금융감독원은 최근 전산시스템 재해복구 비상계획의 실효성 확보를 요구하는 경영유의 조치안을 생보협회에 통보했다.
금감원에 따르면 생보협회는 주전산센터가 자연재해, 기술적 재해, 침해사고 등에 의해 기능을 상실할 경우에 대비해 ‘비상사태(재해) 시 전산복구대책’을 수립하고, 중요 전산자료를 백업해 소산 및 보관하고 있다.
그러나 전산복구대책에는 재해 시 전산시스템 운용에 필요한 별도의 전산센터, 서버 등 운영기기 확보 방안과 핵심 업무, 복구 목표 시간 등 세부 내용이 빠져 있다.
또 전산자료 소산 대상 시스템을 중요 업무에 해당하는 9개 시스템으로 한정해 소산하지 않는 시스템의 경우 주전산센터 재해 발생 시 전산자료가 소멸될 우려가 있다.
금감원 측은 “전산복구대책을 세부적으로 보완 및 개선하고, 전산자료 백업 및 소산 대상을 확대 운영해 재해복구 비상계획의 실효성을 확보할 필요가 있다”고 강조했다.
이 밖에도 금감원은 정보기술(IT)부문 내부통제절차 불합리와 정보처리시스템 보안통제 및 보인인증관리 불철저 등 2가지 사항에 대한 개선을 요구했다.
생보협회는 IT부서 내 인력 부족 등으로 상호견제가 필요한 일부 업무와 전산원장, 프로그램 변경 등 중요 업무 수행에 대한 내부통제 절차가 미흡한 것으로 확인됐다.
특정 시스템의 경우 주민등록번호와 공인인증서 등을 통해 이용자 접근을 통제하고 있으나, 일부 화면에서 이용자 정보가 노출될 우려가 있다는 지적을 받았다.
한편 경영유의 및 개선사항은 금융사의 주의 또는 자율적 개선을 요구하는 행정지도적 성격의 조치로 제재와 구별된다.