하나증권

하나증권이 외부 전문업체(제3자) 서비스 관리를 총괄하는 부서 없이 주먹구구식으로 운영하다 11일 금융감독원으로부터 '경영유의' 2건 및 '개선사항' 2건의 조치를 받았다. 

핵심업무의 업무영향분석(BIA) 결과를 무시하고 , 재해복구(DR) 센터 연계마저 누락하는  등 비상 대응 체계 전반에 구멍이 뚫린 사실이 드러났다.

제3자 서비스 총괄 '컨트롤타워' 부재…계약서엔 '감독 의무'도 누락

하나증권은 외부 업체 다수와 계약을 맺고 있으면서도 제3자 서비스를 총괄 관리하는 부서가 없었다. 그러다보니 각 부서가 개별적으로 업체를 관리하면서 리스크 현황이 체계적으로 관리되지 않았다.

특히 해외 파생상품 등 주식 거래 업무의 '단일 장애지점'을 제대로 식별하지 않았고, 대체 수단 마련이 가능함에도 이를 준비하지 않은 채 계약서상 손해배상 조항만 믿고 안일하게 대처했다. 

심지어 A(펌뱅킹), B(마이데이터 통합인증), C(인증) 등 일부 계약에는 당국의 감독·검사 수용 의무 등 필수 조항조차 누락된 사실이 적발됐다.

BIA 무시한 '복구목표시간'…핵심업무 IT계획과 '불일치'

핵심업무 선정 관리도 허술했다. 매년 업무영향분석(BIA)을 실시하면서도, 정작 업무부서들은 이 분석 결과와 무관하게 임의로 복구목표시간(RTO)을 설정했다. 

BCP(업무연속성계획) 전담 부서, 업무부서, IT부서 간 협의가 미흡한 탓에, BIA가 선정한 핵심업무와 IT 비상계획서상 핵심업무가 '엇박자'를 내기도 했다.

재해복구센터 연계 구멍…비상훈련은 '반쪽짜리'

비상시 대응 능력도 낙제점을 받았다. 하나증권은 국내외 주식매매를 핵심업무로 지정했음에도, 재해복구센터는 일부 외부 연계기관 주전산센터와 회선을 연결하지 않았다. 

신용정보조회 업무 관련 기관에 대해서는 아예 대체 수단조차 마련하지 않아, 재해 발생 시 핵심 업무가 중단될 우려가 큰 것으로 나타났다.

IT 비상계획서에는 제3자 서비스 장애 시 비상대응 방안이나 복구 절차가 상세히 마련되어 있지 않았으며, 한국거래소 등과는 훈련을 하면서도 해외주식시세, 신용정보조회 등 다른 핵심 제3자 서비스와 연계 훈련을 하지 않기도 했다.

이에 금감원은 하나증권에 제3자 서비스 총괄 관리부서를 지정하고, BIA 결과를 IT 비상계획서에 정확히 반영하도록 했고, 핵심업무와 연관된 모든 제3자 서비스에 대해 재해복구센터 연계 및 비상 훈련도 강화하라고 요구했다.