[파이낸셜뉴스]금융감독원이 기업공개(IPO) 절차상 오류나 뱅킹 시스템 중단 같은 소비자 피해가 큰 전산사고에 대해 IT검사를 통해 엄중히 조치하겠다고 말했다. 금감원은 11일 금융사, 전자금융업자, 가상자산사업자, 협회 및 유관기관 임직원 등 약 350명이 참석한 가운데 '2024년도 디지털부문 금융감독 업무설명회'를 열고 이같은 방침을 밝혔다.  김병칠 금감원 전략감독부문 부원장보는 "금융보안체계의 유연성은 제고하되 기본적인 원칙 위반 등 자율에 따르는 사후 책임성을 강화할 것"이라고 말했다. 금감원은 지난 2월 은행권 대상으로 실시한 블라인드 모의해킹훈련을 제2금융권, 클라우드사업자에도 확대 실시하고, 금융보안 인텔리전스 플랫폼을 구축해 사이버 위협 대응체계도 강화할 예정이다. 금융 혁신을 위해서는 생성형 AI 활용과 관련해 양질의 학습 데이터 확보 방안을 업계 및 관계기관과 협력하고, 결합데이터 재사용 등 데이터 결합·활용을 활성화한다.  아울러 전자금융거래법 개정안이 올해 9월 시행돼 선불업 감독 대상이 확대되고, 소액후불결제업(BNPL)이 제도화됨에 따라 관련 점검을 강화하고 규제 마련을 추진한다.  금감원은 올해 7월 가상자산 이용자보호법 시행을 앞두고 가상자산사업자에게 금감원이 제시한 로드맵에 따른 이상 거래 감시체계, 내부통제 체계 구축 등 사항을 차질 없이 준비해 달라고 당부했다. 김 부원장보는 "현재 금감원 신고센터를 통해 각종 불법행위가 접수되고 있는 상황으로 거래소에서도 자체 모니터링 체계를 갖춰 시장 신뢰를 회복해야 한다"고 말했다. 이어 "법 시행 이후에는 규제 준수 여부를 중점 점검하고 불공정 거래 등 불법행위에 대해 엄중히 대응하겠다"고 강조했다.   sjmary@fnnews.com 서혜진 기자

[파이낸셜뉴스] 올해 상반기 전자금융사고 발생건수는 197건으로 지난해 하반기보다 22건(10%) 감소했다. 6일 금융감독원에 따르면 프로그램 오류 등으로 10분 이상 전산업무가 중단·지연된 경우가 194건, 분산서비스거부 공격(DDoS·디도스) 등 전자적 피해가 3건이었다. 디도스의 경우 일부 도메인네임시스템(DNS) 업체가 공격받아 서비스가 중단되면서 이를 이용 중인 금융사 전자금융업무가 중단되는 사고가 있었다. 전산센터 화재·누수로 인한 시스템 중단 등 대형 사고는 발생하지 않았다. 다만 증권사 홈트레이딩시스템(HTS)·모바일트레이딩시스템(MTS)이 중단·지연된 사례를 비롯해 프로그램 오류로 환전·보험료 출금에서 불편을 겪는 사례 등이 발생했다. 한 증권사의 경우 주식매매 프로그램 오류로 이미 매도된 주식이 계좌에 남은 것으로 잘못 표시돼 고객이 중복 거래(주식 추가매도)한 사고가 있었다. 금감원은 "3·4분기 IT상시협의체 회의를 개최해 전자금융사고 사례를 전파하고 전자금융 안전성 확보방안을 논의했다"며 "금융IT 안전성 강화를 위한 가이드라인을 배포할 예정"이라고 말했다.  sjmary@fnnews.com 서혜진 기자

금융당국이 지난해부터 크고 작은 전산 사고를 연달아 일으키고 있는 한국거래소에 대한 고강도 검사에 착수한 것으로 나타났다. 향후 거래소 관계자들의 무더기 징계 사태가 나타날지에 주목된다. 13일 금융투자업계와 금융감독원에 따르면 금감원은 최근 IT(정보기술) 전문가 등을 동원해 거래소의 거래시스템에 대한 검사를 진행했다. 이같은 검사가 진행된 이유는 지난 10일 코스피 종가 정부 송신 지연을 비롯해 지난달 국채선물 거래 중단, 지난해 선물·옵션 거래 지연 등 투자자 피해가 우려될 만한 사고가 잇따라 발생했기 때문이다. 금감원은 검사 결과 분석과 관련 법규의 적용 여부 등을 검토하고 있으며 전산 사고가 잇따라 발생하는 원인을 규명할 예정이다. 규정 위반 사항이나 직원 과실 등이 발견되면 증권선물위원회 등의 절차를 거쳐 엄중히 제재한다는 방침이다. 한편, 지난해 전산 사고 직후 금감원은 거래소에 대한 부문 검사를 실시해 직원 5명을 제재하고 거래소에 대해서는 '기관주의' 조치를 내린 바 있다. kiduk@fnnews.com 김기덕 기자

