정부가 지난 4월 삼성SDS 과천 데이터센터 화재로 삼성카드 업무 중단이 장기화되자 금융권 정보시스템 재해복구 대책 마련에 나섰다. 그러나 금융권 전산백업센터 구축 권고 등 설익은 정책이 쏟아지면서 오히려 혼란만 가중시키고 있다. 금융권에서는 체계적인 대응책 마련보다 사고 발생 후 땜질식 처방에 불과하다는 지적이다.
재해·재난 시 금융정보시스템을 보호하기 위해 기존 재해복구(DR)시스템 적용범위 확대와 업무연속성계획(BCP)에 따른 실시간 대응체계 마련이 급선무다. 은행·카드·증권 등 대부분의 금융회사는 전자금융거래법과 감독규정에 따라 원격지 DR센터를 갖추고 있지만 적용범위는 대부분 기간시스템에 한정됐다. 실시간 데이터 백업체계가 이뤄지지 않아 DR시스템이 무용지물인 사례도 있다. BCP는 수립했지만 상시훈련이 안 돼 적용을 하지 못한다.
◇DR체계, 온라인 등 일부 적용 안 돼
가장 큰 문제는 관련 법률과 감독규정에 금융권 DR시스템 적용범위가 명확하게 명시되지 않았다는 것이다. 상당수 카드사와 증권사는 기간시스템 외에 최근 활성화된 인터넷 거래시스템의 DR체계를 갖추지 못했다.
지난 4월 일어난 삼성카드 업무 중단이 대표 사례다. 당시 삼성카드는 창구 등 기존 업무시스템은 DR체계를 갖췄지만 온라인과 모바일 시스템은 DR체계를 갖추지 못했다. 이 결과 주센터 화재로 일주일 넘게 홈페이지 접속과 온라인·모바일 결제가 중단됐다.
증권사도 상황은 마찬가지다. 상당수 증권사는 주전산시스템인 거래시스템 DR체계를 갖추고 있지만 온라인·모바일 등 새로운 채널영역은 갖추지 못했다.
증권사 최고정보책임자(CIO)는 “모든 시스템을 듀얼로 DR체계를 갖추는 것은 너무 많은 비용이 들어 대부분 증권사가 일부 시스템만 DR를 갖추고 있다”며 “증권 업계 공동으로 통합 채널 데이터 백업센터를 구축하는 방안도 논의 중”이라고 말했다. 공동 백업센터는 고객정보보호 등 여러 규제를 조정해야 한다.
◇BCP 훈련 안 돼 DR체계 무용지물
DR체계가 갖춰져 있다 하더라도 무용지물인 사례가 상당수다. 전 은행은 금융감독당국 지침에 따라 재해·재난 시 3시간 이내 정보시스템 복구체계를 갖췄다. 그러나 실제 재해·재난 시 재해복구시스템을 3시간 이내 가동해 업무를 정상화시킨 사례는 극히 드물다.
과거 농협 정보시스템 해킹 사고나 한국씨티은행 데이터센터 침수 때에도 모두 3시간을 훨씬 넘겨 업무를 복구했다. 당시 농협은 DR시스템을 가동조차 못했다. 이처럼 DR시스템을 갖추고 있지만 재난·재해 시 사용하지 못하는 원인은 평상시 데이터를 실시간 백업하지 않았기 때문이다. 은행권 한 관계자는 “모든 데이터를 실시간으로 백업하기 위해 상당 분량의 스토리지가 필요하다”며 “네트워크 한계로 처리 속도도 떨어진다”고 전했다. 수백, 수천억원이 투입된 DR시스템을 제대로 활용하지 못한 채 방치할 수밖에 없는 상황이다.
사고 발생 시 BCP 체계를 적절히 활용하지 못하는 것도 문제다. 금감원 감독지침에 따라 BCP 체계를 마련했지만 상시훈련이 이뤄지지 않았다. 모의훈련이 1년에 한 번, 빨라도 6개월 한 번 진행되다 보니 급변하는 금융정보시스템 변화를 반영하지 못한다.
금융권 관계자는 “재난·재해 대비 훈련이 돼 있지 않다보니 DR센터를 가동해 오히려 더 큰 문제를 일으키는 사례도 있다”며 “이 때문에 시간이 오래 걸려도 어떻게든 주정보시스템을 재가동하려고 하는 것”이라고 설명했다. 금융위원회 관계자는 “현재 일부 언론에 보도된 금융권 전산백업센터 구축 의무화는 사실이 아니다”며 “금융권 의견을 수렴해 대응책을 마련하겠다”고 말했다.
신혜권기자 hkshin@etnews.com