삼성SDS ICT 과천센터 화재 여파로 삼성카드를 사용 중인 수십만 명의 소비자가 카드사용에 큰 불편을 겪었다. 먹통이 된 서비스를 어느 정도 복구했다지만 여전히 앱카드 서비스 등은 되지 않는다.
금융당국은 부랴부랴 현장점검에 나섰고, 삼성카드를 엄중조치하겠다고 벼르고 있다. 그런데 제재 수위를 놓고 당국이 골머리를 앓고 있다는 후문이다. 엄밀히 따져보니 이번 사고에 대해 법적 제재를 가할 수 있는 규정이 애매하기 때문이라는 것이다.
전자금융감독규정에는 ‘금융회사는 시스템 오류, 자연재해 등으로 인한 전산센터 마비에 대비해 업무지속성을 확보할 수 있도록 적정 규모·인력을 구비한 재해복구센터를 주전산센터와 일정거리 이상 떨어진 안전한 장소에 구축·운용해야하며 복구 목표시간은 3시간 이내로 해야 한다’는 조항이 있다.
하위 규정인 ‘모범규준’에는 재해복구센터 운영 시 반드시 준수해야할 금융기관의 핵심 업무를 정의해 놓았다. 사고 발생 시 금융당국이 명문화한 핵심 업무 정보는 반드시 백업을 받도록 했다.
문제는 규정 어디에도 온라인(인터넷)거래와 모바일 기반의 거래 데이터를 어떻게 보관, 관리하라는 세부 가이드라인이 없다. 바꿔 말하면 카드사는 플라스틱 카드로 가맹점에서 결제하는 정보만 보관하면 된다고 이해할 수 있다.
당국은 실태조사를 거쳐 온라인과 모바일 거래 정보를 감독규정에 포함시키는 방안을 시급히 마련하겠다고 한다.
이미 신용카드 거래의 상당 부분은 스마트폰과 인터넷 기반으로 이뤄진다. 최근 보안 강화가 주요 이슈로 떠올랐지만 여전히 감독규정은 현실을 따라가지 못하고 있다는 지적이 나오는 이유다.
금융당국은 조속히 온라인과 모바일 거래 관련 재해복구시스템 현황을 점검하고, 현실을 반영하지 못한 감독규정을 개정해야 한다. 무엇보다 가이드라인조차 마련하지 않고 처벌 운운하는 구태부터 개선하는 것이 첩경이다.
경제금융부·
길재식기자 osolgil@etnews.com