[진단/ 감독 강화되는 금융IT 전략③]

지난해 6월, 국내 대형 시중은행인 A은행은 2시간이 넘는 전산장애가 발생했다. 창구거래는 물론 인터넷뱅킹, 금융자동화기기 등 모든 업무가 중단됐다. 고객들의 항의가 빗발쳤다.

은행 경영진은 즉시 홈페이지에 사과문을 게재하고, IT부서에 사고 원인 파악과 함께 내부 법무팀에게는 손해배상과 같은 강도 높은 대응방안을 지시했다. 

특히 수천억원을 투입한 차세대 전산시스템을 가동한지 불과 몇 개월만에 발생한 대형 사고였기 때문에 충격이 컸다.  

며칠 뒤, 전산장애 원인은 DB 과부하에 따른 ‘업무처리 지연 현상’으로 잠정 결론내려졌다. 전산장애 사고가 늘 그렇듯 ‘기술적인 문제’로 요약됐다. 이 기술적인 문제로 주전산시스템 공급업체인 IBM, 스토리지업체인 EMC 두 IT 업체가 거론됐다.

한꺼번에 많은 데이터가 몰렸고, 데이터를 받아 분석해 저장한 후 다시 정상적으로 계정 처리하는 과정에서 병목현상이 발생한 것이었다. 

그런데 이런 종류의 유사한 사고는 이전에도 국내 금융권에서 몇번씩 발생한 적이 있다. 하지만 사고에 대해 누가 어떻게 책임을 졌는지는 항상 불분명했다.   

◆금융 IT사고는 빈발, '법적책임' 소재는 불분명 = 상식적인 선에서 생각해보면 사고의 책임은 원인을 제공한 측에서 져야한다. 특히 사고의 원인이 기술적인 문제라면 해당 IT제품을 공급한 업체가 법적인 책임을 지면된다.

하지만 전산장애로 인해 금융회사가 IT업체가 법적인 책임을 물었던 경우는 국내 금융권에서는 거의 없었다. 전산사고가 나도 법적 공방까지 갈 필요가 없는 경우가 대부분이었기 때문이다.

여기에는 몇가지 그럴만한 이유가 있다.  

먼저 금융회사 입장에서는 처음에는 '법적 대응을 불사하겠다'고 벼르지만 차분하게 검토하는 과정에서‘손해 배상’ 자체가 현실적으로 큰 실익이 없음을 알게되기 때문이다. 특정 IT제품이 설령 전산장애에 기술적인 책임이 있는 것으로 결론이 나더라도 실제 금융회사가 받게될 배상금액은 터무니없이 적다.

전산장애로 인한 '대외 이미지 실추'와 같은 추상적인 손해는 배상액에 거의 포함되지 않을뿐만 아니라 오히려 소송만 복잡해질 뿐이다. 

최근 전국적인 정전 사태로 큰 피해를 입었지만 한전이 1인당‘800원’씩 밖에 보상해줄 수 밖에 없는 것과 같은 이치다. 

A은행도 전산사고 발생이후 내부적으로 자신들이 입은 ‘손해’를 법무팀을 통해 추산해 보았다. 하지만 예상과는 달리 법적으로 요구할 수 있는 ‘손해액’은 기대치에 크게 미치지 못했다.

법정으로 가서 승소해봐야 실익이 없다고 판단하고  결국‘법적 책임’이 아닌‘도의적 책임(?)’만 인정하는 선에서 ‘손해배상’을 마무리 지었다.

‘법적 책임’은 결과적으로 IT업체가 스스로 자사 제품의 결함을 인정하는 모양새이지만, ‘도의적책임’은 A은행의 기존 고객사로써 전상장애에 따른 책임을 심정적으로 분담하겠다는 정도의 의미에 불과하다.

결국 A은행도 관련 IT업체들로부터 ‘보다 좋은 조건’(?)으로 전산장비를 도입하는 선에서 책임공방을 마무리지었다.

