카카오뱅크는 SK판교 데이터센터 화재로 카카오톡을 비롯한 카카오 관련 서비스가 대부분 먹통이 되는 가운데서도 핵심 기능이 멈추는 불상사를 피했다. 판교가 아닌 서울 상암동 LG CNS 데이터센터를 주전산센터로 활용한 덕분이다. 하지만 큰 사고만 비켜갔을 뿐 전산 관리에 허점이 많은 것으로 나타났다.
20일 금융권에 따르면 금융감독원은 불과 석 달 전인 지난 7월25일 카카오뱅크에 '전산자료 백업 및 소산 업무 불합리' 등의 문제를 개선하라고 지시했다.
금감원은 백업을 주기적으로 하고 있지만 백업자료의 적정성을 검토하는 절차가 마련돼 있지 않아 운영시스템의 데이터 백업이 누락될 수 있고 계정계(AP, DB) 시스템 전산자료만 백업·소산하고 있어 장애·재해발생시 소산 대상 외에는 복구하기 어렵다고 지적했다.
데이터 검증 훈련시 소산 전산자료 검증과정에서 일부 암호화된 내용을 복호화 검증하고 있어 비인가자가 전산자료를 조회하거나 유출할 가능성이 있다는 우려도 제기했다.
IT 업무 연속성 계획의 실효성에도 문제가 있었다. 카카오뱅크는 재해로 상암동 전산센터가 마비될 것에 대비해 155개 핵심 업무를 지정하고 재해복구시스템을 구축·운영하고 있다.
하지만 핵심 업무의 적정성과 재해복구시스템 구축 필요성을 점검하는 절차가 없다. 재해복구센터는 경기도 성남시 분당에 운영 중인데, 신용대출 등의 업무와 관련한 대외기관과 통신망이 재해복구센터에 구성되지 않았다. 주전산센터에 문제가 생겼을 때 관련 업무가 중단될 수 있는 것이다.
IT 부문에 대한 감사활동도 부실했다. 금감원은 검사 대상 기간 중 IT 부문 전반에 대한 종합감사 없이 테마검사 성격의 부문검사만 6회 실시했다며 인터넷전문은행 특성상 IT 업무가 차지하는 비중이 큰 점을 감안해 IT 부문 업무 전반에 대한 실질적인 감사가 이뤄질 수 있도록 내규에 종합감사 실시 주기를 정하라고 요구했다.
IT 도입과 변경 관리, 경영업무시스테 개발·운영을 총괄하는 팀장이 감사업무도 총괄해 감사업무의 독립성이 훼손될 우려가 있어 업무를 분리·조정하라는 지시도 내렸다.
카카오뱅크는 취약점 해결에도 소극적이었다. 금감원은 2020년 발견된 취약점에 대한 조치율이 저조하고 다수 취약점이 해소되지 않은데다 기술적으로 조치 가능한 것도 인정하기 어려운 사유로 위험수용으로 처리하고 있다고 지적했다.
또 위험수용 대상을 정보보호위원회 심의·의결 안건에 포함해 최고경영자에게 일괄 보고·승인해 문제점을 최고경영자가 명확하게 인지하지 못할 수 있다고 우려했다.
고객데이터 관리도 문제가 있었다. 카카오뱅크는 주민등록번호 등 주요 정보를 DB암호화 솔루션을 통해 암호화 저장·관리하고 있는데 암호화 대상 선정 기준이 명확하지 않아 테이블별로 암호화 적용 대상이 다를 뿐 아니라 일부 업무는 개발자 판단으로 암호화 여부를 결정해 암호화 대상이 누락될 가능성이 발견된 것이다.
아울러 수신·여신·카드·외환 등 전자금융업무를 관리하는 통합단말시스템의 화면 접근 권한을 요청자 팀장 결재만으로 부여할 수 있도록 해 불필요하게 권한을 가진 사례도 있었다.
전보규 기자 / 경제를 읽는 맑은 창 - 비즈니스플러스
Copyright ⓒ 비즈니스플러스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
