온라인 뱅킹 운영 위험 사례

최근 금융 분야에 정보 기술이 심화되면서 온라인 뱅킹이 급속도로 발전하고 가속화되는 추세를 보이면서 운영 리스크도 새로운 추세를 보이고 있습니다. 다음은 제가 참고용으로 정리한 온라인 뱅킹 운영 리스크 사례입니다.

온라인 뱅킹 운영 리스크 사례 1

1. 사례 이력

어느 날, 50대 남성이 30대 여성과 함께 전자금융 등록을 위해 한 영업점을 찾았습니다. 남성이 제시한 신분증은 진품이고 유효하며, 그가 보유한 은행카드도 일반 카드로 전자뱅킹을 직접 처리할 수 있는 요건을 충족한다. 그러나 세심한 창구 직원이 그와 대화를 해보니 그 남자는 상대적으로 무뚝뚝하고 표정도 약간 무뚝뚝한데 비해 그와 함께 온 여자는 매우 슬기롭게 행동했다. 창구 직원이 남자와 더 많은 대화를 나누자 여자는 더욱 흥분해 더욱 강렬한 말로 창구 직원을 압박했다. 창구 직원은 압력을 견디고 인내심을 갖고 자세히 이해한 끝에 마침내 온라인 뱅킹을 신청한 남자가 자신을 위한 것이 아니라 여자를 위한 것이며 서로 별로 친숙하지 않다는 것을 알아냈습니다. 경제 범죄를 저지르기 위해 다른 사람을 이용해 온라인 뱅킹에 등록하는 범죄자에 대한 최근 사례 보고에 따르면, 창구 직원은 이 사업에 숨겨진 위험에 대해 경고를 받았습니다. 고객의 이익을 보호하고 은행의 신뢰성을 유지하기 위해 창구 직원은 남성의 온라인 뱅킹 신청을 정중하게 거부했으며 여성에게 온라인 뱅킹을 이용하려면 은행에 실제적이고 유효한 신분증을 지참해야 한다고 알렸습니다. 언제든지 어느 지점에서나 온라인 뱅킹 등록을 신청할 수 있습니다.

2. 사례 분석

사건의 전체 과정으로 볼 때 이는 타인의 합법적이고 유효한 문서를 이용하여 자신이 사용할 목적으로 온라인 뱅킹을 수행하는 전형적인 사례입니다. 창구 직원이 높은 책임감과 예민한 주의력을 갖고 있지 않고 단순히 시스템과 절차에 따라 행동한다면, 비록 합법적이고 준수적인 업무라 할지라도 쉽게 위험을 초래할 수 있습니다. 위험이 현실화되면 고객에게 경제적 피해를 줄 뿐만 아니라 은행에도 부정적인 영향을 미치게 됩니다.

3. 사례계몽

현재 은행의 전자금융 등록은 “내가 직접 하고, 서명하고, 내가 제출한다”는 원칙을 바탕으로 하고 있다. 실제 업무 중에는 은행 창구 직원이 더욱 엄격하게 업무를 수행해야 합니다. 그러나 은행 등 사회단체의 모니터링은 아직까지 스스로 이뤄지는 지 여부에 대해서는 공백 상태다. 그러나 업무 처리 과정에서 창구 직원들이 직접 처리하고 이용하는지 여부를 눈에 보이지 않게 적극적으로 분석하고 판단할 수 있다. 은행의 전자 뱅킹 방화벽에 레이어를 추가합니다. 이번 사건을 통해 우리는 다음과 같은 사실을 알 수 있다.

(1) 창구 직원은 업무 처리 시 말과 표정에 주의를 기울여야 한다. 이러한 유형의 업무를 처리할 때 창구 직원은 평소 연구하는 사건 예방 사례를 종합하고 신청자의 온라인 뱅킹 등록 신청이 자신의 의지의 표현인지 여부, 신청자의 표현이 의심스러운 사람이 있는지 여부를 의식적으로 관찰해야 합니다. 타인에 의해 조작되고 조작될 가능성이 있는지 여부는 자연스러운 표현입니다.

