금융감독원이 18일 데이터센터 화재로 서비스 장애를 일으킨 카카오 금융계열사의 컨틴전시 플랜(비상계획)이 제대로 갖춰졌고, 사고 뒤 정상 가동됐는지에 대한 조사에 착수했다. 컨틴전시 플랜은 말 그대로 예상치 못한 사고를 가정한 대응 시나리오다. 그러나 국민일보가 카카오뱅크의 위험대응체계 등을 확인한 결과 데이터 손실 등 정보기술(IT) 위험에 대한 대비가 부실했던 것으로 나타났다.
정부 등에 따르면 금감원은 이번 주 중 카카오 금융계열사의 컨틴전시 플랜 적정성과 대응조치 내역 적절성 분석을 마치고 현장조사 여부를 결정할 계획이다.
모든 국내 금융사는 상황별 대응 절차부터 재해 복구 계획, 대응 조직 구성, 입력 대행 조건, 모의훈련 등 세부안을 명시한 전자금융감독규정에 따라 컨틴전시 플랜을 만들고 매년 한 차례 비상대응훈련을 해야 한다. 그러나 국민일보가 카카오뱅크 위험대응체계를 확인한 결과 이번 화재 사태와 같은 위험에 맞닥뜨렸을 때 어떻게 대응할지 정하고 의사결정을 하는 위험관리위원회에 IT 전문가는 없었다. 사외이사인 최수열 위원장은 공인회계사 출신 회계법인 임원이다. 김광옥 위원은 증권사, 오평선·황인산 위원은 시중은행 출신이다.
카카오뱅크는 또 사업 보고서에서 위험관리위에서 관리해야 할 주요 위험 유형을 신용과 시장, 유동성 등으로 구분했다. 상환 능력이 부족한 저신용자에게 너무 많은 대출금을 내주지는 않는지, 금리가 너무 올라 고객 예적금 만기 때 환급액을 제대로 돌려주지 못할 우려는 없는지 등 대부분 ‘돈’에 관련된 위험이다. 나머지는 운영 위험으로 분류해 ‘내부 절차나 인력, 시스템, 외부 사건으로 인해 발생할 수 있는 손실 위험이 있다’ ‘관련 자료를 체계적으로 축적해 관리하고 있으며 관련 사항을 주기적으로 경영진·위험관리위에 보고하고 있다’고 사업 보고서에 적은 것이 전부다.
카카오뱅크가 컨틴전시 플랜 일환으로 만든 영업 연속성 관리체계(BCP)의 경우 자체 데이터센터에 재난이 발생했을 때 대응하는 방안에만 초점을 맞추고 있었다. 지난해 시행한 비상대응훈련도 경기 성남시 분당구 본사에 전염병이 발생하고 서울 마포구 데이터센터에 지진이 발생하는 시나리오였다. IT업계 관계자는 “카카오는 카카오페이 등 관계사와 다양한 연계 서비스를 제공하면서도 해당 서비스에 문제가 생겼을 때 대응책은 마련해두지 않은 것”이라면서 “이번 카카오 사태 때 카카오뱅크 일부 서비스가 먹통이 됐던 이유”라고 말했다.
금감원은 이번 조사에서 카카오 금융계열사가 만든 컨틴전시 플랜이 전자금융감독규정상 가이드라인에 부합하는지, 이를 제대로 이행했는지 등을 확인할 예정이다. 금감원 관계자는 “점검 과정에서 컨틴전시 플랜에 문제가 있다고 판단될 경우 현장조사에 나설 수 있다”고 말했다.
이와 관련해 카카오뱅크 측은 “유사 시 위험관리위로부터 위임을 받는 기구인 위험관리협의회에는 IT 인력인 최고기술책임자(CTO)가 있다”면서 “카카오 등 연계 서비스와 관련해서는 계열사와 전용 회선 이중화 설비 등을 갖추고 있다. 향후 서비스를 안정적으로 제공하기 위해 꾸준히 노력하겠다”고 밝혔다.
김진욱 기자 reality@kmib.co.kr