한국거래소에서 또 다시 전산 시스템의 문제로 유가증권시장 내 183개 종목의 체결이 지연됐다. 체결 지연사태는 발생 이후 1시간 내로 처리됐다. 거래소 측은 12일 브리핑을 통해 "오전 9시30분 SH에너지화학 주문에 대해 프로그램이 인지를 못하는 사고가 발생했다"며 "발생 이후 55분이 지난 오전 10시25분에 체결이 이뤄졌다"고 밝혔다. 이어 "사고원인에 대해선 현재 파악해봐야 한다"며 "주문은 다 접수됐고 지연이 됐을 뿐이지 체결에는 문제가 없다"고 강조했다. 그러나 올해 들어 거래소 내 전산사고 발생 빈도가 높아지면서 대책 마련이 시급하다는 지적이다. 이날 거래가 체결되지 않은 종목은 LG화학, 현대자동차, 삼진제약, 현대산업 등이다. hjkim01@fnnews.com 김학재 기자

금융전산사고에 대한 최고경영자(CEO)의 책임이 명확화된다. 또 농협 등 단위조합과 새마을금고 같은 중소 금융회사의 정보보호최고책임자(CISO)의 자격요건이 완화된다. 금융위원회는 이 같은 내용을 담은 전자금융거래법(전금법) 시행령 개정안을 추진한다고 15일 밝혔다. 이번 법안은 오는 11월부터 시행되는 전자금융거래법 개정법률의 위임사항을 정하고 금융전산 보안강화 종합대책을 이행하기 위해 마련됐다. 전금법은 △해킹사고로 인한 이용자 손해에 대한 금융회사의 일차적 책임 명확화 △금융회사 등의 정보기술부문 계획 수립·금융위 제출 의무화 및 계획 관련 최고경영자(CEO)책임 강화 △금융회사 전자금융기반시설의 취약점 분석.평가 의무화 △해킹 등 전자적 침해행위 금지 및 침해행위에 대한 대응 체계 강화 △금융회사 등이 전자금융거래 안정성 확보의무 불이행 시 제재 근거 신설 등의 내용을 담고 있다. 시행령에 따르면 금융회사 및 전자금융업자는 매년 정보기술부문 추진목표 및 전략, 투입 인력 예산 등의 추진실적 및 향후계획을 수립하고 대표자의 확인 서명을 받아 금융위에 제출해야 한다. 특히 현실적인 부분을 고려해 중소 금융회사의 CISO 자격요건을 완화했다. 일부 중소금융회사는 내부인력 중 CISO 자격요건 등을 충족하는 사람이 없어 지정에 애로를 겪으면서 정보기술(IT)보안 업무수행의 책임성 확보가 곤란하다는 지적을 받아왔다. 실제로 신협 등 단위조합(2343개)의 CISO 지정률은 22.8%에 불과해 단위조합을 제외한 전체 금융회사(623개)의 평균 지정률(79.5%)을 크게 밑돌았다. 김영권 기자