(2) 서비스 중에 고객과 더 많은 의사소통을 하십시오. 서비스 과정에서 창구 직원은 친절하고 의도적인 의사소통을 통해 점차적으로 많은 고객의 숨겨진 문제를 표면으로 드러낼 수 있습니다. 많은 당국이 '혼란' 상태에 빠져 있습니다. 의무를 다하는 서비스 제공자로서, 상대방을 보호하기 위해서는 진실을 이해하고 설득하여 혼란에서 벗어나 '정신 있는' 상태에 도달해야 합니다.

(3) 고객에게 온라인 뱅킹 위험에 대해 알리는 일을 잘 수행하십시오. 고객을 위한 온라인 뱅킹 서비스를 처리할 때는 인내심을 가지고 자세한 설명을 제공하고 온라인 뱅킹 서비스를 타인에게 빌려줌으로써 발생할 수 있는 위험과 법적 책임을 고객에게 명확하게 알려 주십시오. 동시에, 거부된 고객이 위험 예방 때문에 우리 은행에 불만을 품지 않도록 통지 기술에 주의를 기울이십시오. 현실적으로 온라인 뱅킹을 쉽게 처리할 수 있습니다.

온라인 뱅킹 운영 리스크 사례 2

사용자 Xu 씨는 채팅 채널에서 누군가가 특정 온라인 게임에서 게임 코인을 싸게 팔라고 소리치는 것을 보았습니다. 이후 쉬 씨는 상대방이 남긴 QQ 번호를 통해 상대방에게 연락했다. 상대방은 Xu씨를 유명 온라인 게임 거래 플랫폼 "5173"에서 거래하도록 초대하고 5173에 대한 제품 링크를 제공했습니다.

쉬씨가 중국농업은행 온라인 뱅킹을 이용해 구매 대금을 결제한 후 거래가 실패했다는 메시지가 페이지에 표시되었습니다. Xu 씨는 상대방에게 물었고, 상대방은 Xu 씨에게 "5173 고객 서비스 QQ" 번호를 제공하고 Xu 씨에게 고객 서비스에 연락하여 해결책을 협상하도록 요청했습니다.

Xu 씨가 고객 서비스와 통신한 후 고객 서비스에서는 Xu 씨에게 확인을 위해 이름, ID 번호 및 기타 정보를 제공하도록 요청했습니다. Xu 씨가 진실을 제공한 후 고객 서비스에서는 Xu 씨에게 환불 링크를 제공했습니다. 하지만 Xu 씨가 그것을 연 후 결제 승인을 위한 인터페이스에 들어갔습니다.

Xu 씨는 이 페이지에 대해 혼란을 나타냈고, 고객 서비스에서는 Xu 씨가 환불 작업을 완료할 수 있도록 원격으로 지원하기 위해 즉시 제안했습니다. 이후 Xu씨는 QQ를 통해 상대방의 컴퓨터 원격 조작에 동의했습니다. 승인을 완료한 후 Xu씨는 상대방의 조작이 의심스럽다고 느꼈고 상대방의 원격 조작을 즉시 종료했습니다.

그러나 쉬 씨가 자신의 중국 농업은행 계좌를 확인해 보니 이미 지급 기록이 5,900위안인 것을 발견했습니다.

이 가운데 앞서 결제한 900위안은 실제로 휴대폰 충전카드였는데, 충전카드의 행방은 알려지지 않았다. 나머지 5000위안의 행방도 알려지지 않았다.

온라인뱅킹 운영리스크 사례 3

은행의 개인계좌에 있는 자금이 해당 은행의 온라인뱅킹 시스템을 통해 다른 은행의 개인신용카드와 연동된 가상카드계좌로 이체되면, 가상카드계좌 카드계좌에 표시된 금액이 실제 이체금액의 2배였습니다. 은행 시스템에서 이런 허점을 발견한 29세 남성은 이 방법을 이용해 은행에서 1935만 위안 이상을 얻었고 추가로 769만 위안 이상의 당좌차월을 받았다. 2016년 6월, 지방자치법원에서 이 사건 심리가 진행되었으며, 판결은 선택적인 날짜에 발표될 예정입니다.

