폭우 등 재난재해에 대비하는 금융권…현실은 아직 미흡

By홍하나

#지난 2021년 8월, 중부지방 집중호우로 인해 서울 여의도 한투증권 본사 사옥이 침수됐다. 이로 인해 본사 서버 전력공급이 중단되면서 홈트레이딩시스템(HTS), 모바일트레이딩시스템(MTS)의 전산장애가 발생했다. 

#지난 2010년에는 한파로 인해 씨티은행의 전산시스템이 마비된 바 있다. 인천에 있는 씨티은행의 한 전산센터 냉각기가 동파되면서 전산시스템이 물에 잠겨 지점 업무와 인터넷뱅킹 등 모든 금융거래가 중단된 바 있다. 

최근 기록적인 폭우가 내린 가운데 재난재해로 인한 금융권의 피해가 우려되고 있다. 폭우나 한파로 전산센터가 물에 잠기거나 데이터센터 화재 등으로 인해 금융 시스템이나 서비스가 마비될 수 있기 때문이다. 

폭우 등 재난재해로 인한 시스템 마비에 대응하기 위해 시중은행은 주전산센터인 데이터센터와 재해복구(DR)센터의 위기관리 대응을 강화하고 있다. 

KB국민은행은 데이터센터를 김포에, 재해복구센터를 일산에 두고 있다. 국민은행은 전산 관련 이슈가 발생하면 ‘금융전산 재난 현장조치 행동 매뉴얼’을 바탕으로 행동 계획을 수립하고, 상황이 종료될 때까지 운영한다. 위기 유형별, 수준별 대응조치를 적시에 수행할 수 있도록 비상대응 프로세스를 마련한다. 

신한은행은 데이터센터가 죽전, 재해복구 센터가 일산에 있다. 자연재해, 폭우 시 정전을 대비해 누수 차단공사 등 누수방지 조치를 한다. 정기적으로 전기시설에 대한 검사를 실시하며, 정전 시 비상 발전기가 가동된다. 

우리은행은 데이터센터가 상암, 재해복구센터가 분당에 위치해있다. 정기적인 재해복구 훈련을 실시하고 주센터와 재해복구센터 간 실시간 미러링이 가능하다. 폭우 대비 침수 방지를 위해 재해복구센터에 차수막을 설치했다. 

하나은행은 IT전문계열사인 하나금융티아이가 보유한 청라 그룹 통합 데이터센터를 통해 메인 서버를 운영하고 있다. 재해상황을 대비해 분당에 재해복구 센터를 운영하고 있다. 재난 상황 발생 시 은행장 중심의 비상대책위원회를 구성해 위기관리팀, 업무복구팀, IT인프라 복구팀 등의 대책팀을 구성한다.  

-중요해지는 재해복구 시스템, 그러나 운영·관리 미흡 

이럴 때일수록 재해복구(DR) 시스템이 중요해지고 있다. 재해복구는 홍수, 태풍, 지진 등의 천재지변과 통신, 전력 장애, 해킹 등으로 인한 재해상황에도 서비스가 유지될 수 있도록 돕는다. 금융당국은 지난해 말부터 간담회를 열고 전산사고 방지를 주문했으나, 금융사에 재해복구를 위한 재난 비상대책 절차가 제대로 마련되지 않은 것으로 확인됐다. 

금감원에 따르면, 전자금융서비스를 제공하는 금융사 중 중소형사 118개사는 재해복구센터를 별도로 구축하지 않은 것으로 나타났다. 다만, 이들은 관련 법규상 재해복구센터 구축 의무가 있는 회사는 아니다. 

금감원 측은 “재해복구센터 서버 등 용량이 주전산센터에 크게 미달하거나, 대외기관 전용선이 누락되어 재해발생 시 정상적인 서비스를 제공할 수 있을지 의문”이라고 밝혔다. 이어 “외부 연계서비스 계약 시 IT위험평가 절차, 손해배상 등 계약 지침이 마련되어 있지 않고, 장애발생에 대한 대책이 미흡하다”고 덧붙였다. 

아울러, 금감원은 금융권의 비상대책 재해 대응절차가 구체적이지 않고 비상대책위원회가 별도로 구성되어 있지 않거나 역할과 책임 부여가 불분명하다고 지적했다. 금감원은 “업무영향분석 절차가 마련되어 있지 않거나, 단편적인 평가요소만으로 업무별 복구 우선순위를 결정해 핵심업무의 누락이 발생할 수 있다”고 말했다.

문제는 이뿐만이 아니다. 재난재해 발생에 대비한 보험을 가입하지 않은 곳도 많았다. 금감원에 따르면, 최근 3년간 전자금융사고 관련 손해배상 금액은 금융투자 139억원, 중소서민 23억원, 은행 2억원, 전자금융업 8억원 등 총 172억원으로 나타났다. 

그 중 전자금융사고 책임이행을 위한 보험 가입을 하지 않거나 기준에 미달한 경우가 많았다. 특정 유형의 사고에 대해 기준금액 미만으로 가입했거나 사고발생 건당 보상한도를 기준금액 미만으로 가입한 경우가 있었다. 

또 장애내역을 관리하지 않는 등 전자금융사고 관련 내부통제가 미흡하고 보고기준을 자의적으로 해석해 사고 미보고 사례가 빈번했다는 것이 금감원 측의 발표다. 

이에 금감원은 재해복구센터 구축의무 대상회사를 확대하고 IT부문 검사 시 업무 연속성 확보대책을 중점적으로 점검할 계획이다. 금융IT 비상대책 가이드라인을 제정하고 전자금융사고 관리, 보고체계를 개선하기로 했다. 

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network

[danbi_socialsharing]

작은 것이라도 지나치지 않겠습니다. 0626hhn@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다