③차세대 시스템도 속수무책
내부 소행이냐 아니냐 말이 많았던 농협 해킹 사건이 결국 외부 해킹으로 밝혀졌다. 불과 2년전 3000억원을 들인 차세대 시스템을 오픈하고 IT 보안을 한층 더 강화했지만 해킹을 막기에는 역부족이었던 것이다.
IT업계 관계자들은 막대한 예산을 들여 시스템은 업그레이드했지만 경영진의 IT에 대한 인식 부족 등으로 관리가 제대로 되지 않는 문제를 지적하고 있다.
◇ 은행권 차세대 시스템에 1조5000억 투입, 성과는 = 지난해 2월 국민은행을 끝으로 시중은행의 차세대 시스템 도입이 마무리됐다.
차세대 시스템은 금융기관의 전사적 비즈니스 전략을 효과적으로 반영하고 지원할 수 있도록 비즈니스와 IT가 이상적으로 통합된 시스템으로 정의된다. 즉 폰뱅킹, 인터넷뱅킹, PB, 방카슈랑스 등 다양한 서비스가 등장하는 데 발맞춰 시스템 전반을 재구축하는 것이다. 업그레이드가 리모델링이라면 차세대 시스템 도입은 재개발이라 할 수 있다.
은행권은 그동안 차세대 시스템 구축을 위해 막대한 예산을 쏟아부었다. 6대 은행과 농협이 차세대 시스템에 투입한 예산은 총 1조5000억원이 넘는다.
하지만 차세대 시스템도 해킹을 막지 못했다.
지난 12일 터진 농협의 사례뿐만이 아니다. 2009년 발생한 ‘7.7 디도스 대란’도 자주 인용되는 사례다. 당시 디도스 공격을 받은 외환은행, 신한은행 등의 홈페이지는 일시에 마비됐다. 차세대 시스템으로 정보 처리 능력을 키웠지만 좀비 PC를 이용한 대규모 트래픽은 감당해내지 못했다.
국민은행도 지난해 2월 6000억원을 투입한 차세대 시스템 오픈한 첫날부터 전산 장애가 발생하기 시작해 수개월동안 일시적인 전산 장애 현상이 계속 이어졌다. 국내 최대 규모의 국민은행 차세대 시스템 구축 사업은 사업자 수주 과정에서의 사외이사 개입 의혹, 개발팀장의 자살 등으로 사회적 파문만을 남겼다.
◇ 시스템만 차세대, 관리는 구세대 = 좋은 시스템을 구축해놓고도 관리가 제대로 되지 않는 점이 가장 큰 문제다.
농협의 경우 차세대 시스템을 도입하면서 백업 등 재해복구(DR)시스템을 갖췄다. 하지만 막상 사고가 나저 DR시스템도 먹통이 됐다. 주서버의 데이터와 백업 데이터가 모두 지워진 것이다. 인건비 절감을 위해 주전산센터와 백업전산센터를 분리 운영하지 않았기 때문이다.
막대한 IT 컨설팅 예산을 들여서 업무연속성계획(BCP)도 마련해두었지만 사고 뒤에는 허둥대는 모습뿐이었다. BCP는 은행 업무나 전산에 문제가 발생했을 때 피해를 최소화하기 위한 일종의 위기대응 매뉴얼이다. 애시당초 듀얼로 모든 IT 작업을 처리한다는 BCP의 기본 원칙이 무너지면서 농협 업무 전체가 마비가 됐고 신뢰가 땅에 떨어졌다.
IT업계는 은행권 경영진의 IT에 대한 인식 부족을 지적한다. 특히 보안 부문은 사고가 나지 않으면 중요도가 드러나지 않는다.
대형 SI업체 관계자는 “협력업체 직원에게 최고 책임자 수준의 권한을 줬느냐 안 줬느냐가 논란이 되는 게 은행권 IT 보안 시스템의 수준”이라며 “은행권의 경영진이 대부분 IT에 대한 이해도가 떨어져 CIO가 한직으로 취급되고 전산보안 예산을 투자가 아닌 비용으로 인식하는 게 문제”라고 말했다.