[금융권 보안 비상] 비용 아끼려 전산업무 아웃소싱… 협역업체에 전권

금융권 전산망 왜 곳곳서 뚫리나

첨단 기술의 최전선인 금융권에 상식 밖의 일들이 벌어지고 있다. 협력업체의 노트북 한 대가 농협 533개 서버를 망가뜨리는가 하면 현대캐피탈은 두 달간 해킹된 사실을 몰랐다. 급기야 농협은 20여년 전 사라졌던 수기장부를 통해 거래 내역을 정리하는 등 수선을 떨었다.

언제, 어디서나 금융결제가 가능한 ‘유비쿼터스’ 세상이지만 금융권의 보안의식은 구태를 벗지 못하고 있다. 그 이면에 정보 보안은 뒷전인 채 비용절감만 내세운 안이한 태도가 자리 잡고 있다.

◇비용절감한다며 협력업체에 전권=농협 전산 장애는 협력업체인 한국IBM 직원 노트북에서 내려진 파일 삭제 명령(rm 및 dd)이 원인이다. 이 명령을 내릴 권한은 농협 최상위급 관리자에게만 주어져야 하지만 농협 IT본부에는 이 명령을 관할하는 직원조차 없었다.

명령 권한을 하급자가 갖기 위해서는 세부 내역을 기록하고 일정한 절차를 밟아야 한다. 그러나 권한이 전혀 없는 협력업체 직원 노트북에서 명령이 내려진 데 대해 농협은 아직도 이유조차 파악하지 못하고 있다. 전산망 관리를 아웃소싱하지 않았더라면 이런 혼란은 없었을 것이라는 게 전문가들의 지적이다.

실제 제1금융권의 전산업무 인력은 아웃소싱 인력이 절반 가까이를 차지하고 있다. 금융감독원이 한나라당 이성헌 의원에게 제출한 자료에 따르면 지난해 8월 말 기준 16개 시중은행의 IT 담당자 6240명 가운데 아웃소싱 인력이 3518명(43%)에 이른다. 제2금융권에서는 생명보험회사 64%, 카드사 72%, 손해보험회사 86% 등으로 협력업체가 IT를 장악하고 있어 내부 통제 능력이 떨어질 수밖에 없다.

금감원은 보안 예산 비중을 5%로 권고하고 있지만 시중은행의 비중은 2008년 4.4%에서 지난해 3.4%로 줄었다. 특히 농협은 최근 3년 사이 관련 예산을 48억원에서 14억원으로 3분의 1 이상 줄였다.

◇법·제도적 보완장치 필요=금융보안 사고를 막기 위해서는 관련 조직을 신속히 통제할 수 있는 컨트롤 타워가 절실하다는 목소리가 높다. 또 처벌 위주로 돼 있는 정보통신망법 전자금융거래법 등을 고쳐 예방 장치를 마련해야 한다는 지적도 나온다.

또 전자금융실무협의회 금융정보보호협의회 국가침해사고대응전문기관협의회 한국침해사고대응팀협의회 등 유관기관을 연계하는 한편 금융 거래에 전문성을 가진 기관도 육성할 필요가 있다. 금감원도 전 금융사를 대상으로 현행 체계를 분석한 뒤 금융정보공유분석센터(ISAC) 등과 대책 마련을 위한 TF를 구성하는 방안을 검토 중이다.

강준구 기자 eyes@kmib.co.kr