29일 금융감독원에 따르면 최근 ‘하나금융지주에 대한 부문검사 결과 조치안’과 ‘우리은행의 전자금융거래법 위반에 대한 과태료 부과 처분안’ 등의 안건을 의결하고 그에 따른 제재 조치를 확정했다. 과태료 부과액은 하나금융 2억6000만원, 우리은행 8000만 원 등이다.
하나금융은 금융지주회사 등 간 고객정보제공절차를 미준수한 것으로 드러났다.
금융지주회사법 등에 따르면 금융지주회사는 고객의 동의 없이 개인신용정보 등을 요청하는 경우에는 고객정보의 이용목적, 정보요청 범위 및 이용기간 등에 대해 고객정보관리인의 승인을 받거나 분기별 1회 이상 고객정보관리인의 점검을 받아야 한다.
하지만 하나금융은 지난 2015년 1월부터 2018년 4월 사이 그룹 연결BIS자기자본비율 산출을 위해 6개 자회사로부터 14회에 걸쳐 개인차주의 주민등록번호 등 개인식별정보가 포함된 개인신용정보(계좌번호, 여신 승인금액, 실행잔액, 미수이자, 만기일 등)를 제공받으면서 고객정보관리인의 승인(4회) 또는 분기별 1회 이상 고객정보관리인의 점검(10회)을 받지 않았다.
금융당국은 하나금융지주에 기관 과태료 2억6000만 원을 부과하고 관련 직원에 대한 자율처리필요사항 지시를 내렸다.
전자금융감독규정에 따르면 금융회사는 전자금융업무와 관련된 정보처리 시스템을 구축․운영하는 사업자인 전자금융보조업자와 제휴, 위탁 또는 외부주문 (외부주문 등)에 관한 계약을 체결할 때에는 계약내용의 적정성을 검토하고 자체적으로 통제가 가능하도록 회사 내부의 조직과 인력을 갖춰야 한다.
더불어 전자금융업무와 관련한 프로그램을 운영시스템에 적용하는 경우에는 처리하는 정보의 기밀성․무결성․가용성 등을 고려해 충분한 테스트 후 실시하는 등 프로그램 등록·변경·폐기 절차를 수립·운영해야 한다.
하지만 우리은행의 경우 차세대시스템 구축 사업을 추진하면서 사업관리를 위한 충분한 인력ㆍ조직을 갖추지 않고 처리정보의 무결성 등을 고려한 충분한 테스트도 실시하지 않는 등 그 의무를 위반했다.
금융당국은 “차세대시스템 가동 이후 대외계 업무 중단 및 프로그램 오류 등으로 인한 금전사고 등을 초래함으로써 전자금융거래의 안전성과 신뢰성을 훼손했다”고 지적했다.
또한 우리은행은 지난 2018년 6월 16일간 인터넷뱅킹 홈페이지에 대량 부정 로그인이 시도된 사이버공격에서 고객의 인적사항, 거래내역 등에 관한 정보가 유출됐거나 유출이 의심되는 상황을 초래하게 하는 등 △공개용 웹서버에 대한 관리대책을 충분히 갖추지 않았다는 지적도 받았다.
금융감독원은 “우리은행은 대량 부정접속 형태의 사이버공격을 탐지하거나 차단하기 위해 시스템 운영을 소홀히 하는 등 선량한 관리자로서 주의의무를 다하지 아니해 전자금융거래의 안전성과 신뢰성을 훼손한 사실이 있다”며 “전사적 차원에서 개인신용정보를 보호해야 할 고객과의 신임 관계를 저버린 사실이 있다”고 지적했다.
이에 대한 제재로 우리은행은 기관경고와 과태료 8000만 원을 부과받았다. 또한 퇴직자 위법・부당사항(정직3월 상당) 2명, 감봉3월 1명, 퇴직자 위법・부당사항 (문책경고 상당) 1명, 퇴직자 위법・부당사항 (주의적경고 상당) 1명, 퇴직자 위법・부당사항 (주의 상당) 1명 등의 임원 제재와 직원 자율처리 필요사항 등도 함께 진행됐다.
[소비자가만드는신문=박관훈 기자]
