왜 지금인가 — 1년 3건, 빅테크가 멈췄다
2026년 6월 24일 오전 10시, 서울 여의도 금감원 본원. 한국에서 가장 큰 핀테크 6개사의 CIO와 감사담당자가 같은 회의실에 앉았다. 네이버파이낸셜, 카카오, 카카오페이, 카카오모빌리티, 비바리퍼블리카(토스 운영사), 토스페이먼츠. 어떤 행사장이 아니라 금감원이 부른 자리였다.
이유는 단순하다. 올해 들어서만 빅테크 계열에서 큰 전산사고가 3건 났다. 시점도, 표면적 원인도 달라 보이지만, 안을 들여다보면 모두 같은 그림이다.
2026.01 — 인증 서비스 중계 서버의 업데이트 오류로 결제·충전·송금 등 전체 서비스가 약 30분 중단됐다. 토큰 검증을 책임지는 인증 레이어가 부분 실패하면 모든 트랜잭션이 막힌다.
2026.02 — 포인트 적립 이벤트가 시작되자 트랜잭션이 급증, 데이터베이스 서버가 풀(pool) 한계를 넘어 과부하에 빠졌다. 주문·결제 서비스가 약 4시간 멈췄다.
2026.06 — 배치성 잡(일괄작업)의 동시실행 차단시간(lock window) 설정 오류로, 동일한 자동이체 작업이 중복 실행됐다. 같은 금액이 두 번 출금되는 사고가 났다.
3건이 별개의 우연 같지만, 금감원의 진단은 한 줄이다. "프로그램 변경 시 사전 성능검토나 부하테스트, 제3자 검증 누락 등 기본적인 IT 내부통제가 미흡했다." 이종오 디지털·IT 부원장보는 같은 자리에서 다음과 같이 못 박았다.
"빅테크 계열 전자금융업자도 전통 금융회사 이상의 IT 안정성을 확보해야 합니다. 방대한 개인정보가 집적되는 만큼, 정보 유출 방지를 위한 내부통제와 개인정보 관리 체계를 전면 재점검해 미흡 사항을 즉시 보완해 주십시오."
핵심 단어는 '이상의'다. 이제 빅테크는 더 이상 'IT 회사가 부수적으로 금융을 한다'가 아니라 금융 인프라 그 자체로 간주된다. 토스가 금융복합기업집단으로 지정된 사건(EP60), 전자금융거래법 개정으로 매출 3% 징벌적 과징금이 도입된 사건(EP52)과 같은 흐름의 연장선이다.
어디가 비었나 — 변경 → 검증 누락 → 사고
금감원이 지적한 '미흡한 게이트' 3개를 보자. 사고가 일어나는 메커니즘은 모두 같다. 코드 변경이 들어오는데, 변경을 검증하는 게이트가 비어 있어서, 변경이 운영 환경에 그대로 반영된다. 그리고 첫 트래픽 피크에서 터진다.
① 사전 영향 분석 (Impact Analysis)
변경이 인접 시스템, 계열사 모듈, 외부 의존성에 어떤 파급을 미칠지 사전에 예측하는 단계. 원앱 구조에서는 결제→포인트→인증이 모두 같은 트랜잭션 그래프에 묶여 있다. 한 곳을 건드리면 다른 곳이 떨어진다.
② 부하 테스트 (Load Test)
peak QPS, DB 커넥션 풀 한계, 캐시 미스 시나리오까지 시뮬레이션해서 통과 못 하면 운영 반영을 막는 단계. 2월 사고처럼 '이벤트성 트래픽'을 예측하지 않은 채 배포하면 DB가 죽는다.
③ 제3자 검증 (Third-party Review)
코드를 작성한 개발팀 외부의 독립된 시선 — 보안팀, CISO, 외부 감사 — 가 함께 보는 단계. '내가 짠 코드는 내가 가장 잘 안다'라는 익숙한 함정을 끊어내는 장치다.
3건의 사고는 이 3개 게이트 중 적어도 하나가 비어 있던 결과다. 인증 서버 업데이트가 충돌을 일으킨 1월 사고는 ①과 ③의 부재였다. 포인트 이벤트가 DB를 죽인 2월 사고는 ②의 부재였다. 자동이체가 중복 실행된 6월 사고는 ③의 부재였다.
어떻게 바뀌는가 — 5계층 SDLC 통제
6.24 간담회에서 합의된 방향성을 정리하면, 빅테크가 도입해야 할 통제는 5개 계층으로 구성된다. 사고 발생 후에 잡는 사후 대응이 아니라, 변경이 운영에 닿기 전에 5개 게이트를 모두 통과해야 한다는 구조다.