1. 사건 개요

샤오웨이는 2014년 한 은행의 개인계좌에 있는 자금이 다른 은행의 개인 신용카드에 연결된 가상계좌로 이체된 사실을 발견했다. 은행 온라인뱅킹 시스템을 통해 가상카드계좌를 확인해보니 가상카드계좌에 표시된 금액이 실제 이체금액의 2배로 나타났다.

처음에 Xiao Wei는 그것이 단순한 사고라고 생각했지만 테스트를 통해 은행 시스템에 이러한 취약점이 있음을 발견했습니다. 이후 샤오웨이는 자신 명의의 저축카드와 은행 신용카드 4장, 아버지 명의의 은행 신용카드 3장을 사용해 같은 작업을 반복하고 저축카드 계좌에서 가상카드 계좌로 자금을 이체했다. , 잔액이 2배가 된 후 가상카드계좌에서 결속된 개인신용카드를 통해 저축카드계좌로 자금을 이체하거나, 가상카드계좌에서 귀하의 다른 개인은행계좌로 자금을 이체합니다. 제어한 후 다시 저축카드로 이체하는 Account 방식의 반복적인 작업을 수행합니다. 샤오웨이는 11일 만에 248건의 거래를 했고, 그의 계좌에 총 3,528만 위안이 넘는 금액이 추가됐다.

부풀려진 자금 중 일부 게시 지연, 은행 감시 시스템 수정 등의 이유로 사건 당시 실제로 부풀려진 자금 중 1935만위안(약 1억5000만원) 이상이 탈취됐다. 동시에 Xiaowei는 운영 중에 은행 자금을 769만 위안 이상 초과인출했으며 실제로 얻은 두 자금의 합계는 2704만 위안 이상에 달했습니다.

자금강탈당한 한 은행 후베이지점은 샤오웨이가 관리하는 7개의 신용카드 계좌에 거액의 자금이 들어오고 나가는 사실을 발견했고, 이체금액이 이체금액을 훨씬 초과해 신용카드 사용 규정을 준수하지 않아 당좌대월 한도를 초과해 카드 발급은행인 장한지점에 통보됐다. 다음날 장한지부는 이 사건을 공안기관에 신고했다. 조사 끝에 공안부는 이날 23시쯤 장안구의 한 호텔에서 샤오웨이를 체포했다.

사건 이후 공안기관은 샤오웨이가 이체·사용한 자금 중 일부를 추적해 677만위안(약 67억원)이 넘는 자금을 회수했다. 자금을 탈취한 은행은 샤오웨이에게 전화와 방문을 통해 수차례 돈을 갚아달라고 요청했다. 샤오웨이는 102만 위안 이상을 반환했지만, 여전히 갚을 수 없는 금액이 1925만 위안 이상이다.

2. 상업은행의 정보기술 리스크 예방이 미흡하다

현재 과학기술의 급속한 발전으로 인해 전자금융상품이 늘어나고 그 기능도 다양해지고 있다. 온라인뱅킹과 모바일뱅킹도 꾸준히 도입되면서 경쟁은 점점 치열해지고 있다. 다양한 소프트웨어의 취약점으로 인한 위험이 빠른 속도로 노출되고 있습니다. 이번 사건에서는 은행의 온라인뱅킹에 허점이 있어 피고인이 이를 악용해 은행 자금을 확보하게 되면서 은행이 손실을 입게 됐다. 이 경우 은행이 직면한 위험은 정보기술 위험으로 분류되어야 합니다. 정보 기술 위험은 정보 시스템의 계획, 연구 개발, 구축, 운영, 유지 관리, 모니터링 및 출시의 기술 및 관리 결함으로 인해 발생하는 운영, 법률 및 평판 위험을 의미합니다.