금융전산사고에 대한 최고경영자(CEO)의 책임이 명확화된다. 또 농협 등 단위조합과 새마을금고 같은 중소 금융회사의 정보보호최고책임자(CISO)의 자격요건이 완화된다. 금융위원회는 이 같은 내용을 담은 전자금융거래법(전금법) 시행령 개정안을 추진한다고 15일 밝혔다. 이번 법안은 오는 11월부터 시행되는 전자금융거래법 개정법률의 위임사항을 정하고 금융전산 보안강화 종합대책을 이행하기 위해 마련됐다. 전금법은 △해킹사고로 인한 이용자 손해에 대한 금융회사의 일차적 책임 명확화 △금융회사 등의 정보기술부문 계획 수립·금융위 제출 의무화 및 계획 관련 최고경영자(CEO)책임 강화 △금융회사 전자금융기반시설의 취약점 분석.평가 의무화 △해킹 등 전자적 침해행위 금지 및 침해행위에 대한 대응 체계 강화 △금융회사 등이 전자금융거래 안정성 확보의무 불이행 시 제재 근거 신설 등의 내용을 담고 있다. 시행령에 따르면 금융회사 및 전자금융업자는 매년 정보기술부문 추진목표 및 전략, 투입 인력 예산 등의 추진실적 및 향후계획을 수립하고 대표자의 확인 서명을 받아 금융위에 제출해야 한다. 특히 현실적인 부분을 고려해 중소 금융회사의 CISO 자격요건을 완화했다. 일부 중소금융회사는 내부인력 중 CISO 자격요건 등을 충족하는 사람이 없어 지정에 애로를 겪으면서 정보기술(IT)보안 업무수행의 책임성 확보가 곤란하다는 지적을 받아왔다. 실제로 신협 등 단위조합(2343개)의 CISO 지정률은 22.8%에 불과해 단위조합을 제외한 전체 금융회사(623개)의 평균 지정률(79.5%)을 크게 밑돌았다. 김영권 기자

금융전산사고에 대한 최고경영자(CEO)의 책임이 명확화된다. 또 농협 등 단위조합과 새마을금고 같은 중소 금융회사의 정보보호최고책임자(CISO)의 자격요건이 완화된다. 금융위원회는 이같은 내용을 담은 전자금융거래법(전금법) 시행령 개정안을 추진한다고 15일 밝혔다. 이번 법안은 오는 11월부터 시행되는 전자금융거래법 개정법률의 위임사항을 정하고 금융전산 보안강화 종합대책을 이행하기 위해 마련됐다. 전금법은 △해킹사고로 인한 이용자 손해에 대한 금융회사의 일차적 책임 명확화 △금융회사 등의 정보기술부문 계획 수립 ·금융위 제출 의무화 및 계획 관련 CEO책임 강화 △금융회사 전자금융기반시설의 취약점 분석·평가 의무화 △해킹 등 전자적 침해행위 금지 및 침해행위에 대한 대응 체계 강화 △금융회사 등이 전자금융거래 안정성 확보의무 불이행시 제재 근거 신설 등의 내용을 담고 있다. 시행령에 따르면 금융회사 및 전자금융업자는 매년 정보기술부문 추진목표 및 전략, 투입 인력 예산 등의 추진실적 및 향후계획을 수립하고 대표자의 확인 서명을 받아 금융위에 제출해야 한다. 특히 현실적인 부분을 고려해 중소 금융회사의 CISO 자격요건을 완화했다. 일부 중소금융회사는 내부인력 중 CISO 자격요건 등을 충족하는 사람이 없어 지정에 애로를 겪으면서 정보기술(IT)보안 업무수행의 책임성 확보가 곤란하다는 지적을 받아왔다. 실제로 신협 등 단위조합(2343개)의 CISO 지정률은 22.8%에 불과해 단위조합을 제외한 전체 금융회사(623개)의 평균 지정률(79.5%)을 크게 밑돌았다. 이에 시행령에서는 종업원수가 일정규모 이상인 농협, 신협 등의 단위조합 및 새마을금고는 대표자 또는 대표자가 지정하는 사람을 CISO로 지정 운영할 수 있도록 허용했다. 또한 중소기업기본법상 중소기업 수준을 고려해 종업원 수 200명 미만 또는 영업수익 200억원 이하인 금융회사는 전금법상 주요의무 적용을 배제했다. 아울러 해킹사고에 대한 이용자의 고의 중과실 범위도 조정했다. 금융회사 등이 보안강화를 위해 요구하는 본인확인절차를 이용자가 정당한 이유 없이 거부하거나 이용자가 본인인증수단 또는 매체를 대여·위임·제공 또는 누설·노출·방치하는 경우도 고의 중과실 범위에 추가했다. kim091@fnnews.com 김영권 기자

