전자금융거래법, 전자금융감독규정 등 위반

그린포스트코리아DB
그린포스트코리아DB

[그린포스트코리아 이재형 기자] 금융당국이 전자금융거래의 안전성 확보의무를 위반한 Sh수협은행에 과태료 3000만원 부과 조치를 했다.

금융감독원(금감원·원장 윤석헌)은 11일 '수협은행 제재내용 공개안'을 발표해 지난달 26일 수협은행(대표자 이동빈)에 대해 이같은 과태료 부과 조치를 했다고 밝혔다.

금감원에 따르면 수협은행은 웹서버 내부통신망과 외부통신망 사이의 독립된 통신망(DMZ구간)에서 운영하는 서버의 로그파일에 이용자 정보를 암호화하지 않고 평문으로 저장했다.

전자금융거래법 등을 보면 금융회사는 공개용 웹서버의 안전한 관리를 위해 DMZ구간 내 이용자 정보 등 주요 정보를 저장 혹은 관리하지 않아야 하며, 거래로그를 관리하기 위한 예외적인 경우에도 암호화해 저장·관리해야 한다.

또 관련 법률에 따라 금융회사는 장애 또는 오류 등에 의한 전산원장의 변경을 위해 변경 전후내용 자동기록 및 보존, 변경내용의 정당성 여부에 대한 제3자 확인 등이 포함된 전산원장 변경절차를 수립·운용해야 한다.

하지만 수협은행은 영업점 등에서 요청하는 데이터 수정사항을 처리하기 위해 업무처리시스템 내 전산원장 변경 통제 없이 전산원장을 변경했다.

수협은행은 검사대상 기간 중 전산원장을 변경하면서 변경 전후 내용의 자동기록 및 보존을 수행하지 않았고 변경내용의 정당성 여부에 대해서도 제3자의 확인을 수행하지 않았다.

이외에도 수협은행은 웹 서버의 내부 사용자의 비밀번호 관리를 제대로 수행하지 않아 당국으로부터 지적을 받았다. 

전자금융감독규정 등을 보면 금융회사는 내부사용자의 비밀번호 유출을 방지하기 위해 비밀번호를 암호화해 보관해야 하며 비밀번호는 숫자와 영문자 및 특수문자 등을 혼합 8자리 이상으로 설정하고 분기별 1회 이상 변경해야 한다.

하지만 수협은행은 웹 페이지 접속을 위한 비밀번호를 암호화하지 않고 평문으로 데이터베이스(DB)에 저장했다. 또 내부사용자 비밀번호를 숫자와 영문자 및 특수문자 등을 혼합하지 않거나 8자리 이상으로 설정하지 않았고 분기별로 비밀번호를 변경하지 않은 사례가 조사에서 다수 발견됐다.

jhl@greenpost.kr

저작권자 © 그린포스트코리아 무단전재 및 재배포 금지