미래에셋생명이 고객 정보가 담긴 문서를 소홀하게 다루다 금융감독원으로부터 제재를 받았다.
5일 금감원에 따르면 미래에셋생명은 최근 개선사항 4건의 제재조치를 받았다.
금감원이 지적한 내용은 내부정보 유출방지대책 미흡, 암호화대책 불합리, 수탁업체 점검 관리 방안 미흡, 전산자료 보호대책 불합리 등 4건이다. 개선사항은 금융사의 주의 또는 자율적 개선을 요구하는 행정지도적 성격의 조치다.
미래에셋생명은 내부정보 유출을 방지하는 데 허점을 보였다. 주민번호 등 개인정보가 포함된 이메일을 외부에 전송할 때 암호화한 뒤 보안담당자 승인을 거쳐야 함에도 승인을 받지 않았다.
금감원 IT검사실 관계자는 “개인정보가 유출된 것은 아니지만 암호화와 보안 담당자 승인이라는 이중 보안을 모두 지켜야 하는데 암호화만 하는 데 그친 것이 문제”라며 “승인절차를 거치도록 관련 시스템을 개선하라고 지시했다”고 말했다.
미래에셋생명은 암호 보안에도 허술한 것으로 드러났다. 암호 복구가 불가능한 ‘일방향 암호화’를 사용하지 않고 복구화를 통해 암호내용을 들여다 볼 수 있는 ‘양방향 암호화’를 사용했다.
수탁업체 관리도 체계적으로 이뤄지지 않았다. 본래 미래에셋생명 내 '컴플라이언스팀'은 일괄적으로 수탁업체를 점검하고 미흡한 점에 대한 조치를 해야 한다. 하지만 각 부서가 부서별로 수탁업체를 개별 관리했다.
미래에셋생명은 고객정보를 별도의 데이터베이스가 아닌 ‘로그’(Log)에 저장하는 등 전산자료 보호에도 허술함을 보였다.
금감원 관계자는 “시스템 운영 내용을 저장하는 ‘로그’는 고객정보와 구별해 다른 정보와 섞이지 않게 저장하는 게 가장 안전하다”고 강조했다.