련한 실태를 점검하고 미흡사항을 보완하고 개선하느라 그동안 수고 많으셨습니다.

그러나, 여러분의 노력에도 불구하고, 애 등에 대비한 금융권의 IT 내부통제가  완벽하다고는 할 수 없는 현실이므로 지속적으로 관심을 가지고 챙겨주시기 바랍니다.

먼저, 클라우드 컴퓨팅 같은 신기술 도입, 제3자 위탁 및 연계에 따른 복잡도 증가, 디지털 전환으로 인한 신규 시스템 확대 등

변화하는 환경에 맞춰 적정 인프라를 확보하고 업무 연속성 계획을 관리해 주시기 바랍니다. 한번 시스템을 갖추었다고 끝이 아니며, 전원, 통신 등에 대한 이중화나 고가용성 등에 있어 부족한 부분이 없는지  지속적으로 점검하고 보완하시고, 재해복구센터 역시 서버 용량이나 회선 연결 등을 확인하여 비상상황 발생시 실질적인 운영이 가능한 형태로  유지하시기 바랍니다.

또한, 예기치 못한 사고에 대비하여 실효성 있는 재해복구 전환훈련 실시 등을 통해 IT시스템의 운영복원력을 갖춰 주시기 바랍니다.

평상시 운동을 통해 체력을 길러 놓으면 갑자기 아프게 되더라도 쉽게 회복할 수 있듯이, 장애 발생시 신속한 대응 및 복구를 위해서는 정기적이고 실효성 있는 비상대응 훈련이 필수적입니다. 이 두 가지는 개별 금융회사 뿐만 아니라, 한국거래소, 금융결제원 등 전자금융서비스를 제공하는데 있어  핵심적인 기능을 담당하는 기관들도 항상 최우선으로 고려해야 하는 사항입니다.

앞으로, 금융감독원에서는 IT부문 검사시 비상대책 관련 사항을 중점적으로 점검하여, 업무 연속성을 확보하기 위한 노력을 소홀히 한 회사에 대해서는 엄중 조치하겠습니다.

또한, 재해복구센터 의무화 확대, 책임이행보험 기준금액 상향 등 제도적으로 개선이 필요한 부분에 대해서는 금융위원회 등 관계기관과 협의하여  신속히 추진하도록 하겠습니다.

BCP, 즉, 업무 연속성 계획은  예기치 못한 재해나 장애 등과 같은  불확실성에 대비하는 최선의 전략이라는 사실을 유념하시기 바랍니다. 

오늘 이 자리를 통해 각 회사의 비상대응 체계를 다시 한번 점검하고, 궁극적으로  금융권의 전반적인  업무 연속성 확보 수준을 높이는 계기가 되었으면 합니다.

감사합니다.