금감원, 캐롯손보·비씨카드 등 ‘경영유의’…외주 맡겨놓고 관리도 안했다

금융회사들이 핵심 IT업무까지 외부 전문업체에 맡겨놓고 관리·감독은 사실상 방치해온 것으로 드러났다. 금감원은 “위탁업체 관리 미흡”을 이유로 캐롯손보·비씨카드·KB저축은행·약사손보·하나증권 등 다수 금융사에 경영유의 조치를 내렸다.

23일 금융권에 따르면 금감원은 최근 해당 금융사들에 ▲외부위탁·3자 서비스 통제 체계 미흡 ▲IT 내부감사 부재 운영 보고서 미작성 ▲재해복구체계 부실 등 개선사항을 전달했다.

금융권은 핵심업무에 집중하고 전자금융거래 효율화를 위해 외주 비중을 늘려왔지만, 정작 금감원 검사 결과 3자 서비스에 대한 관리 조직과 체계가 존재하지 않는 곳이 다수였던 것으로 확인됐다.

특히 캐롯손보·악사손보·KB저축은행은 IT 부문 감사조직이 있음에도 약 3년간 외부위탁업체의 업무 적정성 검사를 하지 않은 것으로 드러났다.

금감원은 “외부위탁 업무를 포함한 감사계획을 수립하고, 위탁업체에 대한 관리 강화를 해야 한다”고 지적했다.

비씨카드는 클라우드 서비스 인프라와 보안 운영을 외부업체에 맡기고 있으면서도 내부감사 절차를 운영하지 않았다. 위탁 관리 중인 클라우드 서비스의 운영현황보고서도 작성하지 않는 등 IT 거버넌스 관리 수준이 미흡한 상태였다.

위탁한 클라우드 인프라와 별도로 재해복구시스템을 운영해 전사적인 재해복구가 원활히 이뤄지지 않을 가능성도 지적됐다.

하나증권의 경우 유사시 업무연속계획(BCP)을 위해 부서별 업무영향분석을 실시하고 있었지만, 핵심업무 선정 기준이 부서별로 다르게 운영되는 등 협의 부족으로 인해 일관성이 떨어지는 문제가 나타났다.

금감원은 “각 금융사는 업무영향분석 결과의 적정성을 검토하고, 결과를 IT 비상계획서에 반영해야 한다”고 강조했다.

[ 경기신문 = 공혜린 기자 ]