HMC투자증권, 금감원 제재…'IT부문 관리 소홀'

HMC투자증권(대표이사 김흥제)이 부문 관리와 통제가 미흡한 점이 적발돼 금융위원회의 제재를 받았다.

최근 금융위원회에 따르면 HMC투자증권은 IT부문 관리시스템 부실, 외주용역 서비스수준협약(SLA) 미체결 등을 이유로 기관 경영유의 3건과 개선 4건 등 행정지도적 성격의 제재를 받았다. 이번 제재는 금융감독원의 종합 검사 결과를 토대로 이뤄진 것이다.

우선 HMC투자증권은 IT부서 내 자체감사 업무 수행을 위한 지침이 없고, IT관련 주요업무에 대한 일상적인 자체감사를 실시하지 않아 IT 자체 감사업무에 대한 실효성 강화를 요구받았다.

IT 내부통제 체계의 부실도 유의할 사항으로 꼽혔다.

이 회사는 IT업무의 내부통제를 위해 보안시스템을 운영하는 파트와 시스템을 개발하는 파트가 함께 소속되어 있고, DB관리자가 DB접근통제시스템 운영업무를 함께 수행하고 있어 IT보안 업무의 독립성이 훼손될 우려가 있다는 지적이다.

프로그램 이관 담당자가 일부 개발업무를 동시에 수행하고 있어 긴급이관이 필요한 경우 자신이 개발한 프로그램을 책임자 승인없이 이관할 우려도 함께 있었다.

이에 금융위는 정보기술부문과 정보보호부문의 직무 및 프로그램 이관업무와 개발업무의 직무를 분리하는 등 IT내부통제 체계의 강화를 지시했다.

외주용역 서비스수준협약(SLA) 체계가 제대로 마련돼 있지 않은 점도 문제점으로 지적됐다. HMC투자증권은 외주업체와 시스템 용역계약을 체결하고 있지만 서비스 품질 등에 대한 SLA을 체결하지 않아 서비스 내용에 대한 평가 없이 주간 및 월간 실적 보고만을 근거로 용역비를 지급해 왔다.

금감원 측은 "SLA를 체결하고 서비스 평가결과를 바탕으로 용역비 산정 및 계약 연장여부를 결정하는 등 체계적인 정보시스템 유지보수 운영방안을 마련할 필요가 있다"고 지적했다.

금융위는 이와 함께 개선사항도 발표했다.

IT개발자가 담당업무와 상관없이 모든 소스코드에 접근이 가능해 보안상의 문제가 발생할 수 있어 프로그램소스 및 운영로그에 대한 접근권한을 부여하는 것이 첫 번째 개선사항으로 꼽혔다.

주요 서버에 대한 패치(patch) 작업이 일부 서버에는 적용되지 않는 등 패치 작업이 적시에 이루어지지 않고 있어 패치대상 및 적용현황의 철저한 관리도 필요한 것으로 나타났다.

HMC투자증권은 내부자료에 대한 미흡한 보호대책도 개선할 것을 요구받았다.

김서연 기자 brainysy@sporbiz.co.kr