토스뱅크의 엔화 반값 사고의 원인이 환율 산출 프로그램에서 오류가 발생한 데다 이를 즉시 중단시킬 제동 장치도 없었던 것으로 속속 확인되고 있다. 금융회사 대부분 이같은 장치를 갖췄기에 금융감독원은 기본적인 관리 소홀이라고 꼬집었다.
금융권에서 전례가 없던 사고가 아니었기에 충분히 예방 가능했다는 지적도 나온다. 이에 전산 시스템 관리 소홀에 과태료 과징금 부과가 가능한 현행법상에서의 제재 여부도 관심이 쏠린다.
25일 금융권에 따르면 토스뱅크는 공시를 통해 엔화 환율 오류 사고로 12억5000만원의 손실이 예상된다고 밝혔다. 환전 후 다른 계좌로 옮겨진 탓에 아직 회수하지 못한 금액으로 전체 사고액은 276억원이다.
앞서 지난 10일 토스뱅크에서는 약 7분간 정상 엔화 환율 934원 대비 절반 수준인 472원으로 고시되는 사고가 발생했다. 배경에는 환율값 산출 프로그램 오류와 환율 이상 발생시 정지 프로그램 부재가 있었다.
국회 정무위원회 소속 이인영 더불어민주당 의원이 금감원으로부터 받은 자료에 따르면 토스뱅크는 엔화에 이상 변동 시스템을 적용하지 않았다. 베트남 동 등 변동성이 큰 통화들에 대해서는 급격한 환율 변동이 있을 경우 자동으로 환율 고시가 정지되지만 엔화에는 이같은 장치가 없었던 것이다.
또한 환율값을 산정하는 과정에서도 시스템 오류가 발생했다. 토스뱅크는 국내은행 1곳과 해외은행 1곳에서 환율 데이터를 받은 후 평균값을 산출해 자사 서비스상 환율로 고시하고 있다.
당일 A은행은 100엔당 933.3원으로, B은행은 1엔당 9.333원으로 데이터를 제공했다. 평상시대로라면 토스뱅크 자동 시스템은 B은행의 1엔당 9.33원 데이터에 100을 곱한 뒤 A은행 데이터와 합쳐 평균값을 내야 했다. 하지만 시스템 점검 및 개선 작업이 맞물리면서 발생한 오류로 곱하기가 누락된 것이다.
이세훈 금감원 수석부원장도 지난 20일 제1차 소비자위험대응협의회 브리핑에서 이같은 사고 경위를 지적했다. 이 수석부원장은 "최근 나타나는 일련의 사고들이 은행, 보험 같은 전통적 금융회사가 아닌 빅테크, 가상자산자업자, 인터넷뱅크 같은 후발주자들에 집중돼 있다는 점에 주목하고 있다"고 말했다.▷관련기사:금감원 "ELS 사태 재발시 감경 없어…신용대출 등 빚투 요인 점검"(20206.03.22.)
그러면서 "아무래도 전산에 대한 투자라든가 여러 관리 부분에 대해 아직 부족한 부분들이 많은 것으로 파악하고 있다"고 부연했다. 금감원은 지난 17일 토스뱅크 현장 점검을 마쳤다. 추가적인 검사 전환은 없을 예정이다.
한 금융권 관계자는 "당사의 경우 실제 환율과 기록된 환율이 특정 금액 이상 차이날 경우 자동으로 정지되도록 설정할 수 있다"며 "타 금융회사도 마찬가지인 것으로 알고 있었기에 소식을 접하고 놀랐다"고 말했다.
실제로 외환거래를 주요 사업 중 하나로 영위하는 금융회사들은 대부분 이상 환율이 탐지될 시 자동으로 고시를 중단하는 시스템을 갖추고 있다. 이후 고시 직전 환율에 거래되도록 설정한 다음 이용자가 손해를 볼 경우 보상하는 방식이다.
각각 딜링룸을 보유 중인 시중은행들의 경우 상주 직원이 상황을 모니터링 중이며 필요에 의해 직원이 직접 수기로 입력하기도 한다.
반면 토스뱅크는 내부 직원들이 오류를 인지할 수 있는 시스템은 갖췄지만 정작 발생시 정지하는 시스템은 구축되지 않았다. 이에 직원이 직접 오류 원인을 파악하고 조치를 취해야 했다. 약 7분 동안 잘못 고시된 환율로 거래가 가능했던 배경이다.
외부 데이터상 환율 소수점 표기로 인한 오류도 예방 가능한 사고였다는 지적이 따른다. 이미 전례가 있었다는 이유에서다. 일례로 지난 2010년 미래에셋증권은 소수점 누락으로 0.8원인 주문가를 80원으로 입력해 단 15초 만에 약 120억원의 손실을 낸 바 있다.
해당 사고는 증권사를 포함한 금융사들이 주문 수량과 금액에 대해 사전에 설정된 범위를 벗어나면 전송 자체가 불가능하도록 강제적인 통제 장치를 마련하는 계기가 됐다. 토스뱅크도 해당 장치를 포함한 개선방안을 신속히 마련하겠다는 입장이다.
다만 이미 발생한 사고에 대한 제재는 피하기 어려울 것으로 보인다. 이세훈 수석부원장은 "최근 IT 금융사고의 원인을 진단해보면 기본적인 관리를 소홀히 해서 나타나는 경우가 많다"며 "이런 기본이 안돼서 사고가 발생하는 것들에 대해서는 금전적 측면에서 확실한 패널티를 부과하려 한다"고 말한 바 있다.
현행 전자금융거래법 제46조에서는 금융회사 또는 전자금융업자가 안전성 확보 의무를 위반해 전자금융사고를 발생시킨 경우 업무를 정지하거나 최대 5000만원까지 과징금을 부과되도록 한다.
또 제51조에서는 기록 보존, 보안 표준 준수 등 안전성 확보 의무 준수 사항을 위반한 경우 위반 사항에 따라 5000만원 이하의 과태료를 부과할 수 있다. 해당 사고에 대한 제재 여부는 현재 금감원 IT검사국에서 검토 중이다.
