작년 9월 실시 점검…전산시스템과 지점 통폐합 절차 지적

▲ 지난해 금감원이 실시한 검사에서 씨티은행의 금융거래 전산프로그램에서 발견된 오류에 관한 지적이 다수 나왔다. 지점 통·폐합 논의 절차상 미흡한 점도 지적됐다.

[시사포커스 / 강기성 기자] 금감원이 지난해 9월 실시한 정기점검 결과 경영유의사항과 개선사항 총 17건을 한국씨티은행에 통보했다. 중요 정책인 지점 통폐‧합과정 중 절차상 미흡과 전산시스템 오류·보안에 관한 지적이었다.
 
25일 금감원은 씨티은행 측에 작년 9월 실시한 검사에서 드러난 결과에 따라 경영유의사항 10건과 개선사항 7건을 지난 11일 통보했다. 먼저 금감원은 씨티은행이 추진하고 있는 80% 지점 통‧폐합과 관련해 “과거 영업점 모델변경이 시행(2015.11.24.)되기 직전에 이사회 보고(2015.11.17.) 및 경영위원회(2015.11.11.) 논의가 이뤄지는 등 절차상 미흡한 점이 발견돼 관련 절차를 강화할 것"을 요청했다.
 
아울러 금감원은 "‘은행업감독업무시행세칙’에 따라 이사회의 승인이 있어야 함에도 씨티은행이 미국 씨티그룹 규정을 차용한 옛 규정을 고집하고 있어 현행법에 맞게 법규 준수절차를 강화하고 관리세칙을 개선할 것"을 주문했다.
 
씨티은행의 금융거래 전산프로그램에서 발견된 오류와 보안시스템에 관한 지적도 나왔다. 현재 씨티은행이 발행한 체크카드에서 작년에만 총 1만3000여건의 해외 불법인출이 발생해 금감원이 23일부터 현장조사를 실시하고 있다.
 
금감원은 작년 9월 해당 테스트에서 씨티은행 전산금융거래 프로그램에서 기업 인터넷뱅킹 이체오류, 카드 대금 미출금, 개인 인터넷뱅킹 로그인 일시 불가, 자동화기기 및 인터넷뱅킹을 통한 해외송금 일시 중단, 이자지급 지연 등의 장애 등의 오류가 발생했다고 밝혔다. 또 신규 가동한 모바일뱅킹에서는 과거 거래내역 조회 기능이 정상적으로 작동하지 않는 경우도 있었다.
 
금감원 관계자는 “전자금융거래 운영시스템에 대해 씨티은행이 충분한 테스트를 거치지 않았기 때문”이라며 “전자금융거래에 사용되는 프로그램 변경 및 테스트 등에 대한 내부통제가 취약하다”고 밝혔다.
 
이 같은 경영유의사항에 이어 금감원은 7가지 개선사항을 추가했다. 금감원 측은 “씨티은행이 물리적 망분리 인터넷 단말기에서 사용자별로 IP내역을 관리하지 않아 사용자를 구분하기 힘들고, 고객 인터넷 사용이력을 보관기간이 3개월에 국한하고 있다"며  "이 경우 후에 사용이력 추적이 어려울 수 있기 때문에 1년 이상 기록할 필요가 있다”고 지적했다.
 
또 금감원은 씨티은행이 업무상 이용자 정보가 포함된 파일이 첨부된 이메일을 발송할 때, 보안담당자의 승인통제 절차도 없이 비밀번호만 설정한 뒤 압축‧발송하는 방식을 사용하고 있어 고객정보가 유출된 우려가 있다고 판단했다.
 
금감원 관계자는 “씨티은행이 사용하는 전산시스템에 고객이나 사용자 정보보안시스템에 보완이 필요하다”며 “물리적 망분리 인터넷 단말기에 대해 씨티은행은 사용자 추적이 용이하도록 고정 IP를 부여하거나 유동IP 부여 시 변경현황을 기록하는 등 IP주소 관리체계를 강화할 필요가 있다”고 덧붙였다.
 
한편, 이 밖에 금감원이 통보한 씨티은행 경영유의 사항으로는 ▲전산 상시감시 사후점검 비율 제고방안 강구 ▲내부감찰 운용에 관한 합리적 기준 마련 ▲감사본부장 성과평가지표 개선▲업무보고서 작성시 정확성 제고 ▲자체 건전성분류의 적정성 제고 ▲불필요한 모기지신용보험(MCI) 가입 방지방안 마련 ▲위기상황 분석업무 강화 등이 있었고, 추가 개선사항으로 ▲전자금융거래시스템 운영 불합리 ▲준법감시인의 준법감시 담당직원 성과평가권한 강화 ▲휴업차주에 대한 자산건전성 분류기준 개선▲근저당설정 유지확인서 징구 확인절차 강화 ▲내부자본 관리체계 실효성 제고 등을 권고했다.
 
저작권자 © 시사포커스 무단전재 및 재배포 금지