'금융 안전성 강화 가이드라인' 만든다더니…거북이 걸음

지난해 데이터센터 화재로 대다수 국민이 사용하는 ‘카카오톡’ 먹통 사태가 벌어졌다. 개인의 불편도 컸지만, 기업과 소상공인들의 금전적 손해도 적지 않았다. 이후 금융권에서도 유사한 재난 발생을 대비해, 고객들의 중요한 데이터를 이중·삼중 안전하게 보호해야 한다는 목소리가 높아졌지만 여전히 걸음마 단계다. 이에 '금융IT 안전성 점검' 연재를 통해 풀어야할 과제들을 짚어본다. [편집자 주]

금융감독원과 금융협회들이 올해 초 특별전담조직(TFT)까지 구성해 약속한 금융IT 안전성 강화를 위한 가이드라인 수립이 4개월 넘게 지연되고 있다. 올해 6월까지 협회별 가이드라인을 제정하겠다고 했으나 계속 발표가 늦춰지는 모양새다.

지난해 10월 카카오 전산센터 화재사고와 연이어 발생한 은행권 전산장애 이후 금융감독원은 IT 사고 재발을 방지하고 금융권 기업들의 대응력을 높이기 위해 올해 3월 킥오프 회의를 개최했다. 해당 회의에는 금융감독원과 7개의 금융협회 및 중앙회(금융투자협회, 생명보험협회, 손해보험협회, 여신금융협회, 은행연합회, 저축은행중앙회, 핀테크산업협회)가 참석했다.

이 날 금감원은 참석자들이 가이드라인 제정 취지에 공감하며 6월까지 ▲단계별 대응방안 ▲대형이벤트 성능 관리 ▲성능관리 비상대책을 포함한 가이드라인 수립에 적극적인 참여를 약속했다고 밝혔다. 또 각 협회 주도 하에 금융회사의 의견도 수렴해 업권별 특성이 반영된 가이드라인의 세부 내용을 마련하겠다고 했으나, 4개월이 지나가도록 아직 어떤 협회에도 가이드라인은 등록되지 않았다.

미국, 9.11테러 이후 각 정부기관 주도 하에 가이드라인 수립

미국의 경우 9.11 테러 이후 여러 개의 재해복구(Disaster Recovery, DR) 관련 가이드라인이 수립됐다. 2002년, 미국 연방준비은행, 통화감독국(OCC), 증권거래위원회(SEC)는 미국 IT금융 시스템의 안전성 강화를 위한 실천 방안에 대한 연합 백서를 발표했다. 해당 보고서에는 미국 금융 기관이 따라야 할 가이드라인이 포함돼 있다.

또 같은 해, 미국표준기술연구소(NIST)는 연방 정보보안 관리법(FISMA)에 기반해 재해를 대비하고 대응 및 관리 할 수 있는 IT플랜을 위한 가이드라인을 발행했다. 2004년에는 5개의 금융사가 고객 정보 보호를 위해 재해 복구 및 비즈니스 연속성 조치를 포함한 데이터 보안 표준 규칙 PCI DSS (Payment Card Industry Data Security Standard)를 수립했다.

4년간 금융사고 978건...금융IT 안전성 위한 가이드라인 조차 없는 한국

국내 전자금융사고는 꾸준히 발생하고 있다. 지난 4년간 금융권 전산장애만 978건에 이르며, 2023년 상반기에만 197건의 전자금융사고가 발생했다.

뿐만 아니라 지난 7월 금감원이 발표한 '금융권 IT 비상대책 점검 결과'에 따르면 재해복구센터를 구축하지 않은 금융사는 118곳이며, 금융사고 발생 시 책임이행을 위한 보험에도 가입하지 않은 곳도 57개사인 것으로 나타났다.

이에 금융감독원은 재해복구센터 구축의무 대상 범위를 확대할 계획을 밝혔으며, 지난 9월 6일 296개의 금융회사와의 IT 상시협의체 회의를 개최해 IT금융 안전성 확보 방안을 논의했다. 이 날 금감원은 IT 업무 프로세스 전반을 재점검하고 사고를 예방할 필요성에 대해 강조했으며, 다시 한 번 금융IT 안전성 강화를 위한 가이드라인 배포 예정임을 밝혔다.