금융IT, 내부통제 허술 첨단시스템도 무용지물

입력: 2011-04-18 19:57 신혜권 기자

폰트

DRㆍBCP 체계 역할 못해 사태장기화
'사후약방문' 감독당국 대응도 화 키워

세계적으로 선진 기술을 자랑하던 대한민국 금융IT에 연이어 악재가 터졌다. 더욱이 은행권을 중심으로 최대 수 천억원에서 수 백억원의 예산을 투입해 IT인프라를 갖춰온 상황이라 이번 사태는 금융권 내부에서도 심각한 상황으로 받아들여지고 있다. 디지털타임스는 5회에 걸쳐 총체적으로 위기에 빠진 대한민국 금융IT의 문제점을 분석, 해결방안을 제시하고자 한다.

■ 금융권 IT시스템 이대로는 안된다
(1) 총체적 위기 직면한 대한민국 금융IT

최근 발생한 현대캐피탈 고객정보 유출사고와 농협의 전산장애는 금융사 전체와 감독당국의 역량 부족으로 인한 것이라는 게 전문가들의 공통된 의견이다. 전문가들은 이번 사고 원인으로 △내부통제 관리 소홀 △제 몫 못하는 재해복구(DR)시스템과 업무연속성계획(BCP)체계 △현실성 없는 금융감독 등을 꼽고 있다. 또 금융IT에 대한 인식부족도 이러한 사태를 초래하게 한 큰 원인이라고 지목하고 있다.

사상 최대 규모의 전산장애를 일으킨 농협은 지난 2009년 2000억원을 투입해 차세대시스템을 구축했다. 당시 농협은 첨단 IT기술을 활용해 계정계시스템을 비롯한 은행 내부업무시스템을 모두 재구축했다.

그러나 주요 정보시스템에 대한 접근제어 등 내부통제를 명확히 하지 않아, 첨단시스템을 한 순간에 무용지물로 만들어 놨다. 특히 이번 장애는 협력업체인 한국IBM 직원에게 모든 데이터 삭제 명령을 내릴 수 있는 권한을 부여했다는 점에서 제대로 된 내부통제시스템이 있는지 의구심을 갖게 하고 있다.

무용지물에 가까운 DR시스템과 BCP 체계도 이번 사태를 장기화시킨 주범으로 지목되고 있다. 농협은 경기도 안성에 제2전산센터를 구축, 서울 양재동 제1센터의 백업센터로 활용하고 있다. 특히 인터넷뱅킹시스템 등은 두 센터의 정보시스템을 모두 활용하는 하이브리드형으로 운영하고 있다.

그러나 실제 DR시스템이 필요한 상황에서는 가동조차 못했다. 더욱이 이번 데이터 삭제 시 백업센터 데이터도 함께 삭제되는 등 주센터와 분리해 운영해야 하는 기본 원칙도 지켜지지 않았다. BCP 체계를 적용하지 못한 것도 문제점으로 지적되고 있다. 대부분의 국내 금융회사들은 막대한 컨설팅 비용을 투입해 BCP 체계를 수립한 상태다. 하지만 체계 수립과 훈련이 형식적으로만 이뤄지다 보니 실제 필요한 상황에서는 BCP 매뉴얼을 꺼내지 조차 못하는 경우가 대부분이다.
사후약방문 격인 금융감독 당국의 대응방안도 문제다. 대형 사고가 발생후 태스크포스팀(TFT)을 구성해 대응방안을 마련한다고 하지만, 실질적인 대응방안이 발표된 적은 거의 없다. 게다가 금융감독원 내 IT감독 인력은 소수에 불과하고, 이 중 전문적인 IT지식을 갖고 있는 인력은 극소수여서 실질적인 IT감독을 수행하기에 한계가 있다는 것도 문제다.

대표적인 사례가 금융회사 최고정보책임자(CSO) 전임제도 신설이다. 국내 금융업체의 CSO는 대부분 최고정보책임자(CIO)가 겸직하고 있다. 이 상황에서 보안만을 전담하는 별도의 임원을 신설하기가 쉽지 않은 상황이다.

그럼에도 불구하고 금융감독당국은 SCO 임명만이 금융회사의 보안 수준을 높이는 것이라고 판단, 제도 도입을 적극 추진하고 있다. 이동훈 고려대학교 정보보호학과 교수는 "빠른 속도로 변화하는 IT기술에 맞춰 보안 체계를 만들고 대응체계를 장기적으로 유지하려면 다양한 수준의 보안인력을 갖추고 그동안 소홀히 했던 금융권 보안 이슈를 재점검해야 한다"고 강조했다. CSO제 도입이 능사가 아니라 전반적인 금융권 보안이슈를 점검해야 한다는 것이다.

장애가 발생하지 않으면 관심을 갖지 않는 금융회사 내부의 문화도 문제다. 금융IT 조직은 대부분 적은 인력으로 많은 업무를 처리해야 하기 때문에 잦은 야근에 휴일 근무가 다반사다. 또 업무 특성상 업무가 종료된 저녁 이후에나, 휴일에 근무를 해야 하는 경우도 많다. 열악한 근무 환경임에도 불구, IT조직은 늘 비용 조직이라는 인식으로 구조조정 대상에서 우선 순위에 놓여 있다. 많은 금융사들이 IT아웃소싱을 추진하는 것도 이러한 배경에서다.

신혜권ㆍ김지선기자 hkshin@ㆍdubs45@

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

금융IT, 내부통제 허술 첨단시스템도 무용지물

이 시간 핫클릭

핫 이슈!