금융 IT외주인력 머릿수·전문성 압도…"현장선 갑을관계 역전"

비용 절감위해 외부업체 선호…내부인력보다 많아 통제 안돼
금융사, 자회사·외부상주인력 포함 '편법'…'5%' 기준 겨우 넘겨

[아시아경제 조은임 기자] "시스템 최고 관리 권한인 루트 계정 권한까지 외주 직원에게 넘기고선 관리하지 않는 경우도 현장에서 많이 봤다." (정보보안 컨설턴트 A씨)

1억여건의 카드3사 정보유출 사태를 놓고 전산 외주인력의 적절성 여부와 관리의 문제라는 의견이 팽팽히 맞서고 있다. 금융사가 외주인력에게 의지하는 것보다 정보보안에 전문성을 갖춘 보안인력을 직접 채용해야 한다는 주장에 대해 정보보안 컨설턴트업계는 관리소홀 책임을 회피한 채 내ㆍ외부 사람만 따지고 있다고 맞불을 놓고 있는 것이다.

민주당 김기준 의원이 금융감독원으로부터 제출받은 자료에 따르면 국내 18개 은행의 정보기술부문 상주인력 중 내부직원의 수가 자회사ㆍ외주인력보다 많은 곳은 SC제일은행, 씨티은행, 외환은행, 농협은행 등 8곳으로 절반이 채 되지 않는다. 결국 금융 보안 현장에서 내부인력이 수적으로 부족하다보니 관리가 소홀할 수밖에 없는 셈이다.

한 시중은행 보안담당자는 "비용절감으로 외주업체에 일을 맡기게 됐는데 인력구조에서 수가 역전되다 보니 주도권을 빼앗겼다"며 "핵심적인 기술적 요소들도 내부직원에게는 알려주지 않아 사실 관리하는 데 한계가 있다"고 털어놨다.

금융당국이 총 임직원 수의 중 5%를 정보기술인력으로 배치하라는 총비중 규제 가이드라인을 만들었지만 금융사들은 자회사, 외부상주인력까지 모두 포함하는 편법을 사용, 겨우 기준선을 넘기고 있다. 지난해 6월을 기준으로 KB국민은행 정보기술부문 인력 중 내부직원은 493명으로 외주인력 수와 동일하고 자회사 상주직원이 110명인 걸 고려하면 내부인력이 확연히 부족하다. 하나은행은 상주 외부직원 115명, 자회사 직원 138명으로 둘을 합하면 224명인 내부인력 총수를 상회한다.

전문성에 있어서도 외주인력이 월등히 앞서는 것으로 전해졌다. 서버교체 등 내부 인력으로 감당이 안되는 부문은 불가피하더라도 이후의 프로그램 업데이트나 관리 까지 모두 외부인력이 전담하다 보니 관리 부재로 이어질 수 밖에 없다는 것이다.

이에 대해 김동규 한양대 융합전자공학부 교수는 "핵심은 외주인력에게 시스템 권한을 어디까지 주는냐는 것이다"라며 "전체 개발도 관리도 외주인력들이 하다보니 그들이 모든 권한을 가지게 되고 일부 직원의 자의에 의해 외부유출도 가능하게 된다"고 설명했다.

코리아크레딧뷰로(KCB) 직원이 정보를 유출한 이번 사건에서 보듯 외주직원이 낸 사고는 뒷수습 과정이 간단치 않다. 카드3사는 책임소재를 가리기 위해 사고 직후 용역 파견계약서 조항검토부터 증빙서류 수집까지 나선 것으로 알려졌다. 지난 18일 청문회에서도 보안 프로그램 해지 여부를 두고 카드사와 KCB 직원, 검찰 공소장의 내용이 모두 달라 책임 소재를 파악하지 못했다.

시중은행의 한 정보보안 관계자는 "책임 소재와 보상 문제에서 외주인력 운용에 단점이 있지만 전문인력의 외주화는 관리책임만 확실히 동반된다면 전 세계적인 추세"라며 "은행 경영진의 보안의식 수준에 따라 외주인력운용 성과가 달라질 것"이라고 말했다.

조은임 기자 goodnim@asiae.co.kr