금융당국, 메리츠캐피탈 ‘경영유의’

금융당국이 메리츠캐피탈에 경영유의 제재를 내렸다. 자체 감사 이후 조치결과에 대한 사후관리가 미흡했고, IT사업을 추진할 때 검토 과정이 부족해서다.

12일 금융업계에 따르면 금융감독원은 9일자로 메리츠캐피탈에 경영유의 2건, 개선 3건의 제재를 조치했다.

메리츠캐피탈은 IT자체 감사를 통해 지적된 사항에 대한 정리보고서 접수, 감사업무 처리부 작성 등을 하지 않았다.

금감원은 메리츠캐피탈이 자체감사 결과 이행계획서에 따라 조치가 완료된 건에 대해 정리보고서 접수, 감사업무 처리부 작성, 정리보고서 심사 등 사후관리 절차를 철저히 준수할 필요가 있다고 지적했다. 또 회사는 매년 정보기술부문 계획서에 관한 사항을 심의·의결하고, IT사업을 추진하고 있으나 이에 대한 타당성 검토가 미흡했다. 때문에 IT서비스가 개시 직후 중단되거나, 계획했던 IT사업의 추진이 수차례 지연, 무산됐다.

금감원 관계자는 “합리적인 투자 결정과 과잉 중복투자 방지 등을 위해서는 IT사업 추진과 관련된 사전 타당성 검토를 강화해야 할 것”이라고 말했다.

한편, IT자산 검수절차·관련 규정 불합리, 시스템 사용자 계정 비밀번호 보안 미흡, 시스템 복구훈련 미흡 등은 개선사항으로 지적됐다. 메리츠캐피탈은 IT사업 착수 이후 검수, 대금지급 등에 대한 규정이 별도로 마련돼 있지 않았다. IT자산의 설치 후 테스트 결과, 일부 자산정보 등을 검수확인서에 기록하지 않거나 계약 업체가 제공한 납품확인서를 검수확인서로 대체하는 등 검수 체계가 잡혀있지 않았다.

시스템 사용자 계정의 비밀번호의 암호화 알고리즘 등은 해킹 등에 의해 노출될 위험이 컸다. 또 시스템 복구훈련 등과 관련해서는 소산관리 대장에 소산자료(백업테이프)의 반출 이력을 기록하지 않아 반출된 자료에 대한 추적·관리가 어렵고, 복구훈련시 백업 데이터만 사용해 훈련의 실효성이 떨어졌다.