일요주간 - ′고객정보 보호미흡′ 신한·라이나·미래에셋생명 등 금감원 제재

[일요주간=이수근 기자]최근 은행 등 금융권에서 개인정보 유출 사고가 잇따라 터지면서 고객들이 불안해 하고 있는 가운데 국내 8개 생명보험사들의 고객정보 관리가 부실한 것으로 드러났다.

신한생명, 라이나생명, 미래에셋생명 등 8개 생명보험사가 고객정보 과다조회와 관련된 기준이 미흡하고 고객 정보관리의 허점을 드러내 금융감독원으로부터 제재를 받았다.

금융감독원은 이달 초 조사 결과를 토대로 신한생명, 라이나생명, 하나생명, 에이스생명, 미래에셋생명, KB생명, 동부생명, KDB생명, 동부생명 등 8개 보험사에 대해 경영유의와 개선 요구 조치를 내렸다.

이들 보험사들이 고객정보를 과다하게 조회한 직원들에 대한 제재기준과 외부 용역업체에 대한 관리.감독도 미흡했다. 보험사들은 담당업무 등을 고려한 고객정보 이상·과다 조회자에 대한 조치방안 등을 구체적으로 마련해야 하는데 이를 시행하지 않은 것이다.

또한 고객정보처리시스템 접속에 대한 인증 강화가 필요했으며 이동저장매체(USB)에 대한 보안에서도 허점을 드러냈다.

신한생명의 경우 일평균 300건 이상 고객정보를 조회한 이들과 부서에 대한 점검은 하고 있지만 업무 특성 등이 고려되지 않는 등 기준이 제대로 갖춰져 있지 않았다. 이로 인해 휴일. 야간 조회가 집중되거나 과다 조회가 이뤄진 경우에는 문제가 있을 수 있다고 금감원은 지적했다.

이와 함께 신한생명은 임직원 및 설계사의 내부시스템 접속시 공인인증서 또는 IP의 확인 절차가 마련되어야 하는데도 ID와 패스워드만을 입력하는 방식으로 운영하고 있었다. 금감원은 ID와 패스워드는 타인과 공유가 가능해 보안이 취약하니 개인의 공인인증서 또는 휴대폰 인증절차 등을 거쳐야만 고객정보시스템에 접속이 가능하도록 인증절차를 개선하라고 요구했다.

라이나생명은 전화영업에서 이용되는 시스템에서는 조회기록의 DB가 제대로 갖춰져 있지 않아 통제의 사각지대에 놓여 있는 것으로 확인됐다. 또한 고객정보 DB 암호화에서도 취약한 점이 드러나 고객정보처리시스템 접속 인증 강화가 필요하다는 지적을 받았다.

미래에셋생명은 고객정보 조회이력 점검절차 미흡것으로 나타났다. 고객정보 보호업무 전담부서에서 고객정보 과다 조회 임직원 및 부서의 조회 내역을 조회할 수 있는 DB관리자의 고객정보에 대한 조회 내역을 점검할 수 있는 절차가 마련되어 있지 않았다. 또한 IT보안 전담인력이 부족하고 DB상의 고객정보 암호화가 제대로 이뤄지지 않은 것으로 나타났다.

KB생명의 경우 개인정보 보안 전담인력(5월 검사 당시 2명)이 추가로 필요하다는 지적을 받았고 고객정보처리시스템 접속시 ID와 패스워드만 입력하는 현행 방식보다 보안 인증을 강화해야 한다는 지적을 받았다.

KDB생명은 고객정보를 조회한 이력을 점검하는 절차가 미흡한 것으로 나타났고 USB 사용에서 보안이 취약한 했다. 또한 외주업체에서 제공하는 고객의 개인정보 보호에 대한 관리감독 미흡해 고객정보관리 보안을 강화할 필요가 있다는 지적을 받았다.

하나생명은 외부 용역업체에 대한 관리감독이 미흡했고, 에이스생명은 DB에 접근하는 직원들에 대한 통제가 강화될 필요하다는 것이 금감원의 검사 결과였다.

이밖에 동부생명은 고객정보 과다조회자에 대한 점검 강화와 임직원 PC 운영체제 보안 강화가 필요한 것으로 나타났다. 이어 금감원은 USB 사용과 관련해 통제가 미흡했고 임직원이 전산기기를 외부로 가지고 나와 사용하는 업무 관행도 문제라고 지적했다.

[저작권자ⓒ 일요주간. 무단전재-재배포 금지]