개인신용정보처리시스템 접근권한 및 접속기록 관리 허술
 |
| ▲ 금융감독원. [사진= 연합뉴스] |
신용보증기금이 개인신용정보 관리를 허술하게 해 감독당국으로부터 경영 유의 조치를 받았다.
경영유의 조치는 금감원이 금융회사에 주의 또는 자율적 개선을 요구하는 행동지도적 성격의 조치다.
20일 금융권에 따르면 최근 금감원은 신용보증기금에 대해 ▲ 상거래 종료된 고객의 개인신용정보 관리 ▲ 개인신용정보처리시스템 접근권한 및 접속기록 관리 ▲ 개인신용정보 조회 적정성 점검 절차 등의 개선을 요구하고 경영 유의 조치했다.
신용보증기금은 내규상 보증해지·채권상환 등으로 상거래 관계가 종료된 고객 정보에 대해 단계별 접근제한·분리보관 등의 보안조치를 수행하고 있으나, 단계별 결과에 대한 신용정보관리·보호인의 검증·확인, 분리보관 데이터 베이스의 접근 권한 부여 절차를 마련하지 않고, 접근이력의 사후확인이 어려워 보안조치를 제대로 수행하지 않을 우려가 있었다.
금감원은 이에 개선을 요구하고, 단계별 보안조치 절차를 자동화하기 위해 분리보관 프로그램을 운영하고 있으나 특정 주기에 수행되어 일부 정보는 보존기한 5년을 위반해 분리보관 할 우려가 있다며 이 또한 개선할 필요가 있다고 지적했다.
또 신용보증기금은 개인신용정보처리시스템 접근권한 및 접속기록 관리도 허술했던 것으로조사됐다.
개인신용정보처리시스템을 운영하면서, 접근권한은 시스템별 소관부서가 개별적으로 검토해 부여하고 각 부서별 접근권한의 적정성은 정보보안센터에서 점검하고 있으나, 각 부서는 수작업으로 접근 권한을 관리해 권한 없는 자가 접근할 우려가 있었고, 일부 부서는 권한변경 이력의 체계적 관리가 미흡해 사후 점검이 제대로 이뤄지지 않을 우려가 있었다.
그리고 개인신용정보처리시스템의 접속기록을 월 1회 점검하고 있고, 각 서버 저장장치에 1년 이상 저장하고 백업시스템을 통해 위·변조 등 무결성 검증을 하고 있으나 접속기록 중 일부의 점검주기가 지연되거나 누락된 사례도 발생했던 것으로 조사됐다.
금감원 관계자는 "접속 기록 중 일부 저장시 한번 기록되면 수정이 불가능한 웜(Write Once Read Many) 디스크를 사용하지 않아 위·변조 가능성이 우려되므로 접속기록 점검이 누락되지 않도록 접속기록 점검절차에 따라 철저히 점검하고 접속기록에 대한 기록 관리를 강화할 필요가 있다"고 지적했다.
한편, 신용보증기금은 개인신용정보 조회 적정성 점검 절차도 미흡했던 것으로 확인됐다
내규에 따라 각 부서는 매영업일마다 직전 영업일에 조회한 신용정보 내역을 해당 부서장이 확인 후 결재하는 등의 점검절차를 마련·운영하고 있으나, 개인신용정보 관리를 총괄하는 부서가 각 부서의 조회 적정성 점검을 확인하기 위해 실효성 있는 관리적 보안대책을 마련·운영하지 않아 일부 신용정보 조회기록을 누락하는 사례도 발생했다
금감원 관계자는 "신용정보보호·관리부서는 개인신용정보 오남용 및 누설 방지를 위해 조회 기록의 적정성 점검 업무를 강화해야 한다"며, "아울러, 정보보안업무기준에 따르면 악성코드 감염에 따른 유출, 대외비 자료 무단반출 등에 대한 자체 제재기준은 마련되어 있으나, 부당 조회 등 개인신용정보 오남용 직원에 대한 제재기준이 없으므로 관련 기준을 마련할 필요가 있다"고 말했다.
금감원으로부터 조치를 받은 금융사는 조치일로부터 6개월 이내에 개선·보완 등의 내용을 제출해야 한다.
[메가경제=이석호 기자]
[저작권자ⓒ 메가경제. 무단전재-재배포 금지]