한국거래소의 이사장의 장기간 공석이 임직원들의 기강해이로 이어지고 있다. 전산사고 하루만에 또 다른 전산사고가 터지면서 자본시장의 동맥이 흔들리고 있고, 직원들의 기강 해이로 경영평가는 바닥에 떨어졌다. 그런데도 거래소는 사고가 날 때마다 솔루션 제공업체의 문제 등 남의 탓으로만 돌리고 있다. 한국거래소는 16일 오전 1시50분께 미국 시카고상업거래소(CME) 연계 코스피200 지수선물과 유렉스(EUREX) 연계 코스피200옵션 관련 정보를 제공하는 여의도 서울사무소내 정보분배시스템이 작동을 멈췄다고 밝혔다. 거래소측은 "전력 공급부에 설치된 애자(경질자기 등으로 만든 고체절연물)가 자연발생적으로 파손돼 전원이 제대로 공급되지 않았기 때문이다"고 설명했다. 거래소는 외부에서의 전력공급이 끊길 경우 비상발전을 실시하지만 이번에는 자체 전력선에서 문제가 생겨 조기 대처가 여의치 않았던 것으로 전해졌다. 결국 거래소는 CME와의 협의를 거쳐 50분만인 오전 2시40분께 CME 연계 코스피200 지수선물 거래를 평소보다 2시간 20분가량 조기 마감했다. 평소 야간선물 거래는 오후 6시부터 다음날 오전 5시까지, 야간옵션 거래는 오후 5시부터 다음날 오전 5시까지 이뤄진다. 다만 EUREX 연계 코스피200옵션 시장의 경우 해외 회원사들에서는 여전히 정상적인 거래가 이뤄졌던 것으로 알려졌다. 거래소는지난 15일에도 오전 9시15분부터 66분 동안 증권사 홈트레이딩시스템(HTS)과 코스콤이 운영하는 체크(CHECK) 등 모든 시세 단말기에 코스피지수를 최대 15분 이상 지연 전송했다. 이는 지수통계를 담당하는 메인시스템이 이상을 일으킨 상황에서 백업시스템까지 제대로 작동하지 않아 일어난 것으로 밝혀졌다. 증권가에선 연이은 사고에 한국거래소의 시스템 안정성에 구멍이 뚫린 것이 아니냐는 지적이 나온다. 증권업계 한 관계자는 "김진규 거래소 이사장 직무대행은 물론 모든 임원들이 나몰라 한다. 시급히 추진해야할 사업들도 제자리 걸음을 하고 있다"면서 "가장 큰 문제는 임직원들의 기강해이 문제가 대형 전산사고로 이어질 경우 자본시장은 혼란에 빠질수도 있다"고 말했다. 임원들이 추진한 사업이 잘못될 경우 책임소재를 피할 수 없을 것이란 판단에 손을 놓고 있다는 얘기다. 실제 각종 사업은 표류하고 있다. 자본시장법 개정 이후 새롭게 처리해야 할 대체거래소(ATS)와 장외청산거래소(CCP) 등은 보류돼 있다. 증시 위기상황에 대한 대처도 어려운 상황이다. 거래소의 무사안일 태도는 기획재정부의 2012년도 공공기관 경영실적 평가결과가 잘 말해주고 있다. 전임 김봉수 이사장이 임기를 1년여 남겨둔 지난해 거래소는 전년 B등급에서 D등급으로 추락했다. 기획재정부는 방만 경영을 개선하기 위한 감사의 역할이 부족했다는 판단이다. 당시 이석준 기획재정부 제2차관은 "거래소는 방만경영 등에 대해 감사의 역할이 기대되는 곳인데 부족하다고 판단했다"며 "투명 윤리경영, 공시감독 모니터링 하는 역할이 미흡했다"고 설명했다. 문제는 전산장애가 투자자 피해는 물론 자본시장의 혈맥을 끊어 놓을 수 있다는 지적다. 금융투자업계 관계자는 "자본시장에서 조그만 전산사고라도 금융시장을 혼란데 빠뜨릴 수 있다"면서 "자본시장의 한축을 담당하는 거래소의 책임있는 자세가 필요하다"고 지적했다. kmh@fnnews.com 김문호 기자

