KB저축은행

금융감독원이 11일 KB저축은행에 경영유의 2건, 개선사항 2건을 조치했다. 

KB저축은행은 3년 넘게 IT 통합유지보수 등 핵심 외부 위탁업무에 대한 감사를 단 한 차례도 실시하지 않았고, '비대면 대출' 업무를 핵심업무에서 누락했다. 재해 발생 시 오랜 시간 서비스가 중단될 뻔한 것이다.

3년간 통합유지보수·콜인프라 감사 전무

2022년 1월 ~2025년 4월 중 KB저축은행은 IT감사업무를 수행하면서도 일부 핵심 외부주문 업체에 대한 IT감사(종합·특별) 및 IT자체감사를 하지 않았다. 

'KB ONE클라우드 서비스' 통합 운영 및 전산설비 유지보수를 맡은 A업체와 '미래컨택센터(FCC) 콜인프라 서비스'를 맡은 B업체 등이 감사 대상에서 제외된 것이다.

핵심업무 선정 관리도 허술했다. KB저축은행은 2025년 3월 업무영향분석을 통해 113개 단위업무 중 43개를 핵심업무로 선정했다. 

'비대면 대출'도 핵심업무 탈락…재해 시 복구 깜깜

이 과정에서 기초자료에 제3자 서비스 업무가 대거 누락됐다. 신용정보 조회, 안심이체, 비대면 대출관리 등 상호 연관성이 높은 업무가 핵심업무에서 빠져 비상 상황 시 업무 연속성을 보장할 수 없게 됐다.

특히, 전체 대출의 상당 비중을 차지하는 '비대면 신규 여수신 업무'가 핵심업무로 선정되지 않았고 , 복구목표시간(RTO)조차 설정되지 않아 재해 시 장기 복구 지연에 따른 수익 감소 우려가 제기됐다.

비상대책도 허술했다. IT비상계획서에는 제3자 서비스 장애 시 비상대응방안이나 실제 복구 절차가 상세히 마련되어 있지 않았다. 

지난해 하반기 재해복구전환훈련을 실시했으나, 수많은 핵심업무 연관 제3자 서비스 중 '저축은행중앙회'에 대해서만 유일하게 연계 훈련을 실시한 것으로 드러났다.

'형식적' 변경 승인···IT부서 자체 작업은 '통제 프리패스'

프로그램 변경통제 절차는 사실상 무용지물이었다. 총괄품질관리자가 수행하는 '사전 정당성 검증'은 구체적인 검증 항목이나 기준 없이 형식적으로 수행될 우려가 지적됐다.

더욱이 OS 업데이트 등 타 시스템에 영향을 줄 수 있는 IT부서의 '자체 전산작업'은 아예 내규상 변경통제 프로세스를 적용받지 않았다. 

정보보호 영향평가 및 보안성 검토 절차도 시스템과 연계되지 않아 누락될 우려가 있는 것으로 확인됐다.