갑을병정 하청에 금융 보안 뚫렸다

금융권 전산(IT) 보안에 대한 불안감이 높아지고 있다. 현대캐피탈에서 고객 정보 해킹 사건이 벌어진 뒤 농협 전산망이 파괴되는 일이 잇달아 벌어졌기 때문이다. 농협이 사건 처리를 하는 과정에서 우왕좌왕하며 일이 커져버렸다. 농협은 사건 초기부터 방화벽이 튼튼하다는 이유를 들며 내부자의 소행 쪽에 무게를 두었다. 하지만 검찰 조사를 통해 외부 침입 흔적이 발견되었고, 로그 흔적이 지워진 것이 확인되었다. 결국 금세 범인이 밝혀질 것이라는 예상과 달리 수사가 장기화할 것으로 보인다. 또 국회 보고 과정에서 ‘2008∼2009년 농협에서 해킹 사건이 있었는데, 이를 돈으로 무마한 일이 있었다’는 사실도 알려졌다. 여기에 더해 농협의 전산 비밀번호 관리가 대단히 허술했던 것으로 밝혀졌다. 농협이 거의 7년 동안 비밀번호를 변경하지 않고 사용하거나, 0000처럼 소프트업체가 제공한 기본 비밀번호를 그대로 둔 사실이 드러났다.

 

이번 농협 전산망 파괴 사건이 벌어지면서 금융권 내 IT 보안 업무의 문제점 또한 속속 드러난다. 농협의 시스템 관리 외주는 IBM이 맡고 있었다. IBM에서 파견한 직원은 루트 번호(시스템에 접속할 수 있는 비밀번호)를 알았던 것으로 드러났다. 그 비밀번호로 노트북을 통해 시스템에 한 번 접속한 기록이 있어서 협력업체 직원이 검찰 수사를 받는 중이다. 금융권 IT 보안업무를 잘 아는 한 전산 전문가는 “은행의 전산 담당자들이 루트 번호를 외주업체에 알려주지 말아야 하는데, 이상이 생기면 결국은 자기들이 마지막에 챙겨야 하니까 귀찮아서 이를 외주 담당자에게 알려준 뒤 알아서 처리하도록 하는 경우가 많다”라고 말했다. 농협 사건 이후 다른 은행에서도 외주업체에 알려준 루트 번호를 회수하고 번호를 변경하는 소동이 인 것으로 알려졌다.

 

“양재동 농협은 프로그래머 3대 막장”

금융업에서 서버 등 전산기기는 ‘공장 기계’와도 같다. 인터넷·모바일 거래 등 금융 관련 기술이 발달하면서 그 중요성도 커지고 있다. 그런데 그에 비해 금융권에서 ‘IT 홀대’ 현상이 오히려 점점 심해진다는 지적이 나온다. 은행권 전산 업무를 잘 아는 이는 “은행이 다루는 데이터 용량은 많아지는데, 시스템 투자에는 인색하다. 업무는 늘어나는데, 전산 인력을 계속 줄이고 대접은 소홀하다. 승진에도 불리하기 때문에 전산직을 한직으로 여긴다”라고 말했다.

 

금융권에서 IT 업무를 자회사로 이관하거나 아웃소싱하는 흐름은 2005년 중반부터 나타났다. 금융권 위탁업무에 대한 규정이 완화되면서 ‘IT 아웃소싱’ 흐름이 두드러졌다. 정명희 전국금융산업노조 부장은 “은행에서 IT 자회사를 만들고, 자회사에서는 하드웨어 수리 등 기본 업무를 맡고, 소프트웨어나 프로그램은 외주 협력업체에 맡기는 구조가 일반적이다. 비용을 줄이기 위해서인데 시중은행은 거개가 비슷한 구조라고 보면 된다”라고 말했다.

