삼성생명·KB손보, IT 미비..금감원 지적

프로그램 관리통제 안되고 보안대책 불합리

삼성생명과 KB손해보험이 금융감독원으로부터 IT관리가 개선될 필요가 있다는 지적을 받았다.

금감원은 8일 제재 공시를 통해 삼성생명에 개선사항 1건을, KB손보엔 개선사항 3건을 각각 제재했다고 밝혔다. 경영유의사항 및 개선사항은 금융회사의 주의 또는 자율적 개선을 요구하는 행정지도적 성격을 갖는다. 금감원은 IT검사매뉴얼에 따라 필요 시 IT서비스제공, IT보안 및 정보보호 등의 항목에 따라 검사를 실시한다.

삼성생명은 프로그램 변경 및 수행 관리가 불합리하다는 지적을 받았다.

삼성생명은 개발이 완료된 프로그램을 A시스템을 통해 관리하고 프로그램 변경 관련 내부통제 절차를 수립 및 운영하고 있다. 그러나 해당 시스템을 여러 개 운영하면서 일부 프로그램에 대한 관리통제가 누락될 우려가 있는 것으로 나타났다.

금감원은 또한 일부 프로그램에 대해 오류발생으로 재수행할 때 사유를 기재하지 않는 등 관리가 부실하다고 지적했다.

이에 금감원은 “A시스템을 통합해 운영하고 프로그램 작업을 재수행할 경우 변경 사유를 충실히 기재하는 등 프로그램 변경 및 수행 관리업무를 개선하기 바란다”고 지도했다.

KB손보는 시스템 보안대책 불합리, 고객정보 접근권한 통제 불합리, 시스템 접근통제 불합리에 대해 지적받았다.

금감원은 KB손보가 같은 구간에서 운영 중인 업무지원 서버와 대외 고객서비스용 홈페이지 서버를 분리해야 한다고 지목했다. 고객서비스용 홈페이지 서버가 악성코드가 감염될 경우 업무지원 서버에도 전이될 우려가 있다는 이유에서다.

또한, 금감원은 고객정보를 담은 내부 시스템의 일부 업무화면이 업무 연관성이 낮은 직원에게도 노출되는 등 업무목적 외로 고객정보가 악용될 우려가 있다고 지적했다.

금감원은 “앞으로 고객의 접근 및 조회 권한 부여, 화면 구성의 적격성 등을 재검토해 업무에 필요한 직원만 최소한의 정보가 제공할 수 있도록 관련 시스템을 개선할 필요가 있다”고 말했다.