이 기사는 2016년 05월 11일 17:14 thebell 에 표출된 기사입니다.

효성그룹의 금융자회사인 효성캐피탈이 IT업무와 관련한 내규 관리 등을 소홀하게 해 금융감독원의 지적을 받았다.

11일 금융권에 따르면 금감원은 지난달 효성캐피탈에 IT관련 내규 관리 등이 불합리하게 운영되고 있다며 5건의 개선명령을 내렸다. 개선 명령은 금융회사의 주의 또는 자율적 개선을 요구하는 행정지도적 성격의 조치다.

금감원의 조사에 따르면 효성캐피탈은 IT관련 업무에 대한 규정, 지침, 매뉴얼을 각각 제정·운영하고 있고 임직원이 쉽게 공유할 수 있도록 관리하고 있다.

하지만 규정·지침의 경우 전자금융감독규정 등 관련 법규의 최신 개정내용이 반영되지 않아 관련 법규를 준수하지 못하고 있는 것으로 검사결과 나타났다. 매뉴얼도 제·개정 현황 등을 관리하지 않아 업무 혼선이 발생할 우려가 있는 것으로 파악됐다. 따라서 전산운영 변경사항과 관련 법규 개정사항 등이 최신상태로 반영될 수 있도록 제·개정 현황 관리 절차를 개선할 필요가 있다는 지적이다.

또 내부정보 유출방지대책과 관련한 개선도 요구했다. 효성캐피탈은 내부자료 보안을 위해 문서암호화시스템과 자료유출방지 솔루션 등을 설치해 문서 암호화와 USB쓰기 통제 등을 운영하고 있다.

그러나 암호화 해제 문서의 재암호화 절차를 마련하지 않아 내부 자료 등이 외부로 유출될 위험이 있고, USB 쓰기권한 부여시 허용기간에 대한 통제기준을 마련하지 않아 USB 등을 통한 정보유출 우려가 있다고 지적했다.

금감원은 "암호화 해체 문서의 재암호화 절차를 마련하고 USB 쓰기 허용기간을 설정하는 등 자료유출통제 절차를 개선할 필요가 있다"고 말했다.

고객정보 암호화 등 통제절차 관련 개선 요구도 있었다. 직원의 고객정보 대량 조회시 고객정보에 대한 접근을 통제하고 있으나 암호화 등 별도의 통제가 없어 정보 유출의 우려가 있다는 설명이다.

금감원은 "직원이 고객정보를 대량으로 조회할 때 암호화 등 통제절차를 거치도록 하는 등 고객정보 접근통제와 관련한 절차의 개선이 필요하다"고 말했다.

금감원은 이밖에도 효성캐피탈이 백업된 전산자료를 이용한 복구테스크 등 실효성 검증을 실시하지 않고 있어 재해상황 발생시 복구에 필요한 전산자료가 유실되거나 적시에 복구가 이뤄지지 않을 우려가 있다고 판단해 개선조치를 했다.