10일 저녁 농협은행의 인터넷뱅킹 및 스마트뱅킹 서비스가 또다시 중단됐다. 지난달 20일 주요 금융회사와 방송사에서 동시다발적으로 발생했던 이른바 '3ㆍ20 전산대란'이 불거진 뒤 불과 20여일 만이다. 농협의 고객들은 또다시 놀란 가슴을 쓸어내리며 서비스 중단에 따른 불편을 감수해야 했다. 공교롭게도 이날은 '3ㆍ20 전산 사태가 북한의 소행'이라는 정부의 중간 조사결과가 발표된 날이기도 했다. 2011년 4월 전산마비 사태에 이어 농협은 두 번이나 북한의 사이버테러 타깃이 된 셈이다.
그런데 모든 것을 '북한 탓'으로만 돌리기에는 농협의 전산사고가 너무 잦다. 2011년 4월 1차 해킹 사태 이후 현재까지 농협에서 불거진 크고 작은 전산사고는 무려 10건에 육박한다. 이쯤 되면 상습적이라는 표현이 적합할 듯싶다.
상황이 이렇다 보니 농협의 허술한 정보기술(IT) 관리ㆍ감독 체계가 끊이지 않는 전산사고로 이어지고 있다는 지적에 힘도 실리고 있다. 김수봉 금융감독원 부원장보는 11일 브리핑에서 농협의 전산사고가 잦은 배경에 취약한 'IT지배구조'가 작용했다고 보고 경영진의 책임을 엄중히 묻겠다고 밝히기도 했다.
◇'습관적 전산사고' 잉태한 구조적 한계=2011년 4월 사상 초유의 전산마비 사태를 경험한 농협은 지난해 IT보안에만 1,000억원이 넘는 예산을 투입했다. 이는 농협의 전체 IT예산(2012년 기준) 중 30% 해당하는 규모다. 금융회사의 경우 전체 IT예산 중 7% 이상을 IT보안예산에 투입하라는 것이 금융 당국의 권고사항인데 이를 크게 웃돌았다. 농협 측은 "IT보안과 관련한 예산이나 인력규모는 금융계 최상 수준"이라고 자부했다.
하지만 막대한 예산을 쏟아부어도 농협은 대형 전산사고가 끊이지 않는다. 농협의 IT 관리ㆍ감독 체계가 여타 금융회사보다 허술하기 때문이다. 김 부원장보는 "농협은 금융지주와 은행 등 자회사의 전산시스템을 농협중앙회에 위탁ㆍ운영하고 있는데 자회사가 중앙회의 IT 업무처리와 보안통제 부문을 효과적으로 관리할 수 있는 체계가 갖춰지지 않았다"고 말했다. 실제로 농협은행 등 농협금융지주 계열사들의 전산은 모두 농협중앙회에서 관리한다. 지난해 3월 농협의 경제사업과 신용사업을 분리하는 신경분리에서 IT 부문의 분리는 2015년까지 유예됐다.
문제는 농협중앙회의 경우 금감원이 감독하는 여타 금융사들과 달리 농림축산식품부가 감독권을 지니고 있다는 사실이다. 대형 전산사고가 불거져도 금감원이 제재를 가할 방법이 없다. 더욱이 농협중앙회는 협동조합법에 의해 독립성과 자율성이 보장되기 때문에 정부부처가 개입할 여지도 적다. 농협중앙회가 스스로 IT 사업을 관리하고 감독하는 시스템을 지니고 있기 때문에 문제가 발생해도 '제 식구 감싸기'에만 급급할 수밖에 없는 게 현실이다. 전산사고의 책임을 지고 이재관 당시 전무이사가 사퇴했지만 그는 올해 1월 농협중앙회가 운영하는 농협대학교 총장에 취임하기도 했다. 무늬만 징계였던 셈이다.
◇금융 당국 "CEO 문책 가능성도 열려"=농협의 허술한 IT 관리ㆍ감독은 결국 금융감독 당국의 문책으로 이어질 것으로 전망된다. 신동규 농협금융지주 회장으로까지 칼날이 향할 수도 있다. 김 부원장보는 이날 브리핑에서 '신 회장이 일련의 사고에 책임을 져야 하지 않느냐'는 질문에 "가능성은 열려 있다"면서 "검사 결과 역할을 충분히 못 했으면 사고 관련자의 책임을 묻겠다"고 말했다.
금감원은 지난달 27일 농협은행과 농협생·손보에 대한 검사에 착수했으며 그룹 내 IT 시스템을 총괄하는 농협중앙회로 검사 대상을 확대했다. 중앙회 검사 결과는 제재권을 가진 농림식품부에 통보된다. 금감원은 더 나아가 농협의 전산사고가 재발하지 않도록 전산장애 개선대책을 세워 시행하고 주기적으로 점검 받는 내용의 양해각서(MOU)를 농협 측과 맺는 방안도 추진할 방침이다.