삼성SDS의 화재 사고를 둘러싸고 삼성이 내홍(內訌)에 휩싸였다. 삼성카드와 삼성화재 등 삼성 금융계열사들과 삼성SDS간에 화재로 인한 2차 피해의 책임 소재를 두고 책임 공방이 벌어진 것이다.
같은 삼성 계열사이지만 회사마다 데이터 관리규정과 재난복구시스템(DR)의 기준이 달라 피해가 의외로 커지자 책임 회피에 나선 모습이다. 특히 소비자의 큰 불편을 초래한 삼성카드와 삼성SDS와 책임공방이 이어지고 있다.
삼성SDS측은 금융 데이터에 대한 중요성을 삼성카드에 충분히 설명했다는 입장인 반면, 삼성카드 측은 비용 문제로 온라인 결제용 재난복구시스템을 갖추지 못했다고 해명했다.
전문가들은 이번 화재와 수습대책을 놓고 천재(天災)가 아닌 인재(人災)사고였다고 지적했다. 이번 사고의 책임 소재가 분명해지면 최대 수백억원의 보상금을 지급해야하는 상황이 벌어질 수 있다. 이런 이유로 삼성SDS와 삼성카드·삼성화재 등 금융 계열사간에 책임 떠밀기가 펼쳐지고 있는 상황이다.
◆ 삼성SDS vs 삼성카드 ‘책임공방’…금감위 규정 위반 여부도 확인필요
삼성카드는 23일 현재 4일째 온라인 결제서비스가 중단된 상태다. 이날 오전 10시를 기준으로 인터넷 결제와 문자알림서비스, 체크카드 사용, ATM 기기 사용 등의 복구가 완료됐다. 하지만 삼성카드 온라인서비스 홈페이지와 애플리케이션은 아직도 먹통 상태다.
금융회사들은 대부분 금융 데이터의 중요성 때문에 메인센터와 함께 재난복구시스템을 두고 데이터를 분산해 관리하고 있다. 신한·현대·KB국민·비씨카드 등은 온라인 결제 부분도 DR을 구축, 메인센터에서 사고 발생시 3시간 이내에 복구될 수 있도록 시스템을 갖추고 있다.
삼성카드의 경우 현장 결제 시스템을 수원에, 온라인결제와 인터넷 서비스는 과천에 메인센터를 두고 있다. 구미에는 데이터 백업센터를 운영하고 있다.
재난복구시스템은 ‘천재지변’이나 해킹 등 각종 재해에 대비해 주 전산센터가 시스템 운영이 불가능해질 경우를 대비해 다시 정상으로 복구하는 시스템이다.
금융위원회의 전자금융감독규정 제23조 8항에 따르면 금융회사는 시스템 오류 자연재해 등으로 인한 전산센터 마비에 대비해 업무지속성을 확보할 수 있도록 적정 규모·인력을 구비한 재난복구시스템 센터를 주전산센터와 일정거리 이상 떨어진 안전한 장소에 구축하고 운영해야 하며 복구 목표시간은 3시간 이내로 해야 한다.
삼성카드는 현재 카드 가맹점들을 대상으로 하는 현장 결제에만 이 시스템을 두고 있다. 온라인 결제나 인터넷 서비스에 대해서는 데이터 백업만 할 뿐, 복구를 위한 시스템을 따로 마련하지 않았다.
삼성카드 관계자는 “인터넷 시스템이나 모바일 등 과거에 상대적으로 중요도가 낮았던 데이터에 대해서는 구축 필요성이 낮았다”며 “4~5년마다 차세대 시스템 교체사업을 펼치고 있는데 내년 2월 완료를 목표로 온라인결제 시스템에도 이중화 작업을 준비할 계획이었다”고 말했다.
삼성SDS 관계자는 “시스템 구축계약을 맺을 때와 매년 재계약을 하면서 삼성카드 측에 금융 데이터에 대한 중요성과 재난복구시스템의 필요성을 충분히 설명했지만 삼성카드 측에서 비용문제로 온라인 결제까지 복구시스템을 구축할 필요는 없다고 판단했다”고 말했다.
◆ 삼성, 계열사간 통일된 데이터 관리 기준 없어
삼성그룹 전체를 포괄하는 표준화한 데이터 센터 관리규정이 없다는 점도 도마에 올랐다.
화재 여파로 삼성카드의 일부 서비스는 여전히 중단된 상태지만 삼성화재는 곧바로 복구를 완료했다. 결국 통합적인 규정이 없어 각 계열사별 복구시점이 제각각 다른 것이다.
삼성 계열사의 한 관계자는 “그룹 전체가 사용하는 시스템에 대한 보안·백업 규정은 있지만, 이번 사고처럼 계열사간 계약에 적용하는 규정은 없다”고 말했다. 이 관계자는 “이번 사고로 그룹내 통일된 보안규정을 마련하자는 의견이 나오고 있다”고 덧붙였다.
삼성카드보다 복구가 빨랐던 삼성화재는 메인 데이터센터를 과천이 아닌 인천에 두고 있다. 삼성화재는 인천사옥에서 자체적으로 메인서버를 운영하고 있으며, 삼성SDS 과천센터에는 보조 수단인 재난복구시스템을 갖췄다. 삼성화재 관계자는 “삼성화재는 금융 데이터의 중요성을 감안해 자체서버와 외부서버로 나눠 데이터를 관리하고 있다”고 말했다. 삼성선물과 삼성증권도 서울 여의도에 자체 서버를 두고 있다.
서울 지역 한 사립대의 컴퓨터공학과 교수는 “IT솔루션을 제공하는 삼성SDS의 수동적으로 자세와 금융 데이터의 복구시스템을 구축해놓지 않은 삼성카드의 안일한 의식수준이 화를 불렀다”며 “이는 글로벌 IT기업인 삼성 입장에서 부끄러운 일”이라고 말했다. 이 교수는 “이번 기회에 SDS와 금융 계열사에 대한 보안·백업·복구 시스템 수준을 확인해볼 필요가 있다”고 설명했다.
성수현 YMCA시민중계실 간사는 “그동안 카드사들이 모바일카드 활성화에만 집중해 마케팅을 펼치면서, 사고발생에 대비한 백업시스템을 구축에 소홀히 했다”며 “금융당국의 철저한 조사와 함께 삼성SDS와 삼성카드 등 사고를 일으킨 기업들의 경우 피해자들에게 합당한 보상책을 제시해야 한다”고 말했다.