실시간
뉴스

금융IT

과도한 IT아웃소싱 책임론…금융 IT전략, 또 다른 혼선

디지털데일리 발행일 2014-02-05 09:52:50
박기록

- [행사 안내] [디지털데일리 이노베이션 포럼 2014] 사물인터넷(IoT, Internet of Things) 도전과 기회

금융권에 IT아웃소싱은 '불안하고 위험한 선택'이란 인식이 확산되고 있다. 수차례에 걸친 치명적인 보안사고의 여파 때문이다. 금융산업의 IT의존도가 높아지면서 IT사고로 인한 충격파가 예전보다 커진 것은 사실이지만 IT아웃소싱 책임론이 과도하게 나오는 것은 또 다른 왜곡을 낳을 수 있어서 바람직스럽지 않다. 2회에 걸쳐 금융 IT아웃소싱 위축에 따른 문제점을 분석해 본다. <편집자>

- 금융 IT아웃소싱의 위기 (상)

[디지털데일리 박기록기자] 지난 1월말, SC은행 노조는 이 은행 CIO인 김수현 부행장(IT총괄)의 사퇴를 요구했다.

그보다 앞서 한달 전인 지난해 12월말, 10만건에 달하는 SC은행의 고객정보가 유출됐다는 검찰의 발표가 있었다. 최근 발생한 카드 3사의 고객정보 유출사태 만큼이나 중대한 사안이었으나 당시에는 흔한(?) 보안사고의 하나로 인식돼 그다지 언론의 주목을 받지 못했다.

그것과는 별개로, 검찰 발표 이후에도 은행 내에서 아무도 책임지는 모습을 보이지 않자 노조가 직접 CIO의 퇴진을 요구한 것이다. 국내 금융권에서 크고 작은 전산사고가 발생하지만 노조가 CIO의 퇴진을 요구한 것은 이례적이다.

SC은행 노조가 왜 그런 요구를 했는지를 이해하는 것은 어렵지 않다. 노조측은 ‘개인정보 유출 사태의 원인을 외주업체 직원에게 불필요하게 많은 업무가 치중됐기 때문’이라고 주장했다. 고객정보 유출사고의 원인을 따져 들어갔지만 핵심은 직원들의 고용불안을 야기할 수 있는 IT아웃소싱 체제를 문제삼고 있는 것이다.

물론 SC은행의 고객정보 유출사고가 외주직원에 의해 저질러진 것은 사실이다. 은행 전산망에 저장된 고객정보를 USB로 절취한것은 최근 발생한 카드 3사의 사례와 유사하다.

그러나 한 발 떨어져 생각해보면 IT아웃소싱 비중이 높은 금융회사가 IT로 인해 발생하는 모든 문제의 원인을 IT아웃소싱의 문제로 규정화하는 것은 논리적으로 무리한 귀결이다. IT 보안사고는 내부통제의 문제, 관리상의 문제일뿐 이를 과도하게 IT아웃소싱과 같은 IT운영 전략상의 문제로 확대시킬 수는 없기 때문이다.

결과적으로 이는 국내 금융권 내부에서 여전히 IT아웃소싱에 대한 현격한 인식차가 존재함을 의미한다.

◆“노조로 부터 IT를 격리” …IT아웃소싱의 또 다른 활용 사례 = SC은행은 SC(스탠더드 채터드)가 새주인이되기 훨씬 이전, 뉴브리지캐피털이 대주주로 있던 지난 2000년대초부터 이미 IT아웃소싱을 확대해왔다.

물론 SC은행(당시 제일은행)이 IT인프라에 대한 아웃소싱을 확대한 궁극적인 이유도 IT비용절감은 아니었다. 노조로부터 IT인프라를 안정적으로 격리(?)하는 데 있었다.

론스타와 같은 사모펀드 계열인 뉴브리지캐피털은 IMF 외환위기 구조조정 과정에 싼값에 제일은행을 인수했고, 시장이 안정화되면 가격을 높여 시세차익을 남기고 되팔아야하는 게 그들의 비즈니스 전략이었다. 그러기 위해선 IT인프라가 최우선적으로 안정적으로 가동돼야 했다.

