개인정보 유출에 관한 우려가 커지는 가운데, KB캐피탈이 개인정보 유출과 해킹 등에 따른 이상징후 탐지가 어렵다는 감독당국의 지적을 받아 개선이 시급한 것으로 나타났다.

23일 금융감독원에 따르면 KB캐피탈은 최근 금감원으로부터 경영유의사항 2건과 개선사항 8건의 조치를 받았다.

KB캐피탈은 내부 임직원에 대한 개인정보 유출 등을 모니터링하기 위해 정보보호 모니터링 솔루션을 도입했다. 그러나 금감원은 이에 관해 단편적인 보안 로그 분석 외에 추가적인 정밀 로그 분석을 실시하지 않는 등으로 개인정보 유출 및 해킹 등에 따른 이상징후 탐지가 어려워 모니터링을 강화할 필요가 있다고 밝혔다.

또한 개인신용정보 과다조회 모니터링을 위해 관련 내용을 확인할 수 있는 기능을 개발·운영 중이나 탐지 규칙에 오류가 발견되는 등 모니터링 관리가 미흡한 부분이 나타나 개선사항으로 언급됐다.

KB캐피탈은 필수 정보처리시스템 운영지침을 마련하지 않은 점도 문제가 됐다. 이와 함께 IT관련 내규가 정보보호 업무에 편중됐으며 시스템에 게시된 IT관련 내규에는 최근 제·개정된 내용이 누락되는 등의 사실이 드러났다.

금감원은 이에 대해 IT관련 내규 관리체계를 IT조직규모에 맞게 개편해 내부통제를 강화할 것과 내규 게시를 일원화하는 등 관리를 강화할 필요가 있다고 판단하고 경영유의 조치를 내렸다.

또한 KB캐피탈은 신규 IT사업 추진과 관련해 추진방안 및 일정 등 사전에 충분한 타당성 검토를 실시하기 위한 담당부서와 검토시기 등 세부적인 업무절차를 두지 않았다. 이로 인해 추진한 IT사업이 수차례 지연되거나 추진되지 않아 연간 IT사업 예산 대비 집행률이 낮은 것으로 나타났다.

IT전략계획 수립 및 이행상태를 감시해야 할 ‘IT운영위원회’를 구성·운영하지 않는 등 IT사업계획 수립과 추진과정에 대한 감시가 허술한 점도 발견됐다. 금감원은 IT사업계획 수립과 운용관리를 강화할 필요가 있다고 보고 경영유의사항으로 판단했다.

한편 KB캐피탈은 IT부서에 자체감사 담당자가 지정되지 않아 자체감사를 실시한 사례가 없었으며 IT감사역의 업무절차를 다룬 매뉴얼 등도 마련하지 않았던 것으로 금감원은 파악했다.

이와 함께 △IT업무 위탁관리 △비상계획 △프로그램 변경통제 △미사용 전산장비 관리 △백업장비 가용성 관리 등에 대해 불합리한 부분들이 개선사항으로 지적됐다.

KB캐피탈은 개인정보 유출 탐지 및 개인신용정보 과다조회 모니터링과 관련한 문제들이 드러나고 IT관련 내규 관리체계의 미흡함 등이 나타남에 따라 해당부분의 정비가 시급한 과제로 떠올랐다