이번 포스트에서는 전자금융사고(중대IT장애사고), 정보기술부문 사고보고에 관련된 내용을 관련 근거 조항과 함께 제공해 드리고자 합니다. 디지털 금융 시대가 가속화되면서 전자금융시스템의 안정성과 보안이 그 어느 때보다 중요해지고 있습니다. 특히 2025년 2월 5일부터 시행된 개정 전자금융감독규정은 금융권의 자율보안 체계를 강화하면서도 사고 발생 시 신속한 대응과 보고를 위한 새로운 기준을 제시하고 있습니다.
전자금융사고와 정보기술부문 사고보고 절차에 대해 금융회사 담당자들이 꼭 알아야 할 내용들을 아래와 같이 정리해보았습니다.
1. 2025년 전자금융감독규정 개정의 핵심 변화
규칙에서 원칙 중심으로의 패러다임 전환
금융위원회는 금융보안 규제를 “규칙(Rule) → 원칙(Principle) 중심”으로 개선하여 금융권의 자율보안 토대를 마련했습니다. 이는 금융회사들이 단순히 규정만 준수하는 소극적 자세에서 벗어나 능동적으로 보안 위험을 관리할 수 있도록 하기 위함입니다.
주요 개정 사항:
- 293개 세부 행위규칙을 166개로 합리적 정비
- 건물·설비·전산실 관리 등에서 금융회사 자율성 대폭 확대
- 정보보호최고책임자(CISO)의 이사회 보고 체계 강화
사고보고 기준의 현실적 조정
개정 전 규정은 정보처리시스템 또는 통신회선 등의 장애로 10분 이상 전산업무가 중단 또는 지연된 경우를 사고보고 대상으로 규정하고 있었으나, 개정 규정은 사고보고의 대상에 관한 사항을 시행세칙에 위임하면서 (i) 전자금융업무 지연·중단 시간이 30분 이상인 경우와 (ii) 전자금융업무 지연·중단 시간이 10분 이상이고 해당 전자금융서비스 가입자가 1만명 이상인 경우를 사고보고 대상으로 하여, 그 대상의 범위를 일부 축소하였습니다.
2. 중대IT장애사고 분류기준
중대IT장애사고 정의 및 분류
감독규정에 따라 보고된 전자금융사고 중 핵심업무에 발생한 사고로, 5개 지표 중 2개 이상 해당시 중대IT장애사고로 분류합니다.
5개 분류 지표:
- ①영향도 高 – 광범위한 시스템 또는 고객 영향
- ②데이터 훼손 – 중요 데이터의 손상 또는 변조
- ③평판 저하 – 금융회사 신뢰도에 미치는 영향
- ④장애시간 長 – 장시간 지속되는 서비스 중단
- ⑤손실금액 高 – 상당한 규모의 금전적 피해
참고: EU DORA법안을 참조한 분류 기준
중대IT장애사고 분류 원칙:
- 중대IT장애사고는 기존 전자금융사고에서 중대한 사고를 추가 분류하는 것
- 전자금융사고에 해당하지 않는 사고(예: 10분 미만 전산장애)는 중대 사고로 미분류
특별 분류 기준:
- 고객정보 유출 시 핵심업무 여부와 관계없이 중대사고로 판단
3. 정보기술부문 사고보고 대상 및 절차
사고보고 대상 (전자금융감독규정 시행세칙 제7조의4)
시행세칙 제7조의4제1항에 따른 반드시 보고해야 하는 사고:
1. 정보처리시스템 또는 통신회선 등의 장애 (제1호)
- 가목: 전자금융업무 지연·중단 시간이 30분 이상인 경우
- 나목: 전자금융업무 지연·중단 시간이 10분 이상이고 해당 전자금융서비스 가입자가 1만명 이상인 경우
2. 전산자료 또는 프로그램의 조작 및 오류 관련 사고 (제2호)
3. 전자적 침해행위로 인한 사고 (제3호)
- 정보처리시스템에 사고가 발생하거나 이로 인해 이용자가 금전적 피해를 입었다고 금융회사 또는 전자금융업자에게 통지한 경우
4. 전자금융사고 (제4호)
- 법 제9조제1항에서 정하는 사고가 발생한 경우
보고 예외사항 (시행세칙 제7조의4제2항)
다음 경우는 사고보고 대상에서 제외:
- 1개 영업점에 국한된 전자금융업무 중단·지연
- 단순 정보 제공용 공개 웹서버 등의 장애 또는 금융상품 및 서비스와 무관한 장애
- 사고금액이 100만원 미만인 경우 (법 제9조제1항제1호 또는 제3호 사고)
사고보고 절차 및 방법
시행세칙 제7조의4제3항 및 제4항에 따른 보고 체계:
1. 최초보고
- 보고시한: 사고 인지 후 24시간 이내
- 보고방법: 전자금융사고대응시스템(EFARS) 활용 원칙
