현대캐피탈과 농협중앙회의 전산사고는 국내 금융권을 대표하는 선두 금융사들의 내부통제가 기대에 미치지 못했다는 점에서 적지 않은 파장을 던지고 있다.
이에 따라 금융당국의 금융권에 대한 내부통제 점검 등 본격적인 후속조치가 취해질 것으로 전망된다. 특히 금융권에선 이번 전산사고의 원인으로 IT거버넌스의 부재를 지목하고 있다.
금융사의 경쟁기반인 IT에 대해 근본적인 체계 정립과 투명성 확보, 경영층의 확실한 인식 및 책임이 수반돼야 한다는 주장이다. 이에 디지털데일리는 4회에 걸쳐 금융권 IT거버넌스의 현 상황과 향후 전망에 대해 조망해본다.<편집자 주>
[디지털데일리 이상일기자] 현대캐피탈과 농협의 연이은 전산사고로 인해 금융권 내부 통제에 대한 재검토가 이뤄져야 한다는 주장이 설득력을 얻고 있다.
지난 18일 현대캐피탈의 전산사고에 대한 금융당국의 조사결과 현대캐피탈은 서버에 접근할 수 있는 계정과 비밀번호 관리에 소홀했으며 인터넷프로토콜(IP) 주소에서 해킹시도가 이뤄진 것을 포착하고서도 예방조치를 하지 않았던 것으로 나타났다.
농협중앙회 역시 전산사고의 원인으로 북한이 지목되고 있지만 협력업체 직원의 노트북 반입 및 비밀번호 관리 허술 등의 내부통제 실패 사례가 확인되고 있는 상황이다.
무엇보다 이번 사고는 금융권에서 핵심 인프라로 자리매김하고 있는 IT부분에서 사고가 발생할 경우 해당 기업에 얼마만큼의 피해를 끼칠 수 있는 지를 극명하게 보여준 사례라고 할 수 있다.
따라서 금융권 안팎에선 IT 내부 통제 강화를 위한 IT거버넌스 고도화가 진행될 필요성이 높다는 주장이 제기되고 있다. 무엇보다 이번 사건들이 IT운영 및 사람에 대한 통제에서 실패한 만큼 둘 다를 개선할 수 있는 IT거버넌스의 확립이 중요하다는 설명이다.
IT거버넌스협회(ITGI)에 따르면 IT거버넌스란 경영진과 이사회의 책임이며 조직의 전략과 목적을 IT가 유지 및 발전시키기 위한 것으로 리더십이나 조직구조, 프로세스로 구성된다고 정의하고 있다.
IT거버넌스의 정의 자체에는 인식의 차이가 있지만 IT를 기업 경영의 근간으로 보고 이를 효과적으로 통제하고 투명성을 확보하려 한다는 점에서 최근 금융권의 전산사고를 예방할 수 있는 키워드로 부상하고 있다.
한편 일각에선 보안 거버넌스의 강화도 제기되고 있다. 보안 거버넌스란 IT거버넌스의 하위에 자리잡고 있는 보안 분야를 따로 떼어내어 좀 더 집중적으로 보안 이슈를 다루자는 개념이다. 하지만 전문가들은 IT거버넌스 체계를 우선 확립하고 보안 거버넌스를 다루는 것이 효율적이라고 보고 있다.
최근 일련의 사태들이 IT자체에 대한 경영층의 안이한 태도에서 불거졌다는 비판이 일어나면서 IT전반에 대한 인식과 제도, 직원들에 대한 통제 등이 전사적으로 일어나야 한다는 것이다.
물론 금융권의 경우 IT거버넌스 도입은 꾸준히 이뤄져왔다. 하지만 대부분 금융권 IT시스템의 초점은 구축에 맞춰져 있었으며 이에 대한 효과적인 운영에 대해서는 소홀히 해온 것이 사실이다.
이를 보완하기 위해 IT서비스관리(ITSM) 도입이 진행된 바 있지만 이것이 IT거버넌스 체계 확립까지 발전했다고 보기에는 어렵다는 것이 전문가들의 의견이다.
업계의 한 관계자는 “IT 거버넌스 실정에 대한 정확한 진단을 통해 현실인식과 핵심 주체인 IT 조직/인력/절차/규정에 대한 근본적인 변화와 개선이 수반되지 않고서는 ITSM 등의 시스템 도입은 의미가 없다”고 설명했다.
물론 IT거버넌스 도입이 금융권의 내부통제 실패를 보완해줄 수 있는 열쇠로 지목되고 있는 것에 부정적인 업계 관계자들도 있다. 최근의 사태에 따라 비즈니스 적으로 접근하려는 일부 IT업체들의 마케팅 전략이라는 주장이다.
하지만 이에 대해 업계의 한 관계자는 “현재 IT 관리의 문제를 복잡한 관리구조와 유지관리인력의 열악한 처우에서 기인한다고 100% 장담하기는 힘들더라도 분명히 어느 정도의 원인이 되었으리라는 것은 예상할 수 있다”며 “이러한 복잡한 하청구조, 이런 구조를 반영한 관리 프로세스/규정 등의 대한 개선이 지금의 문제를 근본적으로 해결할 수 있는 열쇠라고 생각한다”고 설명했다.