내부통제 소홀 및 중요정보 노출 우려…삼성 1건·KB 3건 개선 제재
[뉴스핌=이지현 기자] 금융감독원이 삼성생명과 KB손해보험의 시스템 관리 및 보안 불합리성을 지적했다.
8일 금감원 경영유의사항 공시에 따르면 금감원은 지난달 26일 삼성생명에 프로그램 변경 및 수행 관리 불합리를 개선할 것을 요구했다. 개선사항과 관련된 제재는 금융사의 주의 또는 자율적 개선을 요구하는 행정지도적 성격의 조치다.
금감원은 "삼성생명이 프로그램 변경 관련 내부통제 절차를 수립·운영하고 있으나, 일부 프로그램 관리통제가 누락될 우려가 있는 등 내부통제가 부실하게 운영될 수 있다"며 "더불어 일부 프로그램의 경우 이를 재수행하는 과정에서 그 사유를 기재하지 않는 등 수행근거 관리가 부실하다"고 지적했다.
이에 따라 금감원은 삼성생명에 시스템 통합 운영과 프로그램을 재수행할 경우 변경 사유를 충실히 기재하는 등 관리업무를 개선하라고 요구했다.
금감원은 또 KB손해보험에 대해서도 개선사항 3건을 요구했다.
우선 임직원 등의 업무지원을 위한 서버를 대외 고객서비스용 홈페이지 서버와 동일한 구간에 설치·운영하고 있어 홈페이지 서버가 악성코드에 감염되는 경우 업무지원 서버 역시 전이될 우려가 있어 보안 취약점이 존재한다고 지적했다. 앞으로 해당 서버는 홈페이지 서버와 분리해 별도 구간에 설치·운영토록 하라는 것.
또 일부 시스템의 각 업무화면은 업무별로 접근 권한을 부여해 운영하고 있지만, 일부 화면의 경우 유관부서의 업무편의성을 위해 조회권한을 업무와 관계 없는 직원 등에게까지 부여하고 있는 점이 지적됐다.
이에 따라 고객정보가 노출되거나 업무목적 외로 악용될 우려가 있어 앞으로 고객정보의 접근 및 조회 권한 부여, 화면 구성의 적정성 등을 재검토해 업무에 필요한 직원에게만 최소한의 정보를 제공하는 등 시스템을 개선할 필요가 있다는 것.
금감원은 더불어 중요 정보 노출에 대한 점을 지적했다. 외부에서 접속이 가능한 한 시스템 운영에 있어 적절한 통제가 없어 사용자 접속정보가 노출·도용될 수 있다는 것이다.
또 보험설계사가 보험계약을 조회할 경우에도 주민등록번호를 직접 입력해 조회할 수 있도록 하고 있어 개인식별정보 노출 최소화의 원칙에 부합하지 않는다는 점도 개선사항에 포함됐다.
금감원은 "앞으로 동 시스템 접속시 정당한 사용자 여부를 확인할 수 있도록 하고 주민번호를 통한 조회권한을 축소하는 등 관련 시스템을 개선할 필요가 있다"고 요구했다.
[뉴스핌 Newspim] 이지현 기자 (jhlee@newspim.com)