[일간투데이 허우영 기자] 수협은행(은행장 이동빈) IT담당부서의 부실한 업무행위가 적발돼 금융당국으로부터 과태료 부과와 함께 경영유의사항 2건, 개선사항 14건이 제재됐다.

6일 금융감독원은 수협은행에 대한 검사 결과 과태료 3000만원 제재를 내렸다고 밝혔다.

금감원에 따르면 금융회사는 공개용 웹서버의 안전관리를 위해 내부통신망과 외부통신망 사이의 독립된 통신망(DMZ구간)에서 거래로그를 암호화해 관리해야 한다. 하지만 수협은행은 이용자 정보를 암호화하지 않고 그대로 저장한 것으로 드러났다.

또 수협은행은 전산원장을 변경하면서 전후 내용의 자동기록과 보존을 수행하지 않고 변경내용의 정당여부에 대한 제3자 확인을 수행하지 않은 사실도 검사기간 중에 적발됐다.

특히 금융사는 해킹에 대비 내부사용자의 비밀번호 유출을 방지하기 위해 이를 암호화 해 보관하고 분기별로 변경해야 한다. 하지만 수협은행은 암호화를 하지 않고, 비밀번호를 특수문자를 넣어 8자리 이상으로 하지 않고 주기적으로 변경조차 하지 않았다.

이밖에도 수협은행은 노후PC 불용 처리시 데이터저장장치(HDD 등) 원본에 대한 일련번호 등을 관리하지 않아 임의 저장장치를 제출해도 원본 여부를 알수없어 정보유출 우려가 제기됐다.

정보처리시스템 폐기 업무절차 표준화도 마련하지 않았고, IP 주소 관리 미흡, 단말기 통신망 관리 절차 미흡, 무선통신망 차단시스템 관리 미흡 등 부적절한 사항도 대거 적발됐다. 수협은행과 수협중앙회는 메신저시스템 등 IT업무시스템을 분리하지 않고 별도의 통제절차없이 공동 사용해 고객정보 유출 우려도 드러났다.

전자금융사고에 대비한 이상거래탐지시스템(FDS)의 운영 절차는 물론 방화벽으로 불리는 침입탐지시스템 정책 운영도 미흡한 것도 밝혀졌다.

업계 관계자는 "수협은행 IT부문의 부실이 금감원의 검사로 적발돼 과태료와 개선사항으로 그쳐 다행이지 만약 금융사고가 발생했으면 기관경고를 받을 수 있는 중대한 부실"이라고 말했다.
저작권자 © 일간투데이 무단전재 및 재배포 금지