- 예외사항: 전산장애, 금융정보교환망 미연결 등 부득이한 경우 서면, 팩스, 유선 가능
2. 중간보고
- 최초보고 후 사고내용 보완 필요시 즉시 중간보고
- 종결까지 2월 이상 소요 시: 인지일로부터 2월 이내 및 종결 시까지 매 6월마다 보고
- 단, 최초보고 후 조치완료까지 2월 미만 소요 시 중간보고 생략 가능
3. 종결보고
- 사고발생 원인 파악 및 조치, 재발방지 대책 마련 등이 완료된 때
- 배상책임이 있는 경우 배상조치까지 포함 완료 후 보고
- 최초보고 시 조치가 이미 완료된 경우 종결보고 생략 가능
4. 사고보고서 작성 방법
기본 사고보고서 작성법 (전자금융감독규정 시행세칙 별지 제2호 서식)
전자금융감독규정 시행세칙 별지 제2호 서식을 활용하여 다음과 같이 작성:
보고서 헤더 정보:
- 작성자: (직위) 및 전화번호 기재
- 문서번호: 연도.월.일 형식
- 수신: 금융감독원장
- 참조: 해당 부서
- 제목: “정보기술부문 및 전자금융 사고보고”
사고내용 상세 작성법 (별첨1 양식)
보고형태 선택: □ 최초 □ 중간 □ 종결
사고유형별 세부 분류:
1. 침해사고
- 공격 대상: 내부망 시스템, DMZ구간 시스템, 기타, 미상(파악 중)
- 공격 방법: 악성코드(웹쉘, 랜섬웨어, 바이러스 등), 서비스거부공격, 보안 취약점 해킹, 무단 접속 및 조작, 공급망 보안 침해(연계기관 해킹 등), 기타, 미상(파악 중)
- 공격에 따른 피해: 시스템 및 서비스 중단, 정보유출, 중요정보 조작, 금전적 손실, 기타, 미상(파악 중)
2. 전산장애사고
- 업무처리 프로그램 오류: 로직 오류, 데이터 오류
- 시스템 장애: 서버, 네트워크 장비, 스토리지 장비, 보안장비 등 / OS, DBMS, 미들웨어, 네트워크, 보안, WAS 등
- 시설·설비 장애: 전원공급 차단, 통신회선 훼손 등
- 외부요인으로 인한 장애: 클라우드 업체, 통신업체, 제휴업체 등
- 미정(파악 중)
3. 전자금융사기사고
- 피싱/파밍(인터넷)
- 피싱/파밍(모바일)
- 피싱/파밍(텔레뱅킹)
- 전자상거래/매체 위변조
- 신종 전자금융사기사고
- 원인미정(파악 중)
필수 기재사항
사고 기본 정보:
- 최초 인지: 금융회사 / 고객(민원인) / 기타 선택
- 사고인지일시, 사고발생일시, 사고종료일시
- 사고발생 업무(시스템)명
피해 관련 정보:
- 피해자 성명, 생년월일, 피해금액
- 배상금액, 배상인원수
- 사고금액, 사고 영향 이용자수
사고 분석 및 대응:
- 사고내용(현상 및 결과)
- 사고원인(변경시점 및 사유 등)
- 파급영향(영향받은 금융회사 등)
- (외부요인으로 인한 장애) 사고 원인 회사명
- 처리결과
- 대책
일괄보고 방법 (별첨2 양식)
시행세칙 제7조의4제3항 단서에 따라 법 제9조제1항제1호의 사고 중 사고금액이 3억원 미만인 사고의 경우:
- 매월 발생한 사고를 익월 15일까지 별첨2 양식으로 일괄 보고 가능
- 보고연월, 전체피해금액, 전체피해인원수 기재
- 피해자별 사고내역을 표 형식으로 정리 (피해자 성명, 생년월일, 피해금액 등)
5. 최신 금융권 전산장애 현황
전산장애 발생 추이 분석
최근 국정감사 자료에 따르면, 2020-2025년 5월까지 국내 금융권에서 총 1,763건의 전산장애가 발생해 피해액이 295억원에 달했습니다.
연도별 발생 건수 증가 추이:
- 2020년: 238건 (월 평균 19.8건)
- 2021년: 289건
- 2022년: 327건 (월 평균 27.2건)
- 2023년: 347건
- 2024년: 392건 (월 평균 32.6건)
- 2025년 5월까지: 170건 (월 평균 34건)
업권별 전산장애 발생 현황:
- 은행업: 577건 (최다)
- 증권업: 475건
- 생명보험: 205건
- 저축은행: 204건
- 카드업: 172건
- 손해보험: 130건
주요 발생 원인 분석: 프로그램 오류와 시스템·시설·설비장애가 72.9%를 차지했습니다. 프로그램 오류 722건, 시스템·시설·설비장애 564건에 달했습니다.
