[컨슈머포스트=배정임 기자] 금융감독원은 카카오뱅크에 대해 비상대책 등의 수립·운용 및 제3자 서비스 관련 운영리스크 관리에 대한 실태를 조사하고, 발견된 문제점에 대해 지난 3월 30일 경영유의사항 2건에 대한 시정 조치를 통보했다.
금융당국의 이번 카카오뱅크에 대한 개선사항 관련 후속 조치는 금융회사의 자율적 개선을 요구하는 행정지도적 성격의 조치이다.
금융감독원은 금번 조사결과를 토대로 카카오뱅크에 비상대책 등의 수립·운용 및 제3자 서비스 관련 운영리스크 관리에 대해 업무 강화가 필요하다고 경영유의사항을 주문했다.
즉, 비상대책 등의 수립·운용 업무와 관련하여 내규에 따라 ■■팀은 전사 업무영향분석(BIA)을 통해 단위업무를 도출하고 ☆☆☆☆☆☆팀의 적정성 검토를 받아 핵심업무를 선정해야 한다.
그러나 업무영향분석(BIA) 수행 시 부서 간 사전협의 절차가 미흡하여 전사 업무연속성 계획과 IT업무연속성계획이 상이하게 관리되고 있고, 핵심업무 선정 과정에서의 보고체계가 미비하여 책임소재가 불분명할 우려가 있고, 실시간으로 처리되는 대고객 서비스에 대한 중요도 분석이 다소 미흡하여 일부 전자금융서비스의 복구목표시간(RTO)을 다소 길게 측정하고 있다고 보았다.
그러므로 업무영향분석(BIA) 수행 시 업무부서와 IT부서가 협의를 통해 핵심업무를 선정·보고하는 등 공식적으로 합의·검토하는 절차를 마련하고, 실시간으로 처리되는 대고객 서비스의 복구목표시간(RTO)을 적정수준으로 산정하도록 관련 절차 및 기준 등을 재정비할 것을 주문했다.
아울러 내규에 따라 비상시 업무지속성 확보를 위해 별도의 내규를 마련하여 지침 및 매뉴얼 등에 반영해야 하나, 실제는 파업 시 필수 IT인력 확보 방안이 다소 미흡하고 비상대책위원회 등 임직원 비상연락망과 재해복구센터 전환을 위한 작업절차가 일부 누락되어 있으며, 전자금융사고 보고 절차와 재해복구 관련 매뉴얼의 배포 절차가 기술되어 있지 않고, 복구목표시간(RTO) 기준을 지침과 매뉴얼 간 상이하게 정의하는 등 비상대책 관련 내규가 다소 미흡하다고 보았다.
따라서 비상대책 관련 내규에 파업 등 다양한 상황별 대응절차를 구체화하여 마련 하고 ▲▲▲ 설정변경 등 누락된 작업절차를 보완하는 한편, 전자금융사고 보고 절차와 매뉴얼 배포 절차를 규정화하고 상이하게 관리되는 복구목표시간을 지침과 매뉴얼 간 동일하게 운영할 수 있도록 관련 내규를 재정비하도록 주문했다.
또한 제3자 서비스 관련 운영리스크 관리 업무와 관련하여 제3자와 제휴 및 업무 위·수탁 계약 등을 체결하여 ○○○○등의 주요 서비스를 고객에게 제공해야 하나, 실제는 제휴 및 위·수탁 계약을 체결한 제3자의 전산시스템에 장애 및 재해 등으로 인해 은행의 전자금융거래 서비스가 중단될 경우, 회사의 주요 전자금융거래 서비스를 지속하기 위한 업무 대체수단이 마련되어 있지 않는 등 제3자와의 제휴 및 위·수탁 업무에 대한 업무지속성이 담보되어 있지 않은 것으로 보았다.
따라서 금융당국은 제휴 및 위·수탁 업무에 대한 제3자 리스크를 식별하여 업무 대체수단을 확보하고 제3자와의 제휴 및 업무 위·수탁 시 업무 대체수단 등 리스크를 평가하는 절차를 마련하는 등 제3자 서비스 관련 운영리스크 관리를 강화하도록 주문했다.