[CIOCISO매거진 김진석 기자] 신용보증기금이 최근 금융감독원으로부터 고객의 신용정보 관리 미흡으로 개선 지적을 받았다.

21일 업계에 따르면 금융감독원은 최근 신용보증기금에 상거래가 종료된 고객의 개인 신용 정보 관리 미흡, 개인 신용정보 처리시스템 접근 권한 및 접속 기록 관리 부실, 개인 신용정보 조회의 적정성 문제 등 개선 사항 3건을 적발했다.

신용보증기금은 중소기업의 보증 해지·채권상환 등으로 상거래 관계가 종료된 고객 정보에 대해 단계별 접근제한·분리보관 등의 보안 조치를 해야 하지만 단계별 보안 조치 결과에 대한 신용정보관리·보호인 확인의 접근 권한 부여 절차를 마련하지 않았다. 

단계별 보안 조치 결과에 대한 신용정보관리 및 보호인의 확인 절차와 분리 보관된 고객정보의 접근 절차 및 기록관리를 개선할 필요성도 지적됐다.

신용보증기금은 개인 신용정보 처리시스템을 운영하면서 접근 권한은 시스템별 소관부서가 검토해 부여하고 부서별 접근권한의 적정성은 정보보안센터에서 점검하고 있다.

하지만 일부에서는 수작업으로 접근 권한을 관리해 권한 없는 자가 접근할 우려가 있고, 권한 변경 이력의 체계적 관리가 미흡해 사후 점검이 제대로 이뤄지지 않을 우려가 있었다.

이에 금감원은 개인 신용정보 처리시스템의 접근권한 변동사유 발생 시 지체 없이 권한 변경 및 말소하고 관련 변경 이력이 체계적으로 관리되도록 접근권한 관리시스템 등을 개선하라고 요구했다.

신용보증기금은 개인 신용정보 처리시스템 접속기록 중 점검 주기가 지연되거나 누락된 사례가 있고, 저장 시 웜 디스크를 사용하지 않아 위·변조 가능성이 있는 것으로 지적됐다.

아울러 신용정보 보호·관리부서는 각 부서의 조회 적정성 점검을 확인하기 위해 실효성 있는 보안대책을 운영하지 않아 일부 신용정보 조회 기록에 조회용도, 조회부서를 누락하는 사례가 있는 등 미흡하게 운영되고 있었다.

금감원은 부당 조회 등 개인신용정보 오남용 직원에 대한 제재기준이 없으므로 관련 기준을 마련해 신용정보의 관리적 보안체계를 개선하라고 지적했다.