금융감독원은 정보기술(IT) 부문에 대한 감사업무 미흡을 이유로 신한카드에 경영유의 제재 조치를 취했다.
16일 금감원에 따르면 최근 신한카드는 경영유의 1건, 개선사항 1건에 해당하는 제재를 받았다.
경영유의는 IT부문 검사에서 발생했다. 금감원은 신한카드가 내규인 ‘감사위원회 직무규정’에 따라 연간감사계획을 수립하고 종합(테마)감사 및 특명 감사를 실시했으나 IT부문에 대한 전반적인 감사는 실시하지 않았다고 지적했다.
이에 금감원은 신한카드가 자체 매뉴얼 등을 참고해 IT부문에 대한 전반적인 운영실태를 주기적으로 점검하는 등 감사업무를 강화할 필요가 있다고 지도했다.
금융당국은 카드사 정보 유출 등 금융권에서 잇따라 발생하는 IT 관련 사고를 방지하기 위해 최고투자책임자(CIO)와 정보보호최고책임자(CISO) 겸직을 제한하는 등 IT 조직관리 강화를 강조하고 있다. 현재 신한카드 CISO는 신한은행에서 IT운영팀장, ICT기획부장 등을 역임했던 임석재 본부장이 맡고 있다.
금감원은 “내규 ‘IT자체감사 업무절차서’에 에 따라 ICT본부 업무(IT운영 및 개발)에 대한 자체 감사를 수행하고 있으나, CISO본부 업무에 대해서는 하지 않았다”며 “CISO본부 업무에 대해서도 IT자체감사 업무절차서에 따라 감사를 실시하는 등 IT부문 감사를 강화할 필요가 있다”고 설명했다.
금감원은 신한카드가 모바일 애플리케이션(앱) 프로그램 변경통제 절차도 불합리하다고 지적했다. 주요 전산 프로그램은 책임자 승인 후 형상관리시스템(전산프로그램의 버전 및 변경 이력 관리)을 통해 운영시스템으로 이관하는 등 프로그램 이관 절차를 수립·운영하고 있으나, 모바일 앱 프로그램의 경우 형상관리시스템을 이용하지 않았다는 것이다.
금감원은 “모바일 앱 프로그램 개발 업무에 대해서도 형상관리시스템을 통해 이관할 수 있도록 형상·이관절차를 개선해야 한다”고 당부했다.