[디지털투데이 강진규 기자]  금융감독원이 카카오 금융계열사에 대한 전방위 검사에 나선 가운데, 장애 3시간 이내 복구를 마쳤느냐가 쟁점이 될 것으로 보인다. 금감원은 카카오뱅크, 카카오페이, 카카오증권 등 카카오 금융계열사들이 지난 15일 판교 SK C&C 데이터센터 화재로 인한 카카오 서비스 장애 발생 시 비상 대응이 적절했는지 긴급 점검에 들어간 상황이다.

금융당국은 전자금융감독규정을 통해 핵심 금융서비스에 대해 3시간 이내 복구를 주문하고 있다. 과거 금융당국은 유사한 사건 당시 외부 서비스에 대한 점검, 실제 대비 훈련 여부를 검사했다. 금감원은 이런 규정들이 제대로 지켜졌는지 카카오 금융계열사에도 확인할 것으로 보인다.

지난 17일 금감원은 “카카오 전산센터 화재로 인해 일부 금융서비스가 작동하지 않는 등 국민 피해가 발생하고 있는데 대해 심각한 문제로 인식하고 긴급 대응 중이다”고 밝혔다.

15일 오후 3시 30분부터 카카오가 입주해 있는 판교 SK C&C 데이터센터에서 화재가 발생해 카카오톡 메신저, 카카오택시, 카카오맵, 다음 한메일 등이 중지됐다. 당시 카카오페이, 카카오뱅크의 일부 서비스도 영향을 받았다.

이에 금감원은 전산센터 화재사고 발생 후 카카오 금융계열사가 비상대응계획에 맞춰 조치가 신속히 이뤄졌는지 점검하고 필요시 검사를 실시할 방침이다. 대상은 카카오뱅크, 카카오페이, 카카오증권 등이다.

그렇다면 금감원은 어떤 부분을 점검하게 될까? 

금융권 관계자들에 따르면 전자금융감독규정에 금융회사 및 전자금융업자의 백업, 복구 등에 대한 내용이 담겨있다.

규정은 금융회사에 백업 또는 재해복구센터를 활용한 재해복구계획을 수립하고 모의훈련을 실시하도록 요구하고 있다. 

특히 금융당국은 금융회사들이 핵심업무를 선정해 3시간 이내 복구해야 한다고 규정했다. 비핵심 업무의 경우도 업무별로 복구목표시간을 정해야 한다. 다만 보험회사의 경우 업무 특성을 반영해 핵심업무 복구 시간을 24시간으로 규정하고 있다.

금감원은 카카오금융계열사들이 장애 발생 후 3시간 이내에 핵심업무를 차질 없이 운영했는지 그리고 다른 업무들의 경우 복구과정이 어떻게 됐는지 확인할 것으로 보인다. 

금융당국은 규정을 통해 금융회사가 매년 1회 이상 재해복구센터로 실제 전환하는 훈련을 실시하도록 하고 있다.

이번에 문제가 된 전력공급과 관련해서도 전자금융감독규정은 대비책을 갖출 것을 요구하고 있다. 규정 10조 4는 ‘전력공급 장애 시 전력선 대체가 가능하도록 복수회선을 설치하고 전력공급의 연속성 유지를 위한 무정전전원장치를 갖출 것’을 명시하고 있다. 또 과전류, 누전 등에 대한 방지 대책도 수립하도록 하고 있으며 백업 장치 구비에 관한 조항도 있다.

규정에는 이번 사건과 같은 전산실이 위치한 건물의 화재에 대한 내용 역시 있다. 규정은 화재발생 시 조기진압을 위한 설비 등을 갖춰야 한다고 돼 있다. 데이터센터 화재가 조기에 수습되지 못한 만큼 금융당국이 관련 내용을 확인할 것으로 보인다.

과거 금융회사 전산망이 마비된 사건 사례를 통해서도 금감원의 점검 내용을 예측할 수 있다. 

2014년 삼성SDS 데이터센터 화재로 삼성카드 등의 서비스에 장애가 발생했다. 금감원은 삼성카드를 점검한 후 제재조치를 했다.

당시 금감원의 삼성카드 제재조치 문건에 따르면 금감원은 삼성카드가 재해복구센터 구축을 잘못해 복구목표시간이 3시간을 초과한 것을 문제 삼았다.

외주업체 전산센터 화재라고 해서 예외가 인정되지 않았다. 또 점검 과정에서 금감원은 삼성카드가 매년 1회 이상 실제 전체 재해복구전환훈련을 실시해야 했지만 일부 시스템을 대상으로만 훈련한 것을 지적했다.

2011년 NH농협 전산망 마비 사건과 관련해 금감원은 외주 업체 점검, 관리 문제를 지적했다.

2011년 4월 해킹으로 인해 NH농협 전산망이 마비돼 NH농협은행 등의 서비스가 중단됐다. 당시 NH농협은행의 전산시스템은 농협중앙회가 위탁운영하고 있었다. 

금감원은 검사를 진행한 후 NH농협은행에 대해 제재 조치했다. 금감원은 NH농협은행이 IT시스템을 위탁했지만 수탁업체인 농협중앙회의 IT 운영 실태 등에 대한 관리, 감독이 소홀했다고 판단했다.

금감원은 NH농협은행이 위탁을 했더라도 자체적인 장애관리 및 비상대책을 마련했어야 했고 수탁업체에 대한 점검도 했어야 했다고 지적했다. 

두 사례는 외부 업체의 문제라고 해서 금융회사들이 장애 발생의 책임을 피할 수 없다는 점을 보여준다.

삼성카드, NH농협은행 사례를 볼 때 금감원은 카카오금융계열사들이 전체 시스템에 대한 재해복구전환훈련을 했는지 여부를 확인할 것으로 예상된다. 또 카카오금융계열사들이 SK C&C 데이터센터를 입주한 후 센터의 안전대책 등을 점검했는지도 확인할 것으로 보인다.