“서버 용량부족,전용선·보고 누락 등 부실”...금융IT 비상대책 가이드라인 나온다

이명순 금감원 수석부원장이 13일 금감원에서 열린 금융 CIO 간담회에서 발언하고 있다.

중소형 전자금융회사 중 상당수가 재해복구센터 등 백업 시스템을 제대로 갖추지 않은 것으로 드러났다. 금융감독원은 '금융IT 비상대책 가이드라인'을 제정하는 등 관련 제도를 보완할 계획이다.

금감원은 전자금융서비스를 제공하는 금융회사 중 약 118개사가 재해복구센터를 별도로 구축하지 않고 있다고 13일 밝혔다. 금감원은 지난해 SK C&C 판교데이터센터 화재 이후 금융IT 비상대책 점검을 실시하고 이날 결과를 발표했다.

금감원은 이번 조사 결과를 바탕으로 금융사들에게 △비상대책에 재해 대응절차가 구체적이지 않고, 비상대책위원회가 별도로 구성되어 있지 않거나 역할과 책임 부여가 불분명하고 △업무영향분석 절차가 마련되어 있지 않거나, 단편적 평가요소만으로 업무별 복구 우선순위를 결정하여 핵심업무 누락 발생 위험이 있으며 △적정 성능과 규모를 갖춘 재해복구센터를 확보하고, 외부 연계서비스 관련 리스크 관리 및 비상대책을 마련할 필요가 있다고 지적했다.

금감원에 따르면 몇몇 금융사는 재해복구센터를 갖춘 경우에도 서버 등 용량이 주 전산센터에 크게 미달하거나, 대외기관 전용선을 누락했다. 재해발생시 정상적인 서비스 제공이 어렵다는 것이다.

또 외부 연계서비스 계약시 IT위험평가 절차와 손해배상 등 계약지침이 마련하지 않고, 장애발생에 대한 대책도 미흡했다. 장애내역을 관리하지 않는 등 전자금융사고 관련 내부통제 역시 부족하고, 보고기준을 자의적으로 해석해 사고 미보고 사례도 자주 발생하는 것으로 파악했다.

금감원은 앞으로 '금융IT 비상대책 가이드라인'을 제정할 계획이라고 이날 밝혔다. 검사와 점검을 통해 확인된 주요 미흡사항 등을 반영한 가이드라인을 만들고 감독규정을 보완하는 구체적인 기준을 제시하겠다는 것이다.

이명순 금감원 수석부원장은 “카카오 화재 사고에서도 보았듯, 디지털금융이 확산할수록 서비스가 정상적으로 제공되지 않았을 때 발생하는 소비자 피해와 사회적 손실 가능성이 함께 커진다는 점을 명심해야 한다”면서 “업무 연속성 확보 노력을 소홀히 한 회사는 엄중 조치하고 재해복구센터 의무화 확대 등 제도적으로 개선이 필요한 부분에 대해서는 금융위원회와 협의해 신속하게 추진하겠다”고 말했다.

김시소 기자 siso@etnews.com