 

11년차 프로그래머 신준호씨(가명)는 IT 업계의 이 같은 하청 관행을 ‘다단계 갑을병정’ 식이라고 표현했다. 전산업무를 외주화하면서 전산 시스템에 들이는 비용을 줄이고 외주업체들의 경쟁이 치열해지면서 은행이 갑, 외주업체가 을로 취급받는 현상이 점점 더 심해졌다는 것이다. 이 개발자가 전하는 업무 흐름은 이렇다. “금융회사가 갑이 되고, 그 자회사가 을이 된다. 자회사 인력이 모자라니까 1차 협력회사인 병에게 외주를 준다. 병인 1차 협력사는 규모가 큰 회사이거나 자회사에서 퇴직한 이들이 세운 회사가 많다. 이 1차 협력사에서도 인력이 모자라면 또 다른 하청 회사(정)에 재하청을 준다. 재하청을 받은 이 회사는 ‘자바’ 할 줄 아는 프로그래머 몇 명, ‘C언어’ 할 줄 아는 프로그래머 몇 명 하는 식으로 개발자를 모은다. 갑을병정 어디에도 속하지 못한 개발자들은 이력서를 갑 회사에 내고 일을 한다. 프로젝트의 노동 강도가 세면 그만두고, 그 자리는 또 다른 개발자가 메운다.”

 

실제 고객 데이터로 업무 테스트하기도

이 프로그래머는 또 이번에 문제가 생긴 농협의 양재동 전산센터를 ‘프로그래머의 3대 막장’이라고 표현했다. “목동 ○○, 양재동 농협, 을지로 ○○○○. 이곳들은 보수는 적은데 야근을 밥 먹듯이 하는 곳으로 유명해 프로그래머에게는 기피 대상이다”라고 말했다. 갑을병정 식으로 하청에 재하청으로 프로그램 개발과 업무가 이루어지다보니 책임감이 떨어질 수밖에 없다. “개발자 처지에서는 완성도와 무관하게 오픈 일정만 맞추고 나가면 된다. 시스템이 불안정해질 수 있다”라고 그는 말했다.

 

일정을 조급하게 맞추려다보면 개인 정보에 대한 보안의식은 뒷전으로 밀려나기 쉽다. 신준호씨는 몇 년 전에 한 금융회사에서 개발업무를 맡았을 때 고객들의 한 달치 실제 데이터로 테스트를 한 적이 있다고 말했다. “금융권 전산에서는 데이터가 누락되는 일이 없도록 테스트를 꼼꼼히 한다. 그런데 그때 연습용 데이터로 실제 고객들의 한 달치 데이터를 주었다.” 나중에 다 삭제했다고는 하지만 개인 정보 보안이 얼마나 취약할 수 있는지를 보여주는 사례다.

 

일부 금융회사들은 보안 강화를 위해 전산 분야 아웃소싱을 철회하기도 했다. 삼성증권은 전산업무를 일부 아웃소싱했다가 몇 년 전부터 인소싱(기업의 서비스나 기능을 조직 안에서 총괄적으로 제공하고 조달하는 방식)했다. 삼성증권의 한 관계자는 “스마트폰 등 IT 기기가 발달하면서 개발 속도가 점점 빨라지고, IT 기술이 핵심 경쟁력이 되었다. 또 디도스 공격 등이 사회문제화하면서 보안 관련 수준을 좀 더 높여야 한다는 측면 등을 고려해 전산 인력을 영입했다”라고 말했다.

 

농협 사태를 계기로 전국사무금융노조는 4월28일 ‘금융기관 IT 아웃소싱 이대로 좋은가’라는 긴급 토론회를 계획 중이다. 궁지에 몰린 농협도 전산 부문에 대한 광범위한 대책을 마련하겠다고 밝혔다. 김동규 한양대 융합전자공학부 교수는 “발전하는 IT 기술을 따라가기 어렵다 하여 경영 효율화를 내세워 아웃소싱하는 경향이 크다. 금융기관이 아무리 첨단 금융기법을 개발해도 기본적인 IT 능력이 없으면 속 빈 강정이 될 수밖에 없다. 설계에서부터 개발, 심지어 운영 관리까지 협력업체에 맡기면서 정작 내부에는 IT 전문 인력이 거의 없는 현 구조를 재고할 필요가 있다”라고 지적했다. ‘갑을병정’ 위에 IT 강국은 없다는 뜻이다.

 

- 시사인 차형석 기자