거래로그 이용자 정보 암호화 미비
보안 위한 망분리도 제대로 안 돼
임원 1명 주의·경영 유의 2건 등
신용정보기업 코리아크레딧뷰로(KCB)가 전자금융거래 안전성 확보의무 위반 등으로 제재를 받았다.
19일 금융권에 따르면 금융감독원은 지난 9일 전자금융거래법 등을 위반한 KCB에 과태료 2000만원을 부과했다. 임원 1명에게는 주의 조처를 내렸다. 금감원 검사 결과 KCB는 개인 신용정보를 조회하는 서비스 공개용 웹서버의 일부 거래 로그에 포함된 이용자 정보를 암호화하지 않고 저장·관리했다. 전자금융감독규정 등에 따르면 금융사는 공개용 웹서버의 안전한 관리를 위해 거래로그를 예외적으로 저장하는 경우 반드시 암호화해야 한다.
보안을 위한 망 분리도 제대로 하지 않은 것으로 드러났다. KCB는 내부통신망에 연결된 업무 단말기와 업무시스템을 외부통신망과 연결해 운영했다. 전산실 내에 위치한 정보처리 시스템과 외부통신망도 물리적으로 분리하지 않았다.
KCB는 또 경영 유의 2건에 개선사항 7건도 부과받았다. 개인사업자 신용평가모형 검증 및 모니터링 운영을 강화하고 내부 통제 강화를 위한 감사 기능을 확충하라는 취지다. KCB는 개인사업자의 신용평점을 산출해 금융사에 제공하면서도 검증 수행 여부 판단기준 및 주기, 방법 등 체계적인 검증 기준을 마련하지 않았다.
감사실 인력이 적고 감사 주기가 지켜지지 않아 신규 사업에 대한 내부 통제 기능이 떨어질 우려도 제기됐다. KCB는 특정 방식으로 가명 정보를 제공하는 경우 데이터 보유부서에서 데이터 총괄부서로 적정성 검토를 요청하는 절차가 없어 재식별 방지 등의 보호조치가 누락될 수 있다는 점도 지적됐다. 개인이 신용평가점수 등의 자동화된 평가 결과에 대한 설명을 요구하거나 이의를 제기한 경우, 이를 접수하고 설명하는 절차가 명확하게 안내되지 않은 것도 개선사항으로 꼽혔다.
KCB는 개인신용정보 오남용 방지를 위해 임직원이 내부시스템에서 개인신용정보를 조회할 때 조회기록을 남겨 적정성을 점검하고 있지만 신규 부서가 내부통제시스템에 반영되지 않아 점검이 누락되기도 했다.
보안 위한 망분리도 제대로 안 돼
임원 1명 주의·경영 유의 2건 등
서울 여의도 금융감독원
연합뉴스
연합뉴스
19일 금융권에 따르면 금융감독원은 지난 9일 전자금융거래법 등을 위반한 KCB에 과태료 2000만원을 부과했다. 임원 1명에게는 주의 조처를 내렸다. 금감원 검사 결과 KCB는 개인 신용정보를 조회하는 서비스 공개용 웹서버의 일부 거래 로그에 포함된 이용자 정보를 암호화하지 않고 저장·관리했다. 전자금융감독규정 등에 따르면 금융사는 공개용 웹서버의 안전한 관리를 위해 거래로그를 예외적으로 저장하는 경우 반드시 암호화해야 한다.
보안을 위한 망 분리도 제대로 하지 않은 것으로 드러났다. KCB는 내부통신망에 연결된 업무 단말기와 업무시스템을 외부통신망과 연결해 운영했다. 전산실 내에 위치한 정보처리 시스템과 외부통신망도 물리적으로 분리하지 않았다.
KCB는 또 경영 유의 2건에 개선사항 7건도 부과받았다. 개인사업자 신용평가모형 검증 및 모니터링 운영을 강화하고 내부 통제 강화를 위한 감사 기능을 확충하라는 취지다. KCB는 개인사업자의 신용평점을 산출해 금융사에 제공하면서도 검증 수행 여부 판단기준 및 주기, 방법 등 체계적인 검증 기준을 마련하지 않았다.
감사실 인력이 적고 감사 주기가 지켜지지 않아 신규 사업에 대한 내부 통제 기능이 떨어질 우려도 제기됐다. KCB는 특정 방식으로 가명 정보를 제공하는 경우 데이터 보유부서에서 데이터 총괄부서로 적정성 검토를 요청하는 절차가 없어 재식별 방지 등의 보호조치가 누락될 수 있다는 점도 지적됐다. 개인이 신용평가점수 등의 자동화된 평가 결과에 대한 설명을 요구하거나 이의를 제기한 경우, 이를 접수하고 설명하는 절차가 명확하게 안내되지 않은 것도 개선사항으로 꼽혔다.
KCB는 개인신용정보 오남용 방지를 위해 임직원이 내부시스템에서 개인신용정보를 조회할 때 조회기록을 남겨 적정성을 점검하고 있지만 신규 부서가 내부통제시스템에 반영되지 않아 점검이 누락되기도 했다.
Copyright ⓒ 서울신문. All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지