[매스 데이터 시대, ‘제로’ 금융보안]비용 아끼려다 사고 부른다

시중은행 백업센터 달랑 한 곳… 두 곳만 공격당하면 전산 마비

《 현대캐피탈 해킹사건과 초유의 농협 전산망 마비는 일회성 사고가 아니다. 전문가들은 다른 금융기관에서도 충분히 반복될 수 있다고 경고한다. ‘보안은 투자가 아니라 비용’이라는 의식이 만연해 인력과 예산, 장비 투자에 극히 인색한 것이 현실이다. 돈 몇 푼 아끼려다 고객의 신뢰를 잃는 것은 물론이고 자칫 1경5000조 원에 이르는 전자금융시장 전체가 위험에 처할 수도 있다. 》
○ 외국은 겹겹이 백업센터

기업이나 공공기관이 사용하는 대규모 전산시스템은 반드시 백업 시스템을 운영해야 한다. 주데이터센터가 화재, 지진, 홍수 등 자연재해를 겪어도 서비스는 정상적으로 지속돼야 하기 때문이다. 이 때문에 외국과 국내의 정보기술(IT) 기업들은 최소한 두 곳 이상의 백업센터를 운영한다.

하지만 국내 시중은행들은 주센터 외에 백업센터 한 곳만 운영하고 있어 위험에 노출돼 있다고 전문가들은 우려한다. 주로 서울과 수도권에 몰려 있는 두 곳의 데이터센터가 동시에 무너질 경우 통제 불능의 상태에 빠지게 된다. 농협도 서울 서초구 양재동의 주센터와 경기 안성시 백업센터가 동시에 공격받으면서 전체 전산망이 마비됐다.

이에 비해 세계 최대의 인터넷기업인 구글은 아예 세계 전역에서 데이터센터를 운영하며 이중 삼중으로 각 지역의 데이터를 백업한다. 한 국가의 데이터센터가 테러나 재해로 손상되더라도 다른 국가의 데이터센터에서 이를 백업하는 셈이다.

구글만큼은 아니더라도 국내 IT 기업들도 여러 단계의 백업을 한다. KT 관계자는 “지리적으로 멀리 떨어진 곳에 ‘백업의 백업’을 운영하는 것은 기본”이라고 강조했다. 백업센터가 하나밖에 없다면 그곳의 데이터가 손상될 경우 치명적인 상황이 발생하기 때문이다. KT는 고객정보를 서울 양천구 목동의 데이터센터에 저장하며 경기 성남시 분당구 본사에서 이 정보를 백업한다. 백업된 데이터는 ‘대외비’인 중부지방 전산센터에 또 한 번 백업된다. 네이버 다음 네이트 등 인터넷기업이나 엔씨소프트 같은 온라인게임업체도 마찬가지다.

○ 예산·인력·인식 부족, 보안은 찬밥 신세

국내 금융회사의 IT 관련 예산과 인력도 턱없이 부족하다. 한나라당 이성헌 의원이 금융감독원으로부터 제출받은 자료에 따르면 지난해 주요 시중은행의 IT 예산 중 보안예산은 평균 3.4%로 금융감독원의 권고 수준인 5%에도 미치지 못했다. ‘5% 룰’을 지킨 곳은 126억2500만 원을 IT 보안예산에 편성해 5.6%에 이른 신한은행이 유일했다. 그나마 보안예산은 대부분 시스템 업그레이드 등 하드웨어에만 집중되어 있다. ‘외국의 최신 보안장비를 구입해 안전하다’고 할 뿐 실제 운영에는 관심이 없는 것이 현실이다.

전산 시스템을 관리할 인력도 부족하다. 은행 IT 인력은 2000년 4100여 명에서 2009년에 3876명으로 6.3% 감소했다. IT 부서 근무자 가운데 보안담당은 2.9%에 불과하다. 보안담당자가 10명도 되지 않는 회사가 수두룩하다.

부족한 인력은 외부에 싼값에 아웃소싱(외주)해 해결한다. 전산망 관리를 시스템 자회사에 맡기고 자회사들도 2, 3차 하도급을 통해 검증되지 않은 업체에 맡기는 식이다. 서버 관리와 핵심 지급 결제 프로그램 등 핵심 업무까지 문호를 협력업체에 열어두면서 내부통제가 전혀 되지 않는 것도 문제다. 농협 사건의 경우 협력업체인 한국IBM 직원이 모든 데이터 삭제 명령을 내릴 수 있는 ‘최고접근 권한(Super Root)’을 부여받았다.

상황이 이런데도 보안을 책임지고 진두지휘할 임원도 없다. 금융감독원은 2009년 7월 ‘디도스(DDos·분산 서비스 거부) 공격’이 발생한 이후 최고보안책임자(CSO)를 두라고 계속 권고해왔지만 금융권에서는 최고정보책임자(CIO)가 겸임하는 경우가 많다. 일부 금융기관에서는 과장이나 부장급 전산관리자가 맡아 실제 지휘권한이 거의 없는 실정이다. 이동훈 고려대 정보보호대학원 교수는 “국내 시중은행 한 곳, 대형 증권사 한 곳을 제외하고는 금융보안의 인력과 실력이 부족하다”며 “충분한 자체 보안인력을 확보하고 주요 임원에게 보안책임을 맡기는 등 내부통제에 신경을 써야 한다”고 말했다.

○ 위기에 대응할 컨트롤타워가 없다

현대캐피탈 해킹 사건, 농협의 전산망 마비사고를 겪으면서 전자금융거래 전반에 대한 보안체계를 강화하고 위기관리를 총괄할 수 있는 컨트롤타워가 하루빨리 만들어져야 한다는 목소리가 높아지고 있다. 옛 정보통신부가 해체된 이후 보안업무가 부처별로 분산돼 정보 공유와 협조가 이뤄지지 않고 있기 때문이다.

현재 금융보안 문제는 금융위원회 금융감독원 한국은행 행정안전부 방송통신위원회 등이 관여하고 있다. 이들 부처의 소관 법령도 각각 전자금융거래법 정보통신망법 개인정보보호법 등으로 분산돼 있다. 여기에 금융보안 사고가 터졌을 때 국가 비상사태와 관련되면 국가정보원, 해킹 등 사고 처리에는 검찰과 경찰이 제각각 나서는 상황이다.

역할 분담이 이뤄진 것 같지만 정작 금융회사들은 ‘시어머니’를 여럿 두면서 혼란스러워하고 있다. 한 시중은행의 IT 담당자는 “개인정보와 관련해 금감원은 전자금융거래법 시행세칙에 따라 비밀번호가 암호화됐는지를 살펴보는데 개인정보보호법에서 요구하는 수준은 훨씬 높다”며 “당장 금감원의 요구에 맞출 수밖에 없지만 일관된 기준이 없어 혼란스러울 때가 많다”고 털어놨다. 이와 관련해 금융위는 “금융회사의 IT 보안강화 태스크포스를 만들어 금융권 전반에 걸쳐 실태를 점검한 뒤 국정원 행안부 방통위 등 관련 부처와 협의해 제도 개선 방안을 마련할 것”이라며 “전자금융거래 보안 관련 컨트롤타워의 역할을 정립하는 방안도 추진할 것”이라고 밝혔다.

김재영 기자 redfoot@donga.com　　
김상훈 기자 sanhkim@donga.com　　
정임수 기자 imsoo@donga.com