이런 맥락에서 지난 4월, 농협의 전산마비 사태와 관련, 사고의 매개가 됐던 외주업체인 한국IBM에게 법적 책임을 물을 수 있을지에 대해서는 여전히 지켜봐야 할 사안이다.

아직 농협은 내부적으로 이 사안에 대해 검토를 진행하고 있는 것으로 알려졌다. 다만 농협 전산마비 사태의 경우, 그 원인을 ‘북한 소행’으로 검찰이 밝힌 만큼 법적 공방으로 확대될 경우 손해배상의 주체를 놓고 논의가 복잡해 질 수 있다.

한편 금융 전산사고시 IT업체 입장에서는 필사적으로 '기술적 책임'을 인정하지 않으려 한다. 법적 책임, 즉 기술적 결함을 인정해버릴 경우 글로벌 IT업체들의 입장에선 마케팅에 미치게 될 타격이 적지않을 것으로 생각하기 때문이다. 

따라서 실제 법적인 책임에 따라 지급하게될 손해배상액 보다 혹시 더 큰 금액을 지불하더라도 비공식적인 해결 방법이 있다면 그것을 택하는 경우가 많다.   

◆금융 감독 당국의 IT감독 강화…쉬쉬하던 관행 용납할까 = 최근 금융위원회는 전자금융거래법 시행령의 입법예고를 통해 '금융회사의 IT기획, 예산(시스템 구축 비용)등 세부적인 IT전략'을 매년 보고하도록 했다.

또한 '금융회사 및 전자금융업자에 대한 검사 과정에서 필요한 경우 금융감독원장이 전자금융보조업자를 직접 조사할 수 있도록 검사권 강화’를 분명하게 명시했다. 여기서 ‘전자금융보조업자’의 범위는 매우 광범위하지만 IT의 개발 및 운영, IT아웃소싱 제공 업체로 볼 수 있다.

여기서 주목할 점은, 금융 감독 당국이 금융회사뿐만 아니라 필요에 따라 관련있는 IT업체에 까지도 검사권을 행사할 수 있게 됐다는 점이다.

따라서 앞으로는 과거와 같은 고객정보유출, 해킹, 시스템 중단 등 전산장애 발생시 ‘금융회사-IT업체’간의 책임공방 과정에서 기존 처럼 금융회사와 IT업체 양자간에 사적 화해로 사안이 마무리될 가능성은 크게 줄어들었다.  

특히 금융회사 전산사고가 발생할 경우, 금융 감독 당국은 어떤 형태로든 사고 원인및 사후 대응 과정을 보고하도록 요구하고 있다. 또한 사고의 내용에 따라 금융회사의 전산 운영실태에 대한 점검및 감독 권한을 강화시킬 것으로 예상되고 있다. 

다만 이처럼 금융감독 당국이 금융권을 대상으로 한 IT감독 권한을 강화하기 위해서는 반드시 하나의 전제 조건이 성립해야 한다. 전산사고 발생시 책임 소재가 분명히 가려져야한다는 것이 그 전제다.

이는 결과적으로 IT업체에겐 당혹스러운 상황을 될 수도 있다. 법적인 책임을 인정해야하기때문이다.

물론 이와 정반대의 상황도 발생할 수 있다. 

과거 사례를 보면, 금융회사가 스스로 저지른 IT운영상의 실수로 전산장애가 발생할 경우 기술적으로 아무 잘못없는 IT업체가 대신 '희생양'이 되는 경우도 종종 있었다. IT부서를 대신해 IT업체가 뭇매를 맞는 경우인데, 이럴 경우 이 업체는 지속적으로 자사 제품을 납품하는 등의 암묵적인 보상(?)을 받는다.

결국 이런 관행도 크게 강화된 IT감독 정책 환경아래서는 줄어들 것으로 보인다.

과거의 관행이 항상 나쁜것은 아니지만, 전산사고 발생시 그것에 대한 책임 소재가 지금까지 불분명했다면  분명 개선의 필요성은 있는 것이다.

<박기록 기자>rock@ddaily.co.kr