박기록 칼럼

[취재수첩] 금융 IT아웃소싱 제한 논란…잘못 꿰어진 단추

박기록 기자

지난 5월3일, 검찰은 사상 초유의 ‘농협 전산망 마비사태’에 대한 수사결과를 발표했다. 바로 ‘북한의 소행이었다’는 그 발표다.


워낙 사건 사고가 많은 세상이라 지금은 거의 잊혀진 일이 됐지만 당시 검찰 발표 내용은 이렇다.‘농협 전산실의 유지보수 협력업체인 한국IBM의 직원 노트북에 악성코드가 심어졌고, 그로부터 7개월 이상 집중관리되다가 결국 특정일에 ‘삭제명령’이 실행됨으로써 치명적인 사고로 이어졌다.’


그런데 당시 농협 전산마비 사태가 일단락되면서 제기됐던 것이 바로 뜬금없는‘IT아웃소싱 위험론’이다. 금융회사 전산실에 외부 협력업체 직원들이 들락 날락하면서 정보유출 등 보안에 심각한 위험을 초래했다는 것.

IT업계는 당혹감을 감추지 못했다. 북한이 범인이라면 디도스, 해킹 등 사이버공격을 차단할 수 있는 고강도의 기술적 대책이 나와야되는데 애꿎게도 IT아웃소싱 자체로 불똥이 튄 형국이 된 것이다.

그리고 그 불똥은 여전히 또 다른 문제를 낳고 있다. 바로 최근 금융권에서 논란이 되고 있는 ‘전자금융감독규정 개선안’이다. 이 개선안은‘금융회사는 IT아웃소싱 비중을 50%이하’로 줄이는 내용을 담고 있다.

금융 당국은 정말로 금융회사가 IT아웃소싱 비중을 줄이면 외부로부터 사이버 공격을 받을 위험성이 줄어든 수 있다고 생각하고 있는 것일까.


IT아웃소싱 비중이 단 1%에 불과하더라도 금융회사내 정보의 핵심에 접근하는 역할을 외부업체가 맡는다면 이같은 제약은 아무런 소용이 없다.

어쨌든 정책의 실효성에 고개가 심하게 갸웃거려 지지만 유감스럽게도 당국은 그렇게 생각하고 있는 것 같다. 성문법 체계인 우리 나라에선 ‘문장’ 그대로 따라하면 나중에 책임져야할 일은 없다.

그러나 금융회사 실무자의 입장에선 문장 그대로 따라하려니 현실적으로 너무 많은 제약에 부딪히게 되는 것이 문제다. 우리금융처럼 실제로 ‘50%이하로 IT아웃소싱을 줄이는 것’ 자체가 현실적으로 불가능해 보이는 금융회사도 있다.

따라서 개정안이 최종 확정돼 실행에 옮겨질 경우 금융권의 IT전략도 상당부문 수정돼야 할 것이란 지적이 적지않다.

효과가 의문되는 정책이 실행에 옮겨지는 것은 그 자체로 사회적 비용을 초래한다. 오진에 의한 엉뚱한 처방으로 아까운 돈과 시간이 허비돼도 아무도 책임지지 않는다.


결국 이를 막으려면 현안에 대한 정확한 진단이 전제돼야 한다. 금융 당국은 IT아웃소싱 그 자체를 문제 삼기보다는 ‘허술한 내부통제시스템’에 대한 강도 높은 개선안을 요구했어야 한다는 금융IT 전문가들의 목소리에 귀를 기울었어야 했다.


그러나 곧 북한 얘기에 묻혀버렸고 지금은 누구도 이제 그 얘기를 꺼내려하지 않는다. 농협 전산마비 사태 이후, 누구도 내부통제시스템 부실에 대해 책임지는 모습은 보여지지 않았다. 또한 정작 직접적인 사고의 매개가 됐던 한국IBM에 대한 손해배상이 어떻게 진행되고 있는지 아무도 모른다.


첫 단추가 잘못 꿰어졌다는 것을 알았을 때 가장 빠른 대처법은 이미 잠궜던 단추를 다시 풀어내는 것 뿐이다.

<박기록 기자>rock

박기록 기자
rock@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널