- ICT기반 원격근무 체계 대부분 미흡, '감염병' 고려않은 기업 BCP 체계 허점 노출
- 금융 당국, 비조치의견서로 '물리적 망분리' 예외적 허용했으나 여전히 제한적
[디지털데일리 박기록기자] 초기 성공적인 방역 성과를 보였던 코로나19 사태가 중대한 변곡점을 맡고 있다. 지난 21일, 대구·경북 신천지 일부 교인을 중심으로 확진자가 급증하면서 지역감염을 통한 전국 확산이 현실화됐다.
문재인 대통령은 23일 오후, 위기경보 대응 단계를 최고 수준인 '심각'(Red) 단계로 상향시켰다. 앞서 질병관리본부 중앙방역대책본부가 밝힌 확진자수는 23일 오전 9시 현재 기준으로 556명이다.
코로나19의 대유행 조짐에 따라, 이제는 주요 기업들의 '원격 근무제'도입과 같은 적극적인 선제 대응 전략도 시급해졌다. IT업계에서도 이미 피해가 늘고 있다. 최근 확진자가 밝혀지면서 SK하이닉스 이천 교육장, 삼성전자 구미 사업장이 일시 폐쇄됐다.
지금까지는 확진자가 발생하면 확진자가 근무하는 해당 사무실을 폐쇄하는 등 사후 방역에 촛점이 맞춰졌다. 그러나 전국 단위로 확진자가 발생하는 단계로 넘어가면 상황이 달라진다. 기업들은 확진자 발생 가능성에 대비해 별도의 공간을 확보하는 등 백업 오피스 체계로 전환할 필요가 있지만 이것은 현실적으로 여의치 않다.
◆ 원격 근무? “기업들 ICT 체계 안갖춰 현실적으로 힘들어”
별도의 안전한 업무 공간을 확보할 수 없으면 직원들을 분산 근무시키거나, 재택 근무 등 원격 근무 체제로의 전환이 불가피하다.
하지만 현실적으로 원격 근무에 제한이 많다는 지적이 높다. 기업들마다 상황은 다르지만 “기존 오프라인 업무 프로세스상에서 이뤄지고 있는 업무중 원격 근무로 100% 대체할 수 있는 것은 거의 없다”는 게 전문가들의 분석이다.
기술적으로는 원격 소프트웨어(SW) 등 ICT를 활용한 원격 근무 프로세스가 가능하지만 기업들이 이같은 상황을 가정해 별도로 원격 근무 프로세스 체계를 미리 마련해 놓은 사례가 드물기 때문이다. 지금부터 업무 프로세스를 분석해하고, 그것을 기반으로 ICT체계를 갖춰 실제로 업무에 적용하는 것은 최소한 수개월이 필요하다.
지금까지 금융기관, 공공기관, 통신회사 등 주요 기업들이 비상시에 대비해 마련해 놓은 BCP(업무연속성계획) 대응 체계는 천재지변, 테러 등 물리적 공격에 의한 데이터 보호, 즉 재해복구(DR)에 촛점이 맞춰져 있었다. 이번 코로나19와 같은 집단적인 감염 리스크에 대해서는 사실 마땅한 대책을 찾을 수가 없는 상황이다.
특히 대규모 전산센터를 운용하는 금융권의 경우, 코로나19 확산세에 대한 우려가 더 커지고 있어 대책이 요구된다.
금융 IT서비스업체의 한 임원은 “만약 금융회사 전산(데이터)센터에서 근무하는 직원중에서 확진자가 발생할 경우, 현실적으로 일반 대형마트처럼 전산센터를 일정기간 폐쇄시킬 수는 없는 일”이라며 “직원들이 확진을 받더라도 전산센터 운영에는 영향이 없도록 하는 대응 전략을 마련해야할 필요가 있다"고 전했다.
좀 과도하지만, 예를들면 금융 전산센터 운영 요원들이 방진복을 입고 전산실에 출입하는 방식 등 클린 룸 전략을 기존보다 대폭 강화시키는 것도 고려할 수 있다는 설명이다. 물론 아직까지 국내 금융권 전산센터에서 방진복을 입고 근무하는 곳은 없다.
◆'물리적 망분리' 규정, 금융 IT개발은 원격 근무도 쉽지않아
또한 보안 수준이 매우 엄격한 금융권의 경우, 전산센터내 IT개발 구역내에서 만약 확진자가 발생하면 혼선이 불가피할 전망이다. 현행 전자금융감독규정상, 원격 근무 자체가 불가능할 수 있기 때문이다.
다만 금융위원회는 지난 10일, 한국씨티은행이 질의한 원격근무 가능 여부에 대한 '비조치의견서' 회신을 통해 코로나19 확산에 따른 재택 근무를 예외적으로 허용할 수 있다는 입장을 전달했다. 비조치의견이란 현행 규정상 원칙적으로는 허용되지 않으나 예외적 상황에서는 한시적으로 허용하겠다는 것이다. 그러나 그 허용 범위는 어디까지나 제한적이다.
실제로 금융위원회는 이번에 비조치의견을 내주면서 재택 근무는 대체자원 확보 곤란 등 업무상 불가피한 경우에 한하며, 또 필수 인력에 대해서만 허용해야 하고, 기존 수립된 비상대책 절차 및 전자금융감독규정시행세칙'(제2조의2 제3항)에 따른 망분리 대체 통제 정책을 준수해야 한다고 단서를 달았다.
즉, 재택 근무를 통해 원격으로 금융회사 IT센터에 접속하려면 해당 금융회사는 자체 위험성 평가를 실시한 후 망분리 대체 정보보호통제를 적용하고, 이를 정보보호위원회 승인까지 별도로 받아야한다. 금융회사의 입장에선 비조치의견서를 받았다하더라도 까다로운 보안대책을 별도로 마련해야하기때문에 실효성이 있을지 의문이다.
앞서 금융권에서는 지난 2011년 농협은행 전산사고를 계기로, 현재 국내 금융기관들은 철저하게 '물리적 망분리' 제도를 유지하고 있다.
이와관련 대형 시중은행 IT기획팀 관계자는 "만약 IT개발실에서 확진자가 발생하면 개발자의 분산 근무를 생각하고 있다"며 "다만 업무 성격에 따라 IT개발자들의 원격 근무가 일부 가능할 수는 있겠지만 여러 여건상 이를 중장기로 가져갈 수는 없을 것"이라고 전망했다.
올해 국내 금융권에서는 은행, 보험사를 중심으로 대형 차세대시스템 프로젝트가 예정돼 있다. 차세대시스템 프로젝트의 경우, 수십명씩 IT 개발자들의 집합 근무가 몇개월씩 장기적으로 강도 높게 이뤄질 수 밖에 없는 환경이다. 현재로선 코로나19의 조기 종식여부가 금융 차세대 프로젝트에도 변수로 작용할 수 있다.
이번 코로나19가 현재로선 언제까지 더 기승을 부릴지는 모르지만 금융 당국과 금융권의 BCP 대응 전략 손질은 시급해 보인다.