IT검사인력 계획과 달라, 경영유의 3건·개선 2건·조치의뢰 1건 조치
-
-
하나SK카드가 감사팀에 IT전문 검사인력을 당초 계획대로 배치하지 않아 금융감독원으로부터 제재를 받았다.
또 주요 개인정보 암호화 보안방법이 미흡한 점도 검사과정에서 드러났다.
7일 금융권에 따르면 금감원은 하나SK카드에 경영유의 3건과 개선 2건, 직원에 대해서는 조치의뢰 1건의 제재를 내렸다.
금감원은 하나SK카드가 이사회에 보고한 감사팀 인원보다 적은 수의 감사인을 운영한데다 감사팀에 IT전문검사역을 배치하지 않은 사실을 적발했다.
또한 재무회계(ERP) 시스템 등 개인정보 취급 시스템 10대는 별도 개발 및 테스트 서버가 없거나 데이터 위변조 솔루션이 적용돼 있지 않았다.
개인정보가 포함된 데이터를 전체 사용자가 열람할 수 있도록 해 자료 유출 가능성도 있었다.
이 외에도 웹 회원 비밀번호를 정부가 권고하는 보안강도에 미달하는 암호 알고리즘을 사용해 해킹 등에 의해 비밀번호 노출 위험이 있었다.
이에 금감원은 하나SK카드에 IT전문검사 인력 증원 운용 등 자체 검사업무 내실화와 통합단말시스템 접근권한에 대한 관리 강화, 고객정보 접근 통제 강화를 요구했다.
아울러 전체 사용자 공유폴더 통한 개인정보 열람 제한 등 관련 절차와 웹회원 비밀번호를 국내외 암호 연구기관에서 권고하는 보안 강도 이상 암호화 방식으로 개선할 것을 명령했다.
하나SK카드 관계자는 "금감원의 경영유의 등 지적사항에 대해서는 3~6개월 내 일정에 맞게 모두 개선할 예정"이라고 말했다.