정보 기술 위험의 주요 원인은 다음과 같습니다. (1) 시스템 재해 복구 메커니즘이 완벽하지 않고 비상 대응 계획이 완벽하지 않습니다. (2) 상업은행의 정보시스템 구축은 아웃소싱 방식을 채택하고 있어 잠재적 위험이 상대적으로 두드러진다. (3) 점점 더 많은 응용 정보 시스템이 효과적으로 통합되지 않아 시스템 보안 위험이 증가합니다. (4) 과학기술적 소프트웨어, 하드웨어 인프라가 취약하다. (5) 정보시스템 운영 지원 능력이 부족하여 백업된 데이터가 훼손될 우려가 있다. (6) 정보시스템 보안에는 숨겨진 위험이 있습니다. (7) 조기경보 및 모니터링 시스템의 개선이 시급히 필요하다. (8) 과학기술정보파생상품에 대한 위험관리가 확립되어 있지 않습니다.

3. 위험 계몽

정보 시스템 위험을 예방하고 정보 기술 위험 관리 및 통제 시스템을 구축하는 것이 핵심입니다. 상업은행은 선진 금융기관의 모범 사례와 국제 표준을 배우고 비즈니스 요구에 따라 진행하며 조직 구조, 인력, 기술 및 프로세스의 네 가지 측면에서 정보 기술 위험 관리 및 통제를 강화하고 정보 기술 위험 관리를 연구 및 확립해야 합니다. 시스템 및 통제를 통해 사전에 예방 조치를 취하고, 행사 중 통제와 사후 점검을 통해 기술적 예방 중심의 소극적 정보보안 업무를 예방 중심의 선제적 정보기술 위험 관리 및 통제로 전환합니다.

(1) 상업 은행 업계의 정보 기술 위험 관리 및 통제에 대한 조직적 리더십을 강화합니다. 시스템 전반에 걸친 하향식 정보 기술 위험 관리 및 제어 시스템을 구축하고, 정보 기술 위험 관리 및 예방 책임을 구현하고, 최고 경영진에 집중하기 위해 내부 및 외부적으로 협력하고, 비즈니스 개발과 정보 기술 위험 예방 간의 관계를 적절하게 처리합니다. 정보 기술에 대한 투자를 늘리고 정보 기술에 숨겨진 주요 위험을 제거하기 위한 사전 조치를 취합니다. 과학기술팀 건설을 중시하고 안정적이고 단결하며 효율적인 과학기술팀을 구축해야 합니다. 복합인재 양성을 강화하고 정보기술 인력에 대한 목표 교육을 조직하며 인재 도입을 늘리고 인적 자원을 효과적으로 통합해야 합니다. 기술 위험 예방과 관련된 인센티브, 보상 및 처벌 메커니즘은 정보 기술 위험 예방 및 통제에 대한 시너지를 형성하여 상업은행의 사업 개발과 기술 위험 관리 및 통제에 대한 강력한 인적 지원을 제공합니다.

(2) 정보 기술의 주요 측면에서 위험 예방을 강화합니다. 첫 번째는 정보시스템의 운영지원 능력을 향상시키는 것이다. 단일 실패 지점을 제거하기 위해 과학 기술 소프트웨어 및 하드웨어 시설에 대한 투자를 늘립니다. 다양한 관리 시스템을 개선하고 비상 계획을 수립하며 훈련을 조직하여 위험 저항 및 비상 대응 능력을 향상시킵니다. 두 번째는 정보시스템의 안전운영체계를 개선하는 것이다. 컴퓨터실, 네트워크 장비, 호스트 장비, 네트워크 및 데이터 액세스, 기술 인력 운영 위험에 대한 포괄적인 보안 평가를 수행합니다. 정보기술 리스크 관리 부서 및 직위를 설치하고 개발, 운영, 유지 관리 및 기타 직위의 분리와 핵심 직위의 AB 코너 할당을 엄격히 실시하고 관련 관리 시스템을 개선합니다. 세 번째는 프로젝트 아웃소싱 리스크 관리를 강화하는 것입니다. 외주업체의 규모, 기술수준, 업무지원능력, 비밀유지 등을 종합적으로 평가하고, 외주계약 시 시스템 핵심 소스코드 및 관련 정보를 외주업체에 제공하도록 명확히 요구합니다. 핵심 비즈니스 시스템을 독립적으로 개발하고 가능한 한 빨리 시스템 보안 정책을 구성할 수 있는 은행 기술 인력의 능력을 향상시킵니다. 넷째, 업무시스템 리스크 관리 및 통제를 강화한다. IT 시스템의 결함 및 결함으로 인해 발생한 경우에는 직원 통제, 시스템 통제, 시스템 통제가 제대로 이루어지도록 교훈을 종합하고 양심적으로 수정해야 합니다.

