효율성만 강조 '돈 들어가는' 보안은 외면..예견된 人災

입력 2011. 4. 15. 11:26 수정 2011. 4. 15. 11:26
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

"IT는 돈버는 부서 아니다"3000만고객 농협마저전산시스템 외주업체 맡겨보안부문 예산도 대폭삭감KB·신한·우리·하나등도SW·솔루션 하도급에 의존언제 터질지 모를 시한폭탄

인력확충·제도적장치 시급

"3000만 고객을 둔 대형 금융회사가 전산시스템을 통째로 외주업체에 맡긴다는 게 말이 되나. 농협의 전산사고는 언제든 재발할 수 있다."

농협중앙회의 어처구니없는 전산시스템 사고 원인이 속속 드러나고 있다. 누가, 어떻게, 왜 '시스템 파일 삭제 명령'을 내렸는지는 밝혀지지 않았지만 '예견된 인재'임엔 분명하다.

금융당국 고위 관계자는 15일 "농협의 전산시스템은 외주업체가 관리하고 있어 이번 사고를 자초한 측면이 크다"며 "이런 식이라면 농협의 금융거래 중단 사고는 언제든 재발할 가능성이 높다"고 경고했다.

그는 "고객 신용정보의 집산인 금융회사의 전산시스템은 대형 금융회사라면 직접 관리하는 게 맞다"며 "시스템 보완과 교체에 많게는 수천억, 적게는 수백억원을 쏟아부어야 하는데 직접 관리도 않는 상태에서 무슨 경비가 지원되겠느냐"고 지적했다.

▶재발방지 수립 약속 없어

=말도 안 되는 전산사고에 농협 최원병 회장은 "장애 복구에 최선을 다하겠다"고 말했지만 재발 방지를 위해 무엇을 하겠다는 약속은 어디에도 없었다.

농협은 조만간 경제 부문과 신용 부문을 분리하고 각각 별도의 지주회사를 설립할 예정이다. 하지만 농협은 신ㆍ경 분리 후에도 전산 시스템을 외주업체 관리에 의존할 계획인 것으로 확인됐다. 전산시스템 부문은 현재 신용지주회사나 경제지주회사 어디에도 포함돼 있지 않아 서자 취급을 받게 될 가능성이 크다. 금융당국도 이 점에 주목하고 있다. IT부서에 대한 근본적인 대안을 내놓지 못하는 한 농협의 전산사고는 재발할 수 있다는 게 당국의 우려다.

다른 금융회사들도 마찬가지다. 현대캐피탈처럼 자신의 서버가 2개월간 해킹당하고 있다는 사실조차 모르고 있는 게 우리 금융권의 현실이다. 각 금융회사들은 그동안 천덕꾸러기 취급했던 IT 보안 전문인력을 확충하고, 정부는 금융보안과 관련된 법적 제도적 장치를 시급히 마련해야 한다는 지적이다.

농협 전산망 장애 사흘째인 14일 오후, 서울 중구 농협 본관 중회의실에서 최원병 농협중앙회장이 전산 장애로 인한 고객들의 불편 초래와 관련해 대고객 사과문을 발표하고 있다. 김명섭 기자/msiron@

▶문제는 돈

=금융 보안사고의 가장 근본적인 원인은 당장 눈앞의 효율성만을 보는 경영진의 근시안적인 사고 때문이라는 게 대체적인 지적이다. 엄청난 투자비용이 들어가는 금융회사 IT부문은 돈을 버는 부서가 아니나 돈을 쓰는 부서라는 인식이 강했다. 때문에 경영의 효율화를 꾀한다는 명분으로 외주로 내보내는 것이 당연시해왔다.

지난 2009년 IT보안 분야에 71억7000만원을 투입했던 농협은 지난해에는 시스템 구축이 완료됐다는 이유로 23억5000만원을 삭감한 것으로 알려졌다.

전체 금융권의 IT에 대한 투자 역시 2009년에 1조2000억원이었으나 지난해에는 7700억원에 머물렀다. 이 예산의 대부분은 외국산 서버와 데이터센터 구축 등 하드웨어 분야에 집중됐고, 소비자 보호를 위한 보안 솔루션 같은 독자 프로그램 개발에는 거의 투자되지 않았던 것으로 알려졌다. 경영진의 무지와 무관심, 그리고 IT 부문에 대한 홀대가 낳은 결과다.

▶좀비 노트북PC 한 대에 와르르 무너져

=농협의 전산시스템은 좀비 노트북PC 한 대에 완전 박살이 났다. 그것도 외주업체 직원이 내ㆍ외부를 들락거리며 갖고 다니는 PC였다. 전체 시스템 통제 권한도 외주업체에 있었다. 농협 전산망을 초토화시킨 '파일 삭제 명령'은 서버를 공급한 한국IBM 내에서 최상위 등급을 가진 사람만 내릴 수 있도록 돼 있었다.

최원병 농협 회장은 지난 14일 대국민 사과를 하면서 "이번 전산장애의 발생 원인은 중앙회 IT본부 내에서 상주 근무하던 협력사 직원의 노트북PC를 경유해 각 업무 시스템을 연계해 주는 중계서버에서 시스템 파일 삭제 명령이 실행됐기 때문"이라고 직접 설명했다. 자기 전산망이면서도 농협은 자체 통제권한이 없었던 것이다.

▶보안 전문인력 확보 부재

=돈이 되지 않는 부서라는 인식 때문에 보안 전문인력은 갈수록 줄어들고 모든 업무는 외주를 주거나 하도급에 하도급을 주는 형태로 이뤄져 왔다.

자체 전산 계열사를 두고 있는 KBㆍ신한ㆍ우리ㆍ하나금융지주는 농협보다는 좀 나은 형편이지만 이들 역시 소프트웨어와 보안 솔루션 구축 업무는 2, 3차 하도급을 주고 있는 실정이다.

하도급을 주더라도 전문인력이 완벽하게 시스템을 이해하고 관리하는 능력을 갖추어야 한다. 하지만 내부 직원들도 IT 관련 업무를 맡는 걸 극도로 꺼리는 분위기가 팽배해 있다.

윤재섭ㆍ신창훈 기자/chunsim@

▶ 금융위, IT 보안강화 TF구성…금융사 보안실태 대대적 점검

▶ 농협 전산장애 사고…한은 공동조사 착수

◆ < 헤럴드 핵심공략주 > 강력 상승신호 포착 '실시간 추천주'

◆ < 헤럴드 핵심공략주 > 뉴스보다 빠른 정보 '오늘의 승부주'

- 헤럴드 생생뉴스 Copyrights ⓒ 헤럴드경제 & heraldbiz.com, 무단 전재 및 재배포 금지 -

ⓒ 헤럴드경제 & heraldbiz.com, 무단 전재 및 재배포 금지

이 기사에 대해 어떻게 생각하시나요?