캐롯손해보험

3년 넘게 콜센터, 보안관제 등 핵심 위탁업무에 대한 감사를 단 한 차례도 실시하지 않은 캐롯손해보험이 11일 금융감독원으로부터 '경영유의' 1건과 '개선사항' 2건의 제재를 받았다. 

자동차 손해사정 및 콜센터 업무가 재해복구센터(DR)에 연결조차 되지 않아  비상시 업무가 중단될 수 있는 등 심각한 위험에 노출되기도 했다.

3년간 위탁업체 감사 '0'…컨트롤타워도 '부재'

캐롯손보는 다수의 외부 전문업체와 계약을 맺고 있으면서도 이를 총괄 관리하는 부서나 상세 관리 기준이 부재한 상태였다. 

각 부서는 업체를 개별적으로 관리할 수밖에 없었다. 단일 장애지점이나 리스크 관련 문서, 대체수단 등도 체계적으로 관리되지 않고 있었다.

더욱이, 2022년 1월~2025년 4월에는 단위시스템 운영, 고객센터 콜 인프라, 보안 관제 등 핵심 외부주문 업체에 위탁한 업무의 적정성에 대해 IT감사를 단 한 차례도 실시하지 않았다.

손해사정·콜센터, 재해복구센터 연결 누락···핵심 연계 훈련 미흡

비상 대응 체계는 더욱 심각했다. 캐롯손보는 자동차보험 손해사정 업무 업체 및 콜센터 업체와 통신회선을 주전산센터로만 연결했다. 

재해 등으로 재해복구센터로 전환·운영해야 할 경우, 손해사정과 콜센터 업무의 연속성이 보장되지 못할 치명적인 우려가 확인된 것이다.

보험료 자동이체나 카카오알림톡 등 고객 안내메시지 발송 업무와 관련된 제3자 서비스는 대체수단조차 마련되어 있지 않아, 해당 서비스 장애 시 대고객 업무가 중단될 가능성도 제기됐다.

캐롯손보는 '재해복구계획서'를 마련하고도, 전산센터(클라우드 포함)별 재해복구시스템 전환 절차나 제3자 서비스 복구 절차를 상세히 마련하지 않았다. 

제3자 서비스 장애에 대한 비상대응방안조차 부재해 비상 상황 시 원활한 대응이 어려운 상태였다.

지난해 실시한 재해복구전환훈련 역시 일부 제3자 서비스에 대해서만 모의훈련을 실시하는 등 핵심업무와 관련된 제3자 서비스에 대한 검증이 매우 미흡한 것으로 드러났다.