삼성카드가 삼성SDS 상대로 제기한 손해배상의 핵심은 재해복구(DR)시스템 유무가 화재 등 재난 시 발생되는 손실에 영향을 미쳤는지다. 이번 손해배상 청구는 향후 그룹 계열사 간 정보기술(IT) 유지관리나 시스템통합(SI) 사업에서 발생되는 손해배상의 참조사례가 될 수 있어 협상 결과에 산업계의 관심이 쏠린다. 단순히 계열사 간 손해배상 청구가 아닌, 업계 지표로서 활용될 가능성이 높기 때문이다.
지난해 4월 삼성SDS 과천 데이터센터 화재 당시 삼성카드는 결제나 홈페이지 등에 대한 DR시스템이 갖춰져 있지 않아 즉각적인 복구가 어려웠다. 전자금융감독규정에는 금융회사는 시스템 오류, 자연재해 등으로 인한 전산센터 마비에 대비 업무연속성을 확보할 수 있도록 적정 규모와 인력을 구비한 재해복구센터를 원격지에 구축해야 한다고 명시돼 있다.
그러나 문제는 감독규정과 하위규정인 모범규준에도 재해복구시스템 적용 범위가 규정돼 있지 않다. 당시 삼성카드도 일부 주요 기간시스템은 DR시스템이 갖춰져 있었다. 금융감독원이 화재로 인해 업무중단 시 문제를 삼지 못했던 배경이다. 삼성카드는 화재 발생이 업무중단을 일으킨 원인이기 때문에 피해금액의 100%를 보상해야 한다는 주장이다.
삼성카드의 구상권 청구는 IT서비스기업과 계열사 간의 모호한 IT협력 관계가 명확한 관계로 변화했다는 점도 관심사다. IT서비스기업은 대부분 그룹 계열사 전산실을 통합, 출범한 회사로 계열사 정보시스템을 전적으로 운영, 관리해 왔다. 이 과정에서 명확한 서비스수준협약(SLA) 적용보다는 암묵적인 관행으로 각종 사업들이 진행돼 왔다.
그러나 최근 전체적인 경기 침체와 정보보호 사고가 잇따르면서 계열 IT서비스기업과의 SLA 적용이 확산되는 등 사업과 비용 집행이 명확해졌다.
IT서비스업계 관계자는 “과거 계열사와 IT서비스 기업 간 ‘한가족’이라는 인식은 이제 완전히 사라졌다”며 “이번 삼성카드 구상권 청구 사례로 계열사 간 IT관련 손해배상 청구 사례는 늘어날 것”이라고 말했다.
감독당국 등 정부의 명확한 가이드라인 수립도 시급하다. 명확한 DR시스템 적용 범위와 이를 이행하지 않을 때 처벌 조항 등을 마련해야 한다. 그룹 계열사도 IT서비스기업과 구체적인 SLA 규정을 만들고 철저하게 이행해야 한다. IT서비스기업의 품질관리 확보도 이뤄져야 한다.
신혜권기자 hkshin@etnews.com, 길재식기자 osolgil@etnews.com
