전자금융사고 보고 절차와 재해복구 관련 매뉴얼의 배포 절차가 기술되어있지 않고, 복구목표시간(RTO) 기준에 대해 지침과 매뉴얼 간 상이하게 정의하는 등 비상대책 관련 내규가 미흡하다는 지적이다.
10일 금감원은 카카오뱅크에 경영유의사항 2건과 개선사항 4건 등의 제재조치를 내렸다.
금감원은 카카오뱅크가 핵심업무 선정 과정에서 보고체계 미비로 책임소재가 불분명하다고 지적했다. 아울러 서비스 복구목표시간이 길게 측정되며 파업 시 필수 IT인력 확보 방안이 미흡한 등 비상대책 관련 내규가 부족하다고 밝혔다.
금감원은 "업무영향분석(BIA) 수행 시 업무부서와 IT부서가 협의를 통해 공식적으로 합의·검토하는 절차를 마련하고 복구목표시간을 적정수준으로 산정하도록 재정비하기 바란다"며 "상황별 대응절차를 구체화하고 누락된 작업절차를 규정화하고 상이하게 관리되는 복구목표시간을 동일하게 운영할 수 있도록 관련 내규를 재정비해야한다"고 말했다.
제휴 및 위·수탁 계약을 체결한 제3자의 전산시스템 장애로 인해 서비스가 중단될 경우 업무 대체수단이 마련되어 있지 않는 등 업무지속성이 담보되어 있지 않는 점도 지적했다.
금감원은 "제3자 리스크를 식별해 업무 대체수단을 확보하고 리스크 평가 절차를 마련하는 등 관리를 강화해야한다"고 말했다.
아울러 ▶재해복구 전환훈련과 ▶전산장비 장애 및 오류관리 업무 ▶네트워크 보안대책 ▶전산자료 소산매체 관리 등에 대해 개선할 것을 촉구했다.
대외기관과의 연계, 데이터의 등록·변경이 수반되는 시나리오를 마련해 재해복구 전환훈련을 실시하고 오류·장애 관련 내규 내 핵심업무를 재정리하는 등 전산장비 업무지속성을 확보해야한다는 것이다.
금감원은 "정책 변경 신청 시 재해복구센터 적용 필요성을 사전에 확인할수 있는 절차를 마련하고 네트워크 보안대책 관련 업무절차를 개선하시기 바란다"며 "전산자료 소산매체 관리 강화를 위해 소산매체가 보관된 내화금고를 출입 통제장치 및 적절한 항온항습 시설, 소화설비 등이 마련된 별도의 장소에 보관해야한다"고 당부했다.
[소비자가만드는신문=이예린 기자]
