금감원, 신보에 '개인신용정보 관리 미흡' 개선 요구

서울 여의도 소재 금융감독원 본관 전경 ⓒ데일리안

금융감독원이 신용보증기금에 대해 고객의 신용정보 관리 체계의 개선을 요구했다. 신보가 중소기업의 채무보증을 주로 담당하는 기관인 만큼 고객 정보에 대한 각별한 관리가 필요하다는 지적이다.

21일 금융당국에 따르면 금융감독원은 최근 신보에 대한 검사를 실시하고 개선 사항 3건을 적발했다. 이번에 적발된 사항은 ▲상거래가 종료된 고객의 개인 신용 정보 관리 미흡 ▲개인 신용정보 처리시스템 접근 권한 및 접속 기록 관리 부실 ▲개인 신용정보 조회의 적정성 문제 등이다.

신보는 중소기업의 돈줄을 책임지는 역할을 하는 금융기관이다. 중소기업의 채무를 보증해 기업의 자금 융통을 원활히 하고 건전한 신용 질서를 확립하기 위해 설립됐다. 금융위원회 산하 기관이기도 하다.

이 같은 설립 취지에 맞춰 금감원은 신보가 보증 해지·채권상환 등으로 상거래 관계가 종료된 고객 정보에 대해 단계별 접근제한·분리보관 등의 보안 조치를 강화해야 한다고 지적했다.

하지만 금감원 조사 결과 현재 신보는 단계별 보안 조치에 대한 신용정보관리·보호인 확인의 접근 권한 부여 절차를 마련하지 않은 것으로 확인됐다. 아울러 조회자, 조회목적 등 접근 이력의 사후 확인이 어려워 보안 조치를 제대로 수행하지 않을 우려까지 제기된 상황이다.

단계별 보안 조치 결과에 대해 금감원은 신용정보관리 및 보호인의 확인 절차와 분리 보관된 고객정보의 접근 절차 및 기록관리를 개선할 필요성도 지적했다. 신보는 현재 개인 신용정보 처리시스템을 운영하면서 접근 권한은 시스템별 소관부서가 검토해 부여하고, 부서별 접근권한의 적정성은 정보보안센터에서 점검하는 식으로 고객 정보 관리 시스템을 운영하고 있다.

금감원은 일부 분야에서 수작업으로 접근 권한을 관리해 권한 없는 자가 접근할 우려가 있는데다, 권한 변경 이력의 체계적 관리가 미흡해 사후 점검이 제대로 이뤄지지 않을 우려가 있다고 봤다. 이에 개인 신용정보 처리시스템의 접근권한 변동사유가 발생할 경우 지체 없이 권한을 변경하거나 말소하고 관련 변경 이력이 체계적으로 관리될 수 있는 접근권한 관리시스템 등으로의 개선을 요구했다.

또 금감원은 신보가 개인 신용정보 처리시스템 접속기록 중 점검 주기가 지연되거나 누락된 사례가 있고, 저장 시 한번 기록되면 수정이 불가능한 저장매체인 웜 디스크를 활용하지 않아 위·변조 가능성이 있다는 사실도 확인했다. 아울러 신보의 신용정보 보호·관리부서에서 각 부서의 조회 적정성 점검 확인을 위해 실효성 있는 보안대책을 운영하지 않아 일부 신용정보 조회 기록에 조회용도, 조회부서를 누락하는 사례가 발생하는 등 미흡한 운영도 도마에 올랐다.

마지막으로 금감원은 현재 존재하지 않는 부당 조회 등 개인신용정보 오남용 직원에 대한 제재기준을 마련해 신용정보의 관리적 보안체계 개선을 요구했다.