저축은행중앙회가 고객 정보를 암호화하지 않고 내부정보 반출을 통제할 수 있는 장치를 갖추지 않는 등 IT 관리를 소홀히 해 금융감독원의 제재를 받았다.
26일 금융업계에 따르면 금감원은 지난 21일 인터넷 및 모바일뱅킹 관련 보안 대책을 불합리하게 하는 등 7개 개선사항을 담은 제재 조치를 내렸다. 이는 금감원이 지난해 12월 7일부터 2주 동안 저축은행중앙회를 점검한 데 따른 결과다.
금감원 제재 중 개선사항은 금융사의 주의 또는 자율적 개선을 요구하는 행정 지도적 성격의 조치에 해당한다. 제재받은 금융사는 3개월 내 지적받은 사항을 개선한 후 금감원에 보고해야 한다.
금감원이 저축은행중앙회에 개선하도록 요구한 사항은 △ 전자금융거래 재해복구시스템 구축 미흡 △ 외부 위탁·운영시스템 관리 체계의 불합리 △ 인터넷 및 모바일뱅킹 관련 보안 대책 불합리 △ 서버 및 시스템 보안 대책 불합리 △ 내부정보 반출에 대한 통제대책 불합리 △ 고객 정보 보호 대책 불합리 △ 재해복구 통합모의훈련 운영 불합리 등 총 7개다.
우선 금감원은 저축은행중앙회가 외부에 위탁·운영하는 재해복구시스템 구축이 미흡해 해당 외부업체의 제공 서비스가 마비되면 전자금융거래 중단이 될 수 있어 일부 채널 부문에 재해복구시스템을 추가로 구축·운영할 것을 권고했다. 이와 함께 재해복구 통합 모의훈련에 참여하는 저축은행 수를 확대·운영할 것을 요구했다.
현재 저축은행중앙회는 홈페이지·이메일 등을 외주업체에 위탁·운용하면서 중앙회 내 일반 부서가 시스템에 관한 모든 업무를 맡고 있다. 그러나 금감원은 앞으로 전산시스템의 보안통제 등 IT 부문에 관한 사항은 전문성이 있는 IT부서에서 담당하도록 하는 등 관리 체계를 개선해야 한다고 지적했다.
금감원이 개선 조치를 내린 내용 중에는 고객 정보 유출을 우려해 개선할 것을 요청한 사항도 있었다.
금감원은 저축은행중앙회가 고객에게 배포하는 보안프로그램을 보관하는 과정에서 해킹 등으?악성코드가 고객 PC로 삽입·배포될 우려가 있다며 이를 내부 서버에 보관하도록 권고했다.
저축은행중앙회는 서버 로그파일에 저장된 일반 고객의 주민등록번호 등 일부 개인정보를 암호화 하지 않아 개선을 요구받았다.
이 밖에도 금감원은 저축은행중앙회에서 내부 정보가 반출되더라도 이를 검증할 별도의 절차가 없다고 지적해 내부정보 유출 방지 대책을 세울 것을 강조했다.
금감원 관계자는 "저축은행중앙회는 67개 저축은행이 공동으로 사용 중인 통합전산망을 가동하고 있다"며 "정보 보안이나 재해복구 시스템이 미흡하면 개별사에도 영향을 미칠 수 있어 이러한 제재를 내렸다"고 밝혔다.
저축은행중앙회 관계자는 "3개월 내에 금감원 제재 조치에 따라 개선한 후 보고할 계획"이라고 말했다.
유은정 기자 viayou@segye.com