(3) 지속적인 비즈니스 운영을 보장하기 위해 재해 복구 메커니즘을 개선합니다. 대규모 데이터 집중 후에도 상업 은행은 여전히 ​​로컬 데이터의 보안을 보장하는 데 중점을 두어야 합니다. 상대적으로 데이터 요구 사항이 높은 일부 거래 데이터의 경우 하드웨어 이중 시스템 백업 또는 애플리케이션 백업을 채택해야 합니다. 독립 법인은 네트워크 재해 복구 측면에서 데이터의 보안과 무결성을 보장하기 위해 오프사이트 재해 백업 센터 구축을 가속화해야 하며, 현재 이중 병렬 주 및 보조 네트워크를 활성화할 수 있는 조건이 없는 기관은 다음을 선택할 수 있습니다. 같은 지역의 다른 매장에 분산시키십시오. 갑작스러운 장애의 영향을 완화하기 위해 다른 네트워크 공급자로부터 회선을 임대하십시오.

(4) 정보 시스템의 통합을 개선하고 다양한 시스템을 최적화합니다. 정보시스템의 수가 증가함에 따라 보안 위험도 증가할 수밖에 없기 때문에 시중은행은 종합적인 중앙집중화를 기반으로 이미 출시, 출시 예정인 다양한 정보시스템을 최적화하고 통합해야 한다. 비즈니스 데이터를 관리하려면 고객 요구 사항의 변화에 ​​따라 정보 자산 위험 관리를 위한 적응형 통합 프레임워크를 구축해야 합니다. 기존 비즈니스 프로세스, 데이터 정보, 데이터 애플리케이션 및 데이터 제어를 적극적으로 통합하고, 중복된 기능을 가진 정보 시스템을 병합하고, 내부 및 외부 연결 수를 줄이고, 상호 관련된 정보 시스템을 최적화하고, 정보 시스템의 보안 요소를 향상시키는 것이 필요합니다. .

(5) 과학기술 정보 위험에 대한 감독을 강화하고 위험 관리 및 통제 능력을 향상시킵니다. 첫째, 규제 당국은 비즈니스 시스템의 성격과 숨겨진 자산 가치, 네트워크에 따라 상업은행 정보 자산 위험 평가 및 가격 책정 기준을 해결하는 데 중점을 두고 상업 은행 정보 자산 위험을 감독하기 위한 표준 시스템을 신속하게 탐색하고 구축해야 합니다. 운영 특성, 운영자 품질 등 정보 자산 위험 수준과 관리 요구 사항을 과학적으로 구분합니다. 둘째, 시중은행의 정보자산 리스크 감독을 위한 법적 체계를 조속히 구축하고, 시스템 개발, 이용, 유지, 관리, 네트워크 운영자와 IT 기업의 자격 및 품질 등 모든 차원에서 관련 지침을 제공해야 합니다. 시스템은 연구개발부터 사용까지 전 과정을 준수하고 있습니다. 세 번째는 과학기술 정보 리스크에 대한 현장 점검을 더욱 강화하는 것입니다. 풀뿌리 상업은행은 위험 예방 능력이 취약하여 위험에 노출되기 쉽습니다.