악사손해보험 다이렉트
악사손해보험이 핵심업무를 맡긴 외부 전문업체(제3자 서비스) 관리에 총체적 부실이 드러나 11일 금융감독원으로부터 '경영유의' 1건과 '개선사항' 3건을 통보받았다.
악사손보는 제3자 서비스를 총괄하는 부서조차 없이 운영됐으며, 인증·결제 등 핵심 서비스가 재해복구센터(DR)에 연결조차 되지 않아 비상시 업무가 중단될 수 있는 심각한 위험에 노출된 것으로 확인됐다.
제3자 관리 '컨트롤타워' 부재…3년간 외부업체 감사 '0건'
악사손보는 다수의 외부 업체와 계약을 맺고 있으면서도 이를 총괄 관리하는 부서가 없었다. 이에 각 부서가 개별적으로 업체를 관리하다보니 제3자 서비스 전체 현황, 단일 장애지점, 대체수단 등이 체계적으로 관리되지 않았다.
심지어 인증 및 결제 업무 등 정보처리 위탁계약서에는 감독당국의 '감독·검사 수용 의무' 항목조차 누락됐으며, 내부 규정에도 해당 항목이 필수로 규정돼 있지 않았다.
더욱이 2022년 1월~2025년 4월 검사대상 기간 중 IT 개발 및 인프라 운영을 위탁한 외부주문 업체 3곳에 대해서는 IT감사 및 자체감사를 단 한 차례도 실시하지 않은 사실이 드러났다.
재해복구센터 '먹통' 우려…휴대폰 인증·카드 결제 '연결 두절'
비상 대응 체계는 더욱 심각했다. 악사손보는 휴대폰 인증, 카드 결제 등 일부 중요 제3자 서비스를 단일 통신회선으로만 운영하고 있었다.
가장 큰 문제는 재해복구센터가 핵심 서비스와 연결조차 되어있지 않았다는 점이다.
재해 등으로 주전산센터가 마비돼 재해복구센터로 전환·운영해야 할 경우, 신용카드 인증, 카카오인증, 휴대폰인증, 카드결제 등 핵심 서비스가 모두 중단될 우려가 큰 것이었다.
비상훈련·외부 연계 테스트 부실 전무···감사까지 미흡
IT서비스 업무연속성 확보방안 역시 부실했다. 악사손보는 재해복구전환훈련을 연 1회 실시했으나, 정작 핵심업무와 연결된 제3자 서비스에 대한 연계 훈련은 전혀 실시하지 않았다.
웹·모바일앱 훈련 시에도 단순 접속 테스트만 했을 뿐, 계약조회나 보험료 계산 등 내부 기능은 테스트하지 않는 등 '반쪽짜리' 훈련에 그쳤다. 비상연락망 등 중요 정보조차 현행화되어 있지 않았다.
내부통제 절차인 프로그램 변경 관리도 구멍이 뚫렸다. 프로그램 변경 시 테스트 결과서가 부실하게 작성되거나 아예 시스템에 등록되지 않은 사례가 발견됐다. 일부 변경 건은 제3자에 의한 검증 증적조차 미흡했다.
감사부서 역시 프로그램 변경이 '적정한지'를 감사한 것이 아니라, 단순히 '절차를 준수했는지' 여부만 점검하는 데 그쳐 감사가 미흡하게 운영된 사실이 지적됐다.