[구멍뚫린 금융권 전산망]비용 줄인다고 고양이에게 생선 맡겨

①보안불감증, 핵심업무 포함 외부용역 비중 50% 육박, 경영진 무관심…예산 5% 못미쳐

“보통 밤 10시를 넘어서 퇴근합니다. 새벽까지 일하는 경우도 허다합니다.”

시중은행의 정보기술(IT) 직원들은 대부분 퇴근 시간이 늦다. 서버관리 등 처리해야 할 데이터 양과 업무는 늘어가지만 인력과 예산은 줄었기 때문이다.

이 때문에 금융권 내부에서 조차 현대캐피탈에 이은 농협의 전산사고는 ‘터질게 터졌다’는 자성의 목소리가 나오고 있다. 보안에 대한 중요성이 뒷전인 상황에서 해킹 등 갈수록 첨단화되는 외부환경 변화에 대응할 수 없다는 지적이다.

◇보안예산 비중, 4.5%도 안되는 쥐꼬리 수준= 금융기관들이 보안에 관심을 기울이지 않는 것은 예산에서 적나라하게 드러난다. 금융감독원에 따르면 은행, 카드, 보험사 등의 금융기관들의 총 IT 예산 중 보안예산 비중은 3% 안팎이다. 금감원의 권고비율인 5%에 한참이나 미치지 않는다.

특히 은행은 지난 2008년 4.4%에서 2010년 3.4%로 1%포인트나 줄였다. 농협은 이 기간동안 IT 총 예산을 1534억원에서 934억원으로 39.0%나 축소했다. 이 중 보안예산 비중은 고작 30억원이었다.

시중은행 고위 관계자는 “경영진들이 보안에 대한 예산 비중을 늘리는 논의조차 하지 않아 왔다”고 털어놨다. 영업이나 상품개발, 점포 확장 등 외연 확대에 치중한 채 내실 다지기는 하지 못한 셈이다.

하지만 은행은 늘어나는 전자금융서비스를 감당해야 했다. 한국은행에 따르면 지난해 말 은행업무의 67.4%가 인터넷뱅킹, 8.2%가 텔레뱅킹을 통해 이뤄졌다. 인터넷뱅킹 이용자는 등록고객수를 기준으로 6666만명에 달했다. 최근에는 모바일뱅킹 등록 고객수도 1500만명을 넘어섰다.

농협도 2009년 초 늘어나는 정보량을 감당하기 위해‘신(新)신용 시스템’을 도입했다. 2년이란 공을 들여 전산망을 확충했다. 이에 반해 전산망을 관리하는 정보기술(IT)본부분사의 인력은 되레 줄었다.

은행권의 IT관련 인력은 지난 2003년 4342명에서 2009년 3876명으로 10.7% 감소했다.

▲은행권 IT인력

◇핵심권한까지 외부업체에 넘기는 보안 불감증 심각= 한 은행의 전산센터 최고 책임자는 “인력은 줄었지만 실제 일하는 사람은 줄지 않았다”고 말했다. 얘기인 즉슨 아웃소싱을 통해 외부 협력업체 인력을 늘려 직원 수는 크게 변하지 않았다는 것이다.

문제는 협력업체는 짧은 계약기간의 특성상 수시로 변경됐다는 점이다. 통상 은행의 서버작업실은 일정 권한을 지닌 한정된 직원만 출입할 수 있다.

하지만 담당 협력업체 직원이 자주 바뀌다 보니 서버작업실을 드나들 수 있는 인원은 그만큼 늘어났다. 정보를 유출하거나 훼손할 수 있는 경로가 늘어난 셈이다. 지난해 시중은행 IT업무 담당 전체 인원 중 외부용역 비중은 43.6%를 차지했다.

하청과 재하청으로 이어지는 아웃소싱의 남발은 조직 통제에도 한계를 드러냈다. 농협은 지난 12일 전산마비 이후 14일이 지난 25일까지도 서비스를 완전히 복구하지 못했다. 여러 업체에서 전산시스템을 관리하다 보니 원인 파악이 늦어진 것이다.

보안 전문 인력의 부족도 화를 자초했다. 보안은 시스템을 새로 만들고 재설정 하는 등의 전문성을 필요로 한다. 많은 투자가 필요한 분야다. 보안 불감증을 드러낸 은행은 선뜻 투자에 나서지 않았다. 금감원에 따르면 지난해 8월말 기준 IT인력 대비 IT보안인력은 은행이 꼴지(2.9%)였다. 증권(3.9%), 생명보험(6.8%), 손해보험(16.7%), 카드(10.0%) 부문에 비해 현저히 낮았다.

김병권 새로운 사회를 여는 연구원 부원장은 “부실한 인력 운영 구조에서는 하드웨어적 인프라가 아무리 훌륭해도 보안이 뚫리는 걸 피할 수 없다”고 말했다.

김 부원장은 “금융권이 IT업무를 ‘핵심 경영인프라, 핵심 고객서비스 통로’로 인식할 필요가 있다”고 지적했다.