IT인력 줄이고…보안예산 깎고… "부실이 부른 예고된 人災" <br>18개 주요 시중은행 IT보안담당자 121명<br>외부용역이 80% 육박… IT보안 예산 4%도 안돼
 | | 농협 전산장애가 이어진 14일 서울 서대문 농협중앙회 중앙본부점을 찾은 고객이 현금자동입출금기가 작동되지 않아 직원의 도움을 받고 있다. /김주성기자 |
|
“터질 게 터졌다.”
현대캐피탈 해킹 사건에 이어 농협 전산망 마비 등 금융권에 대형 전산사고가 잇따라 터지자 그동안 쉬쉬해오던 금융계에서 자조 섞인 말들이 나오고 있다. 금융권 정보기술(IT) 부문의 총체적 부실이 대형 사고로 이어졌다는 것이다.
모바일뱅킹 등 금융 서비스는 갈수록 첨단화하고 있지만 금융권 IT 인력과 보안예산 등은 오히려 줄고 있어 예고된 ‘인재(人災)’라는 지적이다.
◇‘18개 주요 시중은행 IT 보안담당자 121명’=국내 주요 은행들의 정보 시스템 보안을 담당하는 인원은 고작 121명에 불과하다. 그나마 이들 인력의 80%가량은 외부용역 직원들이다.
국내 은행들의 IT 인력은 지난 2000년 4,100여명에서 2009년에는 3,876명으로 줄더니 지난해 8월말 기준으로 3,500명선까지 감소했다.
전문가들은 금융권의 정보보안 중요성에 대한 인식이 상대적으로 매우 낮다고 지적한다.
실제 농협의 IT 인력은 1,338명이지만 이 가운데 736명이 외부용역 인력이다. 자체 핵심 인력보다는 서버를 공급한 한국IBM 기술인력에게 전적으로 의존하다 보니 대처능력이 떨어진다.
더욱이 경제·유통담당 직원을 빼면 실제 전산관리 작업은 200여명이 담당해 원인조차 규명하기 어려웠다. 복구는 엄두도 못 내는 실정이다.
IT 예산 중 정보보안 분야에 투입하는 예산과 인력을 보면 확연하다.
한국은행의 금융정보화추진협의회 자료에 따르면 IT 보안인력은 18개 은행이 121명, 6개 저축은행이 11명에 불과했다. IT 관련 인력은 17개 은행이 6,240명이지만 이 가운데 외부용역 인력이 2,722명으로 전체 인력의 77.3%를 차지했다. IT 관련 예산도 점차 줄고 있다. IT 예산 중 보안에 투입한 비중은 2008년 4.4%에서 2010년 3.4%로 오히려 감소했다. 그동안 인터넷뱅킹·모바일뱅킹 등 신규 서비스와 차세대 시스템 도입 바람으로 전산자원이 기하급수적으로 늘어 IT 인력 수요가 늘어난 것과는 정반대 현상이 벌어진 셈이다.
금융IT 컨설팅 전문업체의 한 관계자는 “경영진이 예산절감 논리를 앞세워 IT 핵심 인력을 키우기보다는 외부 아웃소싱만 늘려간 결과가 대규모 사고로 돌아왔다”고 지적했다.
◇전문영역에 대한 인식 사실상 제로=최근 3년여 전부터는 하나은행·신한은행 등 주요 금융사는 계열사 IT 인력을 한곳에 모아 IT 지주회사 격인 ‘IT 셰어드(shared) 서비스센터’를 만들어왔다.
업무중복을 피하고 효율성을 높이기 위한 명분의 조직개편이지만 이면에는 IT 인력을 더욱 줄일 수 있다는 계산도 깔려 있다.
시중은행의 한 IT부문장은 “IT 셰어드센터는 증권·은행·보험 등 계열사 인력을 한곳에 모아 필요시 인력을 탄력적으로 파견하는 제도여서 이론적으로 한 명이 두세 기업의 업무를 볼 수 있는 구조”라고 설명했다.
이 관계자는 “하지만 이 같은 발상이 업종별 IT업무를 일반적으로 바라본 편의주의적 발상에서 비롯된 것”이라며 “갈수록 업종별 전문성이 떨어져 업무의 절반 이상을 아웃소싱 기업에 의존할 수밖에 없는 양상”이라고 말했다.
또 다른 은행의 한 관계자는 “금융권 IT 예산은 차세대 시스템을 구축할 때는 크게 늘어났다가 시스템 구축이 끝나면 최소한의 운영비만 지원한다”며 “중요 보안 솔루션 등의 투자는 아예 예산심의를 통과하지 못하는 경우가 비일비재하다”고 언급했다.
◇정보보안 불감증 기가 막힌다=금융권에 만연한 정보보안 불감증도 사건이 발생했을 때 제대로 수습하지 못하는 결과를 가져오고 있다.
대부분의 금융회사들은 현재까지 해킹에 따른 고객들의 금전적 피해가 발생한 사례가 없었다는 점을 들고 있다. 금융계 일각에서는 ‘해킹 피해가 발생하더라도 차라리 해커가 원하는 돈을 건네주고 사건을 수습하는 것이 시스템을 새로 구축하는 비용보다 더 적게 든다’는 말이 흘러나오고 있다.
또 최근 은행ㆍ증권회사에서 수많은 전산장애가 발생해 금융거래가 중단됐음에도 불구하고 해당 금융회사들은 재해복구(DR) 시스템을 단 한 번도 가동하지 않았다.
이처럼 DR 시스템을 가동하지 않는 것은 무엇보다도 장애복구를 통해 금융거래를 정상화하는 것이 DR 시스템을 가동하는 것보다 더 빠르기 때문이라는 것. 따라서 장애에 따른 금융거래 중단이 발생하더라도 DR 시스템을 가동하지 않는다는 게 금융회사들의 논리다.
보안 관련 사건·사고에 제대로 책임을 지는 자리가 없는 것도 문제다. 개인정보 유출 방지 등 보안 관련 업무를 책임지는 최고정보보호책임자(CISO)를 임명한 곳은 씨티은행 한 곳뿐이다. 최고정보관리책임자(CIO)는 보안 관련 실무와 무관한 경영지원실ㆍ법무실 등의 이사가 겸직하는 경우가 많다.
최근 42만명 규모의 개인정보 유출 사고가 발생한 현대캐피탈에서도 CIO직을 전문 기술인력이 아니라 스태프 조직을 이끄는 경영지원본부장이 맡고 있다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
