재해복구센터 없는 118개사, 책임이행보험 미비 57개사

금감원 "금융권 IT내부통제 여전히 부족…제도 개선 추진"

지난해 10월 판교 SK C&C 데이터센터 화재에 따른 카카오 '먹통' 사태'로 카카오페이 등 금융 서비스 장애까지 발생해 이용자들이 불편을 겪었다. 모바일 이용이 일상이 된 시대, 예상치 못한 재해로부터 서비스 연속성을 유지하기 위한 '재해복구'(DR·Disaster Recovery)의 중요성이 금융권에서도 대두된 계기였다. 

재해복구는 지진, 태풍, 홍수 등 천재지변은 물론, 통신, 전력 장애나 전쟁, 해킹, 시스템 문제나 기계 오류 등 사회적·내부적 문제로 인한 재해 상황에서도 서비스가 유지되도록 하는 개념이다.

금융당국에서도 지난해 말부터 금융사 경영진과 실무진을 대상으로 간담회를 개최하고 전산사고 방지를 위한 관심을 촉구했지만, 여전히 많은 국내 금융사에 재해복구를 위한 재난 비상대책 절차가 제대로 마련되지 않은 것으로 나타났다.

16일 금융감독원이 지난 13일 발표한 '금융권 IT 비상대책 점검 결과'에 따르면 국내 금융사들에는 여전히 재해에 대비한 비상대책 절차조차 제대로 마련돼 있지 않은 것으로 나타났다. 재해복구센터를 구축하지 않은 중소형사도 100곳이 넘었으며, 전자금융사고가 발생했을 때 책임이행을 위한 보험조차 가입하지 않은 곳들도 있었다.

◇118개 금융사, 재해복구센터 없어…"장애발생 대책 미흡"

이번 점검에서는 전자금융서비스를 제공하는 금융회사 중 118개사가 재해복구센터조차 별도로 구축하지 않은 것으로 드러났다.

현행 전자금융감독규정은 △은행법으로 인가받은 은행 및 산업은행, 중소기업은행 △농협은행 및 수협중앙회 신용사업부문 △증권금융회사 및 한국예탁결제원 △거래소 △신용카드사 △보험요율산출기관 △상호저축은행중앙회 △신협중앙회 △보험회사에 재해복구센터 구축을 의무화하고 있다.

이번에 재해복구센터가 없는 것으로 드러난 곳은 구축 의무가 있는 회사는 아닌 것으로 알려졌다.

그러나 금감원 측은 "재해복구센터 서버 등 용량이 주전산센터에 크게 미달하거나, 대외기관 전용선이 누락되어 재해발생시 정상적인 서비스 제공에 의문이 든다"며 "외부 연계서비스 계약시 IT위험평가 절차 및 손해배상 등 계약지침이 마련되어 있지 않고, 장애발생에 대한 대책이 미흡하다"고 지적했다.

한 보안업계 관계자도 "24시간 실시간으로 이뤄지는 금융 거래 업무의 특성상 금융업계에서 업무 연속성을 위한 재해복구 시스템은 굉장히 중요하다"며 "물론 재해복구 시스템을 제대로 갖추기 위해서는 적지 않은 비용이 필요해 기업 입장에서 부담스러울 수 있지만 문제가 발생했을 때는 오히려 피해를 최소화할 수 있는 수단"이라고 말했다.

◇재해복구 시스템도 허술한데…보상 위한 책임보험도 가입안한 금융사들

문제는 이처럼 재해복구 시스템도 허술한 가운데 금융사들이 재해 등으로 전자금융사고가 발생했을 때 책임이행을 위한 보험에도 제대로 가입하지 않았다는 점이다.

금감원에 따르면 최근 3년간 전자금융사고 관련 손해배상 금액은 △금융투자 139억원 △중소서민금융사 23억원 △은행 2억원 △전자금융업 8억원 등 총 172억원에 달했다.

그러나 △특정 유형 사고에 대해 기준금액 미만으로 가입 △사고발생 건당 보상한도를 기준금액 미만으로 가입 △전자금융업 추가 등록 후 보험가입 금액 증액 누락 등 보험 가입을 부실하게 하거나 아예 보험에 가입하지 않은 경우도 있었다. 모두 전자금융거래법 9조 의무 위반이다.

금감원이 국회 정무위원회 양정숙 무소속 의원에 제출한 지난해 11월 책임이행보험 실태조사 자료에 따르면 △쿼터백자산운용(금융사) △쿠팡페이 △비바리퍼블리카(토스) △우아한형제들(배달의민족) △인터파크 △위메프 △당근페이 △위대한상상(요기요) △원스토어 △티몬 △골프존 등 56개사가 보험에 가입하지 않거나 준비금 보유액이 기준금액을 미충족했다.

일각에서는 핀테크 산업 성장 등을 이유로 간소화한 전자금융업 등록 심사절차 때 사고 발생시 보험 가입 등은 심사하지 않는 금융당국의 책임에 대한 지적도 나온다.

현재 금감원은 전자금융업종 등록 심사 과정에서 이용자 보호를 위해 백업장치 및 프로그램 구비, 정보보호시스템 등 감시운영체제 구축, 전산실 내장·설비 안전성 등 물적 요건에 대해서만 서류심사를 진행할뿐이다. 책임이행보험 가입 여부 등에 대해서는 들여다보지 않는다.

◇금감원, 재해복구센터·책임이행보험 등 제도 개선도 추진키로

금감원에서는 카카오 데이터센터 화재 이후 IT 비상대책 점검 등에도 불구하고 내부통제는 여전히 부족하다고 판단해 제도적 개선도 추진 중이다.

특히 재해복구센터 구축의무 대상회사 확대 및 책임이행보험 최저 보상한도 상향 등 제도적 개선도 추진하겠다고 밝힌 상태다. 재해복구센터의 경우 전자금융업무 수행방식 및 회사 규모 등을 고려해 구축의무 대상 범위를 확대하고, 최근 손해배상 현황 등을 고려해 업권별 책임이행보험 최저보상한도도 상향한다는 방침이다.

이명순 금융감독원 수석부원장은 지난 13일 22개 금융회사 최고정보책임자(CIO) 및 9개 유관기관 담당임원과의 간담회 자리에서 "디지털금융이 확산될수록 서비스가 정상적으로 제공되지 않았을 때 발생하는 소비자 피해와 사회적 손실 가능성이 함께 커진다는 점을 명심해야한다"며 "모든 소비자가 전자금융서비스를 안심하고 이용할 수 있도록 사고를 방지하고 업무 연속성을 확보하는 것을 최우선으로 고려할 필요가 있다"고 강조했다.