금융당국이 금융시스템 장애 발생 후 재해복구(DR) 권고 시간을 기존 3시간에서 2시간으로 단축하는 방안을 추진 중이다. 연내 가이드라인이 발표될 것으로 예상된다.
29일 금융당국에 따르면 금융위원회·금융감독원·금융보안연구원은 ‘금융사 재해복구 구축·운영 가이드라인’에서 금융사 전산시스템의 재해복구 시간을 현행 3시간에서 2시간으로 단축하는 권고안을 연내 확정한다.
현재 가이드라인 초안은 금융보안연구원을 중심으로 마련 중이며, 금융사의 의견을 수렴해 최종 완료할 예정이다.
금감원 관계자는 “2시간으로 단축하는 권고안에 대해 금융사 의견을 모아 금융위가 최종 확정할 것”이라고 말했다. 금융위 관계자는 “2시간 단축 권고안을 검토 중인 단계”라며 “아직 확정하지 않았다”고 말했다.
가이드라인은 10월에 금융사들의 의견을 수렴하고 이어 금융위가 확정, 연내 발표할 것으로 보인다.
이에 앞서 금융위는 지난해 7월 ‘금융전산 보안 강화 종합대책’을 내놓고 금융사 재해복구 시간을 2시간으로 단축하는 안을 3년간 권고 후 의무화할지 여부를 검토하겠다고 밝혔으나 후속대책을 내놓지는 않았다. 그러나 지난 4월 삼성SDS 데이터센터 화재 사건 이후 관련 규정을 강화할 것으로 예상돼 왔다.
업계는 일정기간 권고 단계를 거친 후 의무화할 것으로 보고 있으나 의무화는 쉽지 않을 것으로 보인다.
금융위 관계자는 “의무화를 위해서는 규정이 바뀌어야 하는데 가이드라인에서 강제하기는 어렵다”고 말했다. 금감원 관계자도 “현행 기준에서 강화될 수는 있지만 근시일내 의무화는 쉽지 않다”고 덧붙였다.
한국거래소 등 일부 기관은 이미 2시간 체제에 대비하고 있다. 거래소의 IT 관계자는 “평시 주기적 재해복구 훈련을 통해 시간을 단축하는 훈련을 하고 있어 사실상 2시간에 근접했다”며 “금융위가 추진하고 있는 2시간 체제로 대비를 진행 중이나 문제는 증권사 등 다른 금융사의 시스템 복구 시간도 같이 줄어들어야 하는 것인데 쉽지 않은 상황”이라고 말했다.
일부 금융사는 2시간으로의 단축에 대해 이미 우려 섞인 전망을 내놓고 있다. 1시간을 줄이기 위해 재해복구시스템에 들여야 할 투자액만 커질 뿐 아니라 실효성이 없을 것이란 의견도 있다.
한 증권사의 IT임원은 “재해복구센터를 만든 지 10년 이상이 됐지만 가동한 적은 한번도 없어 ‘보험’ 성격인 경우가 많은 데 3시간에서 2시간으로 복구 시간을 줄이기 위해 시스템 투자를 추가로 진행하는 것이 큰 의미가 없을 수 있다”고 말했다. 또 다른 증권사 임원은 “각 금융사가 알아서 수행하고 책임져야 할 부분을 지나치게 권고하는 것으로 보이기도 한다”고 토로했다.
<금융당국의 금융사 재해복구 시간 단축 권고 내용>
유효정기자 hjyou@etnews.com