이 구조를 SRE 관점에서 단순 코드로 표현하면 다음과 같다. 빅테크 내부에서는 이미 비슷한 파이프라인을 갖춘 곳도 있지만, 6.24를 기점으로는 비어 있는 게이트가 있다면 그 자체로 감독 대상이 된다.
change_gate:
impact_analysis: "required" # L1
load_test: # L2
peak_qps: "x3 of baseline"
db_pool: "saturate to 90%"
third_party_review: "CISO + 외부 감사" # L3
batch_lock_window: "distributed lock + idempotency"
bulkhead: "cell-per-service" # L4
customer_care: "notify + alt-channel + refund" # L5
on_fail: block_deploy # 게이트 미통과 → 운영 반영 차단
on_pass: canary → 5% → 25% → 100%
이 파일에서 가장 무거운 줄은 두 개다. on_fail: block_deploy와 idempotency. 게이트를 통과 못 하면 운영 환경에 닿을 수 없게 하고, 배치 잡은 중복 실행돼도 결과가 한 번만 반영되게 한다. 6월 자동이체 중복출금 사고는 idempotency 키가 없었다는 한 줄짜리 누락으로 결국 거슬러 올라간다.
BEFORE → AFTER: 빅테크 IT 거버넌스 표준화
| 항목 | BEFORE — 2026 상반기 | AFTER — 6.24 이후 |
|---|---|---|
| 변경 검증 | 자율 / 팀별 재량 | 5계층 게이트 표준 |
| 부하 테스트 | 선택 / 누락 빈번 | peak QPS 3배 의무 |
| 제3자 검증 | 개발팀 내부 리뷰 | CISO + 외부 감사 |
| 장애 격리 | 원앱 공통 인프라 | Cell-per-Service |
| 사고 시 보상 | 사후 협상 | 사전 SOP·합리적 보상 |
| 감독 강도 | 사후 검사 | 반복 사고 시 현장점검 |
커리어 인사이트 — 빅테크 IT 거버넌스 3대 직무
이 변화는 채용 수요로 곧장 옮겨진다. 빅테크는 '제품을 만드는 엔지니어' 중심의 조직 구조에서, '제품 + 안정성 + 감사'의 3축으로 빠르게 재편될 가능성이 크다.
특히 IT 감사·GRC는 그동안 전통 은행에 편중돼 있던 직무였다. 6.24 이후로는 네이버파이낸셜·카카오페이·토스 같은 빅테크에서도 본격적인 채용 트랙이 열린다. 금감원이 명시한 '제3자 검증'은 곧 'GRC 엔지니어를 안 뽑으면 게이트를 못 통과한다'라는 뜻이기 때문이다.
타임라인 — 빅테크 IT 거버넌스가 표준화되는 과정
마무리 — 빅테크는 더 이상 IT 회사가 아니다
6.24 간담회를 한 줄로 요약하면 이렇다. 빅테크는 IT 회사로 시작했지만, 이제는 금융 인프라로 감독받는다. 동일한 사고가 전통 은행에서 났다면 분기 검사에서 끝나지 않는 일이다. 이제는 네카토에서도 그렇다.
SDLC에 5계층을 내재화하는 것은 단순한 컴플라이언스 체크가 아니다. 그 자체가 제품의 생존 조건이 된다. 한 번의 대형 사고가 매출의 3%를 가져가는 시대, 한 줄짜리 idempotency 누락이 회사 전체 분기 실적을 흔드는 시대가 7개월 뒤다.
핀테크에서 일하는 사람에게도, 핀테크에 합류하려는 사람에게도, 이 흐름은 새로운 기회를 만든다. 제품을 빠르게 만드는 능력만큼이나 제품이 안 죽게 만드는 능력이 평가받는다. SRE, 부하 엔지니어, IT 감사 — 그 중 어떤 트랙이든 지금부터 5계층 게이트를 자신의 언어로 설명할 수 있어야 한다.
- 디지털데일리 (2026.06.24) "전통 금융사 이상 IT 안정성 갖춰야"…금감원, 빅테크 CIO 간담회 https://www.ddaily.co.kr/page/view/2026062411295489791
- 헤럴드경제 (2026.06.24) 금감원, 네이버·카카오·토스 등 CIO 소집 '전산사고 예방' 주문 https://biz.heraldcorp.com/article/10786158
- 헤럴드경제 (2026.06.24) 금감원, 빅테크 전자금융사에 '전산사고 예방' 주문 https://biz.heraldcorp.com/article/10786470
- 이투데이 (2026.06.24) 결제 중단·중복 출금 잇따르자⋯금감원, 빅테크 내부통제 점검 https://www.etoday.co.kr/news/view/2596586
- 법률신문 (2026) 2026년 디지털·IT부문 금융감독 업무설명회의 주요내용 및 시사점 — 제3자 IT리스크 가이드라인 예고 https://www.lawtimes.co.kr/news/articleView.html?idxno=217450
- 뉴스핌 (2026.06.19) 이번주 국내 주요 금융일정(6.22~6.26) https://www.newspim.com/news/view/20260619000885
- FinIT Log 연결 EP — EP11(토스뱅크 환율 오류), EP28(Cell-Based Architecture), EP52(전자금융거래법 개정), EP60(토스 금융복합기업집단)