농협은행이 잇단 전산사고에 이어 최근에는 1만여건의 고객정보가 한꺼번에 유출될 뻔 한 사건이 발생, 금융감독원이 조사에 들어갔다. 26일 금융권에 따르면 농협은행의 경상북도내 A지점은 지난 15일 보관 중인 고객 관련 전표 뭉치를 파쇄업체가 아닌 지인에게 파쇄를 맡겼다가 적발됐다. 다행히 지점장의 지인은 정보회사에 고객정보를 팔지 않고, 파쇄업자에게 팔아 실제 고객 정보 유출은 일어나지 않았다. 그러나 농협은행은 고객 정보 관련 서류의 경우, 보관 기간이 지난 뒤 위탁계약을 체결한 파쇄업체를 이용해야 하는 규정을 어겼다. 농협은행 관계자는 "파쇄 절차를 지키지 않은 것은 인정하지만 비용을 아끼려고 했던 것이지 정보 유출이나 경비 유용 등의 의도는 없었다"고 해명했다. 하지만 이번 사건은 지난 11일 임종룡 농협금융지주 회장이 취임한 지 불과 4일 만에 발생한 사건이어서 신충식 농협은행장도 난처한 입장에 처했다. 이번 뿐만 아니라 잇따라 전산사고가 발생하는 등 물의가 이어지고 있어서다. 임 회장은 취임식에서 업무 파악 이후 계열사 인사를 고려하겠다는 입장을 밝힌 바 있다. 금감원은 농협은행의 문제점을 보고받고 해당 지점을 대상으로 고객 서류 보관 실태 등 이번 사건의 전말을 검사 중이다. 지난 3월 북한 해킹 사고에 이어 이번 고객 관련 서류보관 규정 위반을 계기로 농협은행은 '기관 경고' 등 금융당국의 중징계가 예상된다. 농협은행은 지난 2011년에도 해킹 사고로 대규모 전산 장애를 일으킨 바 있다. sdpark@fnnews.com 박승덕 기자

금융당국이 최근 농협은행 등 농협 금융 계열사의 전산사고와 관련, 과실 정도에 따라 책임을 묻기로 했다. 이에 따라 사안에 따라서는 신동규 농협금융지주 회장은 물론 최원병 농협중앙회장까지도 징계를 받을 가능성이 높아졌다. 김수봉 금융감독원 부원장보는 11일 "지난달 27일 농협은행 및 농협생·손보에 대해 전산사고 발생과 관련한 법규 위반 여부에 대해 강도 높은 현장검사를 실시 중"이라며 "여기에 지난 3일부터 농협중앙회도 검사 대상에 포함했는데 검사 결과 문제가 있다면 관련자에 대한 책임을 강하게 물을 것"이라고 말했다. 다만 금감원은 농협중앙회에 대해서는 농림축산식품부가 감독권한이 있기 때문에 검사는 할 수 있지만 제재권은 없다고 설명했다. 이에 따라 검사 결과 문제점이 있으면 농림축산식품부를 통해 제도개선 및 관련자 책임을 요구할 계획이다. 책임 소재에 따라서는 신동규 농협금융지주 회장은 물론 최원병 농협중앙회장까지도 제재를 받게 될 것으로 전망된다. 금융당국은 올해 금융 전산사고 대책을 중점 추진과제로 선정해 운영한다는 계획을 갖고 있다. 금융위원회는 청와대 업무보고에서 올해부터 전산사고로 소비자 피해가 발생했을 때 경중에 따라 관련자는 물론 최고경영자(CEO)에게도 동일한 수준의 제재를 적용하겠다고 밝힌 바 있다. 금융위 관계자는 "지난 2011년 12월에 이미 전산사고 발생 시 실무자와 동일한 수준의 제재를 CEO도 받도록 관련법이 개정됐다"며 "그동안 적용된 사례가 없었지만 앞으로 위규사항이 발생하게 되면 CEO에 대해서도 감경 없이 동일한 규제를 내린다는 취지"라고 설명했다. 농협이 빈번하게 사고가 발생하는 것은 기형적인 정보기술(IT ) 지배구조 때문이라는 지적도 나오고 있다. 지난해 금융지주가 분리됐지만 금융부문의 IT를 여전히 중앙회가 담당하고 있어 효과적인 관리가 불가능하다는 것이다. 김 부원장보는 "농협금융지주 및 산하 자회사의 전산시스템은 현재 농협중앙회의 IT 부문이 담당하고 있어 IT 업무처리 및 보안통제 부문을 효과적으로 관리할 수 있는 체계를 갖추지 못했다"며 "2015년 2월까지 예정대로 전산시스템 전환을 완료하도록 지도할 것"이라고 말했다. 이와 함께 금감원은 필요 시 전산사고 재발 방지를 위해 전산장애 개선대책의 수립 및 이행을 위한 양해각서 체결 및 사후관리에도 나선다는 계획이다. 한편 농협은행 및 농협생명·손해보험의 전산망은 지난달 20일 악성코드에 감염돼 한동안 마비됐다. 지난 10일에는 농협은행과 농협생·손보 인터넷뱅킹이 오후 6시20분부터 9시45분까지 3시간25분간 중단되면서 소비자 피해가 발생했다. kim091@fnnews.com 김영권 기자