실제로 2000년대 초반, 신한-조흥, 국민-주택 등 국내 은행권은 대규모 M&A(인수합병) 과정에서 전산시스템을 볼모로 하는 심각한 파업 휴유증을 겪는다.

뉴브리지캐피탈은 제일은행 매각과정에서 이같은 상황이 전개될 경우 제대로된 가격을 받지 못할까 염려했다. 결국 은행 경영진은 IT인프라를 안정적으로 격리시키는 작업에 착수하게 된다.

이 과정에서 제일은행이 은밀하게 추진한 것이 삼성SDS, EDS, 한국IBM 등 외부 업체를 대상으로 한 토털 IT아웃소싱이다. 지난 2001년 6월의 일이다,

하지만 이 토털 IT아웃소싱 계획은 실행 직전 언론에 의해 노출됐고, 결국 전산매각을 반대하는 노조의 강력한 반대에 부딪혀 며칠만에 수포로 돌아간다.

그러나 사실 토털 IT아웃소싱 계획은 백지화되지 않고 우회로를 선택하게 된다. 토털 IT아웃소싱 추진 파문 이후 3년이 흐른 지난 2004년, 제일은행은 마침내 국내 최고 수준의 비즈니스상시운용체계(BCP) 기반 재해복구센터 구축이 완료됐음을 발표한다.

당시 제일은행은 잠실 IT센터의 모든 IT자원을 현대정보기술 용인 데이터센터에 듀얼시스템 방식으로 구축하는 것은 물론, 재해 발생 30분 이내에 정상업무가 가능토록 '실시간 완전 미러링(Real-Time Full Mirroring) 방식'의 재해복구체계를 갖췄다.

혹시라도 매각 이슈로 인해 노조의 대규모 파업이 발생한다해도 IT는 안전하게 보호할 수 있는 물리적 체계가 완성된 것이다.

결국 이것이 어느 정도 효과는 봤는지는 모르겠지만 제일은행은 마침내 2005년 1월, SC(스탠더드채터드)로의 매각이 성사된다.

◆IT아웃소싱 책임론, 또 다른 부작용 우려 = 지금까지 금융권에서 IT아웃소싱은 필요이상의 정치적 의미가 많이 부여됐다. 또한 역으로 최근 일련의 금융 보안사고의 원인이 IT아웃소싱으로 귀결되는 것과 같은 애꿎은 피해를 보기도 한다.

‘IT아웃소싱이 보안사고의 직접적인 원인’이라는 논리라면 IT아웃소싱 비중이 높은 국내 금융회사들은 보안사고 발생빈도와 통계적으로 유의미한 상관관계를 보여야하는데 사실 이를 구체적으로 입증할만한 분석결과가 아직 제시된 적은 없다. 금융회사의 내부통제 실패에 대한 책임을 묻는 것이 먼저다.

현시점에서 우려해야하는 것은 IT아웃소싱에 대한 과도한 책임론으로 파생되는 또 다른 부작용이다. IT아웃소싱 비중을 50% 이하로 줄일 것을 요구한 전자금융감독규정이후 국내 금융권은 이 기계적인 수치를 맞추느라 엄청난 조정작업을 진행해야 했다.

문제는 금융권이 50% 이하로 IT부문 외주 비중을 낮췄다고 해도 궁극적으로 IT비효율은 또 다른 형태로 나타나게 된다는 점이다.

이를테면 금융 IT조직의 조정, IT예산의 실질적인 감소와 IT서비스의 질적 하락, IT거버넌스의 문제, 나아가 금융 IT전략의 혼선이 뒤따르게 된다는 게 전문가들의 지적이다.

<박기록 기자>rock@ddaily.co.kr


Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지

이 기사와 관련된 기사

디지털데일리 네이버 메인추가

당신이 좋아할 만한 뉴스

DD 마이크로 사이트

오피니언

x