[진단/ 감독 강화되는 금융IT 전략①]

[디지털데일리 박기록기자] 국내 금융IT 부문의 안정성을 대폭 확보하기 위한 고강도 대책이 마련되고 있다. ‘’

금융위원회가 주도한 ‘전자금융감독규정’ 개정안이 그것이다. 향후 금융권의 IT전략은 기존‘스마트금융 서비스 확대’전략에서 ‘IT인프라의 안정성 확보 전략’으로 무게중심의 이동이 불가피해 보인다.

이미 은행을 비롯한 대형 금융회사들은 자체 IT조직(인력)을 50%선 까지 확대, 보안 인력의 확충, CISO(정보보호 전담 최고책임자)제 도입, 외부 IT아웃소싱 비중의 축소, 재해복구시스템의 실시간 대응전략 등을 놓고 고민하고 있다. 각 사안들마다 대응이 쉬운 것이 없다.

<디지털데일리>는 전자금융감독규정 개정안의 확정 등 금융IT 안정성에 중점을 둔 정책방향이 향후 국내 금융권 IT 전략의 전반에 어떠한 영향을 미칠 것인지를 전망하고, 금융 IT투자의 변화 가능성을 분석해 본다. <편집자>

◆“시행 2년간 유예한다지만 대응책 마련은 지금부터”

전자금융감독규정 개정안의 내용은 상당히 강도가 높다. 단적인 예로 금융회사 전체 직원수 대비 금융IT 조직원(인력)의 규모를 ‘50% 이상’과 같은 수치적으로 명시하는 것 자체가 그렇다.

또한 외부 용역, 즉 IT아웃소싱 비중을 50%이하로 줄이는 것도 현실적으로 금융회사가 적절한 수준으로 부합하기가 쉽지 않다.

이와함께 금융회사가 실제 업무중에 주전산시스템의 데이터를 원격지 재해복구시스템(DR)으로 이전해 영업을 계속하도록 하는‘실제 훈련’등은 지금까지 나오지 않았던 상당히 파격적인 내용이다. 자칫 훈련과정에서 거래 데이터 손실 등 중대한 문제가 발생했을때 금융회사가 감당해야할 리스크가 너무 크기 때문이다.

 
금융권 일각에서는 이같은 개정안의 ‘파격성’ 때문에 실제 시행되기가 쉽지 않을 것이라고 전망하고 있다. 앞으로 2년간의 유예기간 동안 현실적인 절충안이 나올 것이란 분석이다.

그러나 이는 어디까지나 조심스런 예측일 뿐이다.

이번 전자금융감독규정 개정안의 배경이 올해 상반기 현대카드 해킹, 농협 전산마비 사태와 같은 금융 시스템의 위험이 ‘실제화’된데서 비롯됐기 때문이다. 여기에 최근에는 삼성카드에서 80만 고객정보가 무더기로 유출되는 사고가 발생해 충격을 주었다.

이렇듯 금융회사의 해킹, 정보유출, IT 마비사태가 엄청난 혼란이 야기될 수 있다는 점을 금융 당국이 실제로 목도한 상황이기 때문에 위험이 실제화되지 않았던 과거와는 분명 분위기가 다르다는 분석이다.

최근 청와대 IT특보 등이 국민은행과 농협의 전산실을 방문한 것은 과거에 비춰 매우 이례적이다. 하지만 최근의 상황을 감안하면 충분히 이해될만한 행보로도 읽혀진다. 

대형 시중은행 IT실무자들도 ‘IT부문을 은행 경영실태평가에 반영하겠다’고 압박하는 정부 주도의 고강도 금융IT 안정화 바람이 일회성이 아닐 것으로 보는 시각이 강하다.

실제로 지난 8월초 IT아웃소싱 비중을 50%이하로 줄이는 내용의 전자금융감독 규정 개정안이 예고되자 은행권에서는 이를 놓고 심각한 대응방안을 고려하기 시작했다.

특히 지난 수년간 금융지주회사 체제로의 전환을 서둘렀던 은행들은 IT부문도 그에 걸맞게 IT자원을 공유하는 방식인 ‘세어드 서비스센터’(Shared  Service Center) 전략으로 전환시켜왔다.

그러나 ‘IT아웃소싱 비중을 50%이하’로 줄이는 전자금융감독규정 개정안을 수용하게 될 경우, 기존 ‘세어드 서비스 센터’ 전략은 사실상 폐기돼야 하는 상황에 직면했다.

◆‘IT 조직통합’ 전략 전면수정 불가피...금융권의 ‘고민’

과도한 ‘IT아웃소싱’을 제한하는 전자금융감독규정 개정안의 취지는 간단하다. IT부문의 외부 위탁 비중이 클수록 금융회사의 IT안정성이 위협을 받는다고 보기 때문이다. 이같은 금융 당국의 시각은 분명히 논란이 있을 수 있으나 현재로선 일단 정부의 요구대로 수용될 가능성이 높아졌다.

이 때문에 신한금융, 하나금융, 농협, 기업, 대구, 부산 등 국내 주요 금융그룹 및 은행 등이 우리금융그룹과 유사한 모델로 추진하려고 했던 당초의 ‘세어드 서비스 전략’은 근본적으로 수정이 불가피해진 상황이다.

하나금융그룹의 경우, 하나은행의 IT인력을 하나아이엔에스로 전환시키는 작업을 내부의 반발로 인해 차세대시스템 가동 3년째가 되는 올해에도 결국 실행에 옮기지 못한 상황이었다. 그런데 이번 전자금융감독규정 개정안으로 인해 이같은 계획이 더욱 불확실해졌다.

‘세어드 서비스 센터 전략’은 금융그룹내 IT자원을 공유하면서 IT비용과 조직을 최적화시키는 강력한 ‘IT서비스 통합’ 전략이다. 금융그룹내 계열사의 IT조직을 IT자회사 소속으로 전환시키는 작업이 쉽지는 않지만 지금까지 금융권은 그 노력을 꾸준하게 지속해 왔다. 
다만 KB국민은행의 경우는 예외다. 국민은행은 이번 개정안이 나오기 이전인 지난해 12월 컨설팅 도중에 ‘세어드 서비스 센터’ 전략을 스스로 포기한 바 있다. 이같은 IT통합 전략이 오히려 KB금융 그룹에는 비용대비 효율성 측면에서 맞지 않는 다는 충격적인 컨설팅 결과 때문이었다.

현재 국내 금융권에서 가장 곤혹스러운 것은 세어드 서비스센터 전략이 가장 안정화돼 있는 우리금융그룹이다. 우리금융그룹은 이와 관련 지주사와 우리은행 등이 내부적으로 IT전략 수정을 위한 컨설팅을 진행하는 등 대응책 마련에 분주한 상황이다.

한편 37개의 중소형 증권사를 대상으로 아웃소싱 방식으로 증권시스템을 제공하고 있는 코스콤도 비록 개정안이 확정되더라도 증권업협회 등 유관기관을 통한 규정 완화 또는 예외를 꾸준히 요청할 것으로 전망된다.   

<박기록 기자>rock@ddaily.co.kr