- 프로그램 오류: 722건 (46만3,335시간, 97억8,615만원)
- 시스템/시설/설비 장애: 564건 (2,104시간, 143억9,298만원)
- 외부요인으로 인한 장애: 366건 (1만357시간, 27억7,986만원)
- 인적재해: 106건 (8,802시간, 25억4,534만원)
대형 전산장애 사례
피해 규모가 가장 큰 전산장애 사건은 지난 2020년 일어난 키움증권의 프로그램 오류 전산장애(47억669만원)이며, 또 2021년 미래에셋증권(39억1929만원), 2022년 한국투자증권(25억2630만원) 등이 있습니다.
6. 금융회사의 보안 거버넌스 강화
정보보호위원회 운영 (전자금융감독규정 제8조의2)
위원회 구성:
- 위원장: 정보보호최고책임자
- 위원: 정보보호업무 관련 부서장, 전산운영 및 개발 관련 부서장, 준법업무 관련 부서장 등
주요 심의·의결사항:
- 법 제21조제4항에 따른 정보기술부문 계획서에 관한 사항
- 법 제21조의2제4항제1호에 관한 사항
- 법 제21조의3에서 정한 취약점 분석·평가 결과 및 보완조치의 이행계획에 관한 사항
- 전산보안사고 및 전산보안관련 규정 위반자의 처리에 관한 사항
- 클라우드컴퓨팅서비스의 이용에 관한 사항
- 기타 정보보호위원회의 장이 정보보안업무 수행에 필요하다고 정한 사항
이사회 보고 체계 (제8조의2제4항): 정보보호최고책임자는 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미친다고 판단하는 심의·의결사항에 대해서는 이사회에 보고해야 합니다.
침해사고 대응 체계 (전자금융감독규정 제37조의6)
침해사고대응기관:
- 금융보안원
- 금융위원장이 지정한 자
침해사고 대응·복구 훈련 의무 (제37조의6제5항):
- 실시 주기: 연 1회 이상
- 제출 서류: 계획 및 결과를 침해사고대응기관의 장에게 제출
- 예외 대상: 신용협동조합, 일부 소규모 금융회사 등
7. 비상연락 담당자 관리
비상연락 담당자 운영 (시행세칙 제7조의4제5항, 제6항)
지정 및 관리:
- 금융감독원장이 금융회사별로 정보기술부문 사고보고 전담 비상연락 담당자 지정 가능
- 담당자 지정 또는 변경 시 EFARS 등 보고방법에 따라 즉시 보고
역할:
- 사고 발생 시 신속한 최초보고 담당
- 사고 진행 상황 모니터링 및 중간보고
- 종결보고까지의 전 과정 관리
8. 사고 예방 및 사후 보고체계를 위한 대응 방법
재해복구센터 설치 의무 확대
현재 재해복구센터 설치가 의무화되어 있는 은행, 금융투자업자, 보험회사 외에 일정 규모를 갖춘 여신전문금융회사와 전자금융업자 등도 의무적으로 재해복구센터를 설치하도록 확대됩니다.
신규 추가 대상 (전자금융감독규정 제23조제8항):
- 여신전문금융회사: 시설대여업자, 할부금융업자, 신기술사업금융업자 (시행령 제11조의4제1항 해당 회사)
- 전자금융업자: 연간 전자금융거래 총액이 2조원 이상인 회사
- 저축은행: 자체 전산시스템을 구축하여 운영하는 상호저축은행
디지털 금융보안법제 도입 예고
향후 금융당국은「전자금융감독규정」개정에 이어 “자율보안- 결과책임”을 주요 내용으로 하는 디지털 금융보안법제를 마련함으로써 금융보안 패러다임을 자율보안체계로 전환해 나갈 예정입니다.
실무 담당자가 준비해야 하는 사항
즉시 시행 사항:
- 새로운 사고보고 기준(30분/10분+1만명)에 따른 보고 체계 정비
- 별지 제2호 서식 기반 사고대응 매뉴얼 업데이트
- 비상연락 담당자 지정 및 EFARS 시스템 사용법 숙지
- 정보보호위원회 운영 규정 재정비
중장기 준비 사항:
- 자율보안 체계 구축 로드맵 수립
- CISO의 이사회 보고 체계 확립
- 침해사고 대응·복구 훈련 계획 수립
- 재해복구센터 설치 의무 대상 여부 확인 및 준비
전자금융시스템의 안정성은 단순히 기술적 문제를 넘어 금융 소비자의 신뢰와 직결되는 핵심 과제입니다. 최근 5년간 전산장애가 지속적으로 증가하고 있는 상황에서 금융회사들은 사고 예방은 물론 발생 시 전자금융감독규정 제37조의5 및 시행세칙 제7조의4에 따른 신속하고 정확한 보고를 통해 피해를 최소화하는 것이 무엇보다 중요합니다.
특히 2025년 개정된 전자금융감독규정의 취지에 맞춰 규정 준수를 넘어선 능동적 보안 관리가 필요한 시점입니다. 이번 포스트에서 정리한 전자금융감독규정 시행세칙 별지 제2호 서식 기반의 체계적인 사고보고 절차가 금융회사 담당자들의 사고 대응 역량 강화에 도움이 되기를 바라며, 이만 포스팅을 마치도록 하겠습니다. 🙂
참고 문헌 및 출처: