금융감독원이 외부 전문업체 위탁 관리와 자체 IT감사 수행이 미흡했던 금융사에 경영유의를 조치했다.

24일 금감원 공시에 따르면 금감원은 캐롯손보, 비씨카드, KB저축은행, 악사손보, 하나증권 등에 이같은 내용의 경영유의사항과 개선사항을 전달했다.

이들은 전자금융거래 효율화를 위해 핵심 업무 외 사안을 외부 전문업체에 위탁해왔으나 금감원 검사에서 제3자 서비스 관리 부서와 체계가 사실상 부재한 것으로 확인됐다. 캐롯손보·악사손보·KB저축은행은 IT 부문 감사조직을 갖추고 있음에도 약 3년간 외부 위탁업체의 업무 적정성 등을 점검하지 않은 것으로 드러났다.

이에 금감원은 외부주문 업무를 포함해 감사계획을 수립하고 외부주문 업체에 대한 업무 적정성 관리를 강화해야 한다고 지적했다.

비씨카드는 클라우드 서비스 인프라와 보안 운영 업무를 외부 위탁 형태로 운영하면서도 내부감사 절차를 마련하지 않았다. 위탁 중인 클라우드 서비스에 대해 운영현황보고서를 작성하지 않는 등 IT 거버넌스 관리 수준도 미흡한 것으로 파악됐다. 또 위탁한 클라우드 인프라의 재해복구시스템을 별도로 운영하고 있어 전사적 재해복구가 원활하게 작동하지 않을 우려도 제기됐다.

하나증권은 업무연속계획(BCP) 수립을 위해 각 부서가 업무영향분석을 실시하고 있으나 부서별 복구목표시간 설정이 분석 결과와 연계되지 않은 채 운영되고 있었다. 부서 간 협의 미으로 업무영향분석을 통해 선정된 핵심업무와 IT비상계획서에 기재된 핵심업무가 상이하게 운영 사례도 있었다.

여성경제신문 박소연 기자 syeon0213@seoulmedia.co.kr