신용보증기금, 개인신용정보 관리 미흡에 개선 지적받아
개인신용정보 처리시스템 관리 부실에 조회 적정성도 문제
(서울=연합뉴스) 심재훈 기자 = 신용보증기금이 고객의 신용정보 관리 미흡으로 개선 지적을 받았다.
21일 업계에 따르면 금융감독원은 최근 신용보증기금에 대한 검사를 벌여 상거래가 종료된 고객의 개인 신용 정보 관리 미흡, 개인 신용정보 처리시스템 접근 권한 및 접속 기록 관리 부실, 개인 신용정보 조회의 적정성 문제 등 개선 사항 3건을 적발했다.
신용보증기금은 중소기업의 채무를 보증해 기업의 자금 융통을 원활히 하고 건전한 신용 질서를 확립하기 위해 설립된 금융위원회 산하 기관이다.
이에 따라 보증 해지·채권상환 등으로 상거래 관계가 종료된 고객 정보에 대해 단계별 접근제한·분리보관 등의 보안 조치를 해야 한다.
하지만 단계별 보안 조치 결과에 대한 신용정보관리·보호인 확인의 접근 권한 부여 절차를 마련하지 않았고 조회자, 조회목적 등 접근 이력의 사후 확인이 어려워 보안 조치를 제대로 수행하지 않을 우려가 제기됐다.
단계별 보안 조치 결과에 대한 신용정보관리 및 보호인의 확인 절차와 분리 보관된 고객정보의 접근 절차 및 기록관리를 개선할 필요성도 지적됐다.
신용보증기금은 개인 신용정보 처리시스템을 운영하면서 접근 권한은 시스템별 소관부서가 검토해 부여하고 부서별 접근권한의 적정성은 정보보안센터에서 점검하고 있다.
하지만 일부에서는 수작업으로 접근 권한을 관리해 권한 없는 자가 접근할 우려가 있고, 권한 변경 이력의 체계적 관리가 미흡해 사후 점검이 제대로 이뤄지지 않을 우려가 있었다.
이에 금감원은 개인 신용정보 처리시스템의 접근권한 변동사유 발생 시 지체 없이 권한 변경 및 말소하고 관련 변경 이력이 체계적으로 관리되도록 접근권한 관리시스템 등을 개선하라고 요구했다.
신용보증기금은 개인 신용정보 처리시스템 접속기록 중 점검 주기가 지연되거나 누락된 사례가 있고, 저장 시 웜 디스크(한번 기록되면 수정이 불가능한 저장매체)를 사용하지 않아 위·변조 가능성이 있는 것으로 지적됐다.
아울러 신용정보 보호·관리부서는 각 부서의 조회 적정성 점검을 확인하기 위해 실효성 있는 보안대책을 운영하지 않아 일부 신용정보 조회 기록에 조회용도, 조회부서를 누락하는 사례가 있는 등 미흡하게 운영되고 있었다.
부당 조회 등 개인신용정보 오남용 직원에 대한 제재기준이 없으므로 관련 기준을 마련해 신용정보의 관리적 보안체계를 개선하라고 금감원은 지적했다.
한편, 글로벌원자산운용도 자문수수료 등 계약 관련 내부 통제 미흡 등으로 경영 유의 4건을 제재받았다.
president21@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
개인신용정보 처리시스템 관리 부실에 조회 적정성도 문제
(서울=연합뉴스) 심재훈 기자 = 신용보증기금이 고객의 신용정보 관리 미흡으로 개선 지적을 받았다.
21일 업계에 따르면 금융감독원은 최근 신용보증기금에 대한 검사를 벌여 상거래가 종료된 고객의 개인 신용 정보 관리 미흡, 개인 신용정보 처리시스템 접근 권한 및 접속 기록 관리 부실, 개인 신용정보 조회의 적정성 문제 등 개선 사항 3건을 적발했다.
신용보증기금은 중소기업의 채무를 보증해 기업의 자금 융통을 원활히 하고 건전한 신용 질서를 확립하기 위해 설립된 금융위원회 산하 기관이다.
이에 따라 보증 해지·채권상환 등으로 상거래 관계가 종료된 고객 정보에 대해 단계별 접근제한·분리보관 등의 보안 조치를 해야 한다.
하지만 단계별 보안 조치 결과에 대한 신용정보관리·보호인 확인의 접근 권한 부여 절차를 마련하지 않았고 조회자, 조회목적 등 접근 이력의 사후 확인이 어려워 보안 조치를 제대로 수행하지 않을 우려가 제기됐다.
단계별 보안 조치 결과에 대한 신용정보관리 및 보호인의 확인 절차와 분리 보관된 고객정보의 접근 절차 및 기록관리를 개선할 필요성도 지적됐다.
신용보증기금은 개인 신용정보 처리시스템을 운영하면서 접근 권한은 시스템별 소관부서가 검토해 부여하고 부서별 접근권한의 적정성은 정보보안센터에서 점검하고 있다.
하지만 일부에서는 수작업으로 접근 권한을 관리해 권한 없는 자가 접근할 우려가 있고, 권한 변경 이력의 체계적 관리가 미흡해 사후 점검이 제대로 이뤄지지 않을 우려가 있었다.
이에 금감원은 개인 신용정보 처리시스템의 접근권한 변동사유 발생 시 지체 없이 권한 변경 및 말소하고 관련 변경 이력이 체계적으로 관리되도록 접근권한 관리시스템 등을 개선하라고 요구했다.
신용보증기금은 개인 신용정보 처리시스템 접속기록 중 점검 주기가 지연되거나 누락된 사례가 있고, 저장 시 웜 디스크(한번 기록되면 수정이 불가능한 저장매체)를 사용하지 않아 위·변조 가능성이 있는 것으로 지적됐다.
아울러 신용정보 보호·관리부서는 각 부서의 조회 적정성 점검을 확인하기 위해 실효성 있는 보안대책을 운영하지 않아 일부 신용정보 조회 기록에 조회용도, 조회부서를 누락하는 사례가 있는 등 미흡하게 운영되고 있었다.
부당 조회 등 개인신용정보 오남용 직원에 대한 제재기준이 없으므로 관련 기준을 마련해 신용정보의 관리적 보안체계를 개선하라고 금감원은 지적했다.
한편, 글로벌원자산운용도 자문수수료 등 계약 관련 내부 통제 미흡 등으로 경영 유의 4건을 제재받았다.
president21@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스
