금융사, 자회사·외부상주인력 포함 '편법'…'5%' 기준 겨우 넘겨
[아시아경제 조은임 기자] "시스템 최고 관리 권한인 루트 계정 권한까지 외주 직원에게 넘기고선 관리하지 않는 경우도 현장에서 많이 봤다." (정보보안 컨설턴트 A씨)
민주당 김기준 의원이 금융감독원으로부터 제출받은 자료에 따르면 국내 18개 은행의 정보기술부문 상주인력 중 내부직원의 수가 자회사ㆍ외주인력보다 많은 곳은 SC제일은행, 씨티은행, 외환은행, 농협은행 등 8곳으로 절반이 채 되지 않는다. 결국 금융 보안 현장에서 내부인력이 수적으로 부족하다보니 관리가 소홀할 수밖에 없는 셈이다.
한 시중은행 보안담당자는 "비용절감으로 외주업체에 일을 맡기게 됐는데 인력구조에서 수가 역전되다 보니 주도권을 빼앗겼다"며 "핵심적인 기술적 요소들도 내부직원에게는 알려주지 않아 사실 관리하는 데 한계가 있다"고 털어놨다.
전문성에 있어서도 외주인력이 월등히 앞서는 것으로 전해졌다. 서버교체 등 내부 인력으로 감당이 안되는 부문은 불가피하더라도 이후의 프로그램 업데이트나 관리 까지 모두 외부인력이 전담하다 보니 관리 부재로 이어질 수 밖에 없다는 것이다.
이에 대해 김동규 한양대 융합전자공학부 교수는 "핵심은 외주인력에게 시스템 권한을 어디까지 주는냐는 것이다"라며 "전체 개발도 관리도 외주인력들이 하다보니 그들이 모든 권한을 가지게 되고 일부 직원의 자의에 의해 외부유출도 가능하게 된다"고 설명했다.
코리아크레딧뷰로(KCB) 직원이 정보를 유출한 이번 사건에서 보듯 외주직원이 낸 사고는 뒷수습 과정이 간단치 않다. 카드3사는 책임소재를 가리기 위해 사고 직후 용역 파견계약서 조항검토부터 증빙서류 수집까지 나선 것으로 알려졌다. 지난 18일 청문회에서도 보안 프로그램 해지 여부를 두고 카드사와 KCB 직원, 검찰 공소장의 내용이 모두 달라 책임 소재를 파악하지 못했다.
시중은행의 한 정보보안 관계자는 "책임 소재와 보상 문제에서 외주인력 운용에 단점이 있지만 전문인력의 외주화는 관리책임만 확실히 동반된다면 전 세계적인 추세"라며 "은행 경영진의 보안의식 수준에 따라 외주인력운용 성과가 달라질 것"이라고 말했다.
조은임 기자 goodnim@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>