【투데이신문 박주환 기자】 AIA생명이 금융감독원으로부터 고객 개인정보 및 내부통제 관리 미흡으로 경영유의 제재를 받았다. AIA생명으로서는 최근 ‘인터넷사이트 안전마크(i-Safe)’를 부여 받았다며 소비자보호의 우수성을 자랑했던 것이 무색해질 수밖에 없는 상황이다.

5일 금감원에 따르면 AIA생명은 고객정보 노출 우려 및 내부통제 부실 등으로 경영유의 2건, 개선사항 7건의 제재를 받았다.

구체적인 제재내용을 살펴보면 AIA생명은 주요 금융정보를 제외한 일부 개인정보에 대해 마스킹 등의 처리를 하지 않아 고객 개인정보 노출의 우려가 있다는 지적을 받았다. 개인정보 마스킹이란 쉽게 말해 보호가 필요한 부분을 ‘*’, ‘ㅇ’ 등의 문자로 대체하는 것을 말한다.

정보보호의 관리통제도 불합리한 운영사항으로 지목됐다. AIA생명의 경우 그룹 보안팀에서만 보안관제를 실시하고 보완조치가 필요한 경우에 한해 한국법인에 통지하고 있어 침해사고 예방 활동이 미흡해질 수 있다는 것이다.

금감원은 “외부에서 들어오는 공격시도에 따른 공격자 유형, 공격방법 등에 대한 현황 파악 및 공격‧유해트래픽 차단 등 침해사고 예방 활동을 자체적으로 실시하는 등 정보보호 관제업무를 개선하기 바란다”고 강조했다.

이밖에도 AIA생명은 IT업무를 수행하며 비상업무계획(BCP), 재해복구계획(DR), 장애관리절차, IT운영위원회 운영절차 등 IT부문 주요업무처리 절차의 기준 및 지침을 체계적으로 관리하지 않았고 일부 프로젝트에 대해 외부 감리를 미수행해 내부통제의 강화가 필요하다는 지적을 받았다.

또 IT감사, IT경영 및 프로그램·인프라 운영 등 전반적인 IT영역에 대한 감사가 장기간 이뤄지지 않아 문제가 됐다.

금감원의 이번 경영유의 조치는 AIA생명이 그동안 강조해온 ‘인터넷사이트 안전마크’ 인증과 상반된 부분이 있어 논란이 예상된다.

AIA생명은 최근 지난 7년간 인터넷사이트 안전마크 인증을 받았다고 홍보했다. 해당 안전마크는 민간기관인 개인정보보호협회의 인증위원회가 서류심사, 온라인심사, 현장 실태 조사 등을 거친 후 부여한다. 심사는 개인정보보호법에 근거해 인터넷사이트의 시스템 보안, 소비자보호 및 내부관리체계 수준을 평가하는 방식으로 이뤄진다.

하지만 금감원의 제재 내용에 따르면 AIA생명은 개인정보 노출 및 보안체제 등 내부통제에 대해 개선할 점이 상당수 지목된 상황이다.

금감원 관계자는 “AIA생명 검사는 지난해 10월 실시했다. 경영유의 같은 경우는 6개월, 개선에 대한 사항은 3개월 이내에 정리결과 보고서를 제출해야 한다”라며 “해당기관으로부터 정리결과보고서를 받은 후 이행여부를 판단할 것”이라고 말했다.