[단독]'구멍숭숭' 뱅킹 앱 내부통제…IT 감사 3년에 한 번

[구멍 뚫린 뱅킹 앱 내부통제]
종합감사 3년에 한 번, 수시검사 주기도 제각각
업무연속성계획·재해복구훈련 등 외형 갖췄지만
IT감사인력 2~3명, 일상 속의 IT 내부통제 미흡
감독당국 가이드라인도 권고사항…불이익 없어

[이데일리 김나경 기자] 1시간 이상 지속한 시중은행 뱅킹 앱 오류가 올해에만 최소 3건 발생한 가운데 은행의 IT(정보기술) 사고대응·예방 체계가 디지털 전환 속도를 쫓아가지 못하고 있다. 주요 시중은행의 IT 부문 종합감사가 3년에 한 번꼴로 이뤄지고 있는 데다 감사인력 또한 2~3명 수준에 머무르고 있어서다. 은행 영업점 통·폐합으로 소비자의 뱅킹 앱 의존도가 높아진 가운데 은행이 디지털 금융 시대에 걸맞은 IT 점검 인프라를 갖춰야 한다는 지적이 나온다.

[그래픽=이데일리 김정훈 기자]

IT 감사 제각각…감사인력 태부족

18일 각 은행이 국회 정무위원회 김현정 더불어민주당 의원실에 제출한 자료를 이데일리가 입수해 분석한 결과 은행 IT 종합감사는 3년에 한 번부터 연 2회까지 제각각이었다. KB국민·수출입은행과 카카오·토스뱅크는 3년에 한 번 종합감사하고 있다. 산업은행은 IT 종합감사 대신 부문 감사만 운영하고 있다. 1년에 두 번 종합감사하는 곳은 15개 은행 중 하나·SC제일은행 두 곳뿐이었다.

IT 리스크를 자체 검증해 사고 예방·대응체계를 고도화하는 IT 감사가 제 역할을 하지 못하는 셈이다. 수시검사는 은행별 차이가 더 컸다. 국민은행이 올해 총 9회 IT 부문 감사를 시행해 횟수가 가장 많았고 하나은행, iM뱅크, 케이뱅크는 총 1회 시행하는 데 그쳤다.

IT 부문 감사인력 또한 매년 늘어나는 앱 이용량을 따라가기에는 턱없이 부족했다. 지난해 말 기준 1만 3783명의 임직원이 일하고 있는 국민은행의 IT 감사인력은 4명에 불과했다. 신한은행의 IT 감사인력이 8명으로 5대 시중은행 중 가장 많았다. 우리·농협은행이 각 4명, 하나은행이 2명으로 가장 적었다. 모든 업무를 뱅킹 앱으로 처리하는 인터넷전문은행의 IT 감사인력 또한 크게 다르지 않았다. 카카오뱅크의 IT 감사인력은 5명, 케이뱅크가 2명이었고 토스뱅크는 3명으로 집계됐다.

수년째 IT 인프라·사고 자체 점검 제자리 수준

은행의 뱅킹 앱 의존도가 높아지는 와중에 IT 인프라·사고 자체 점검은 몇 년 전 수준에 머물러 있다. 올해 상반기 말 기준 카카오뱅크 앱 월간활성이용자(MAU)는 약 1990만명, KB국민은행 스타뱅킹 앱은 1363만명에 달했다. 신한은행 쏠뱅크 앱 또한 MAU가 1000만명에 육박한다. 하지만 뱅킹 앱 접속지연·장애 사고는 끊이지 않고 있다. 올 2월 KB스타뱅킹 앱에서는 1시간 이상의 접속 장애로 고객이 불편을 겪었다. 작년 9월에 이어 약 5개월 만에 접속 장애가 재발한 것이다. 신한은행 쏠 뱅킹 앱은 지난 7월 내부 전산장애로 한 시간 이상 이체 업무가 불가했다. 우리은행 WON뱅킹 앱 또한 지난 3월 한 시간 이상의 접속 장애·지연으로 고객이 업무를 처리할 수 없었다.

은행은 IT 비상상황에 대응해 업무가 끊김이 없도록 업무연속성계획(BCP)을 모두 마련하고 있다. 하지만 모의훈련 횟수가 1년에 한 번에 그쳐 실제 임직원이 BCP를 업무에 적용하기엔 충분하지 않다. 재해복구 훈련 시행횟수 또한 은행마다 연 1회에서 4회로 제각각이다.

금융당국 내부통제 혁신방안 또한 준법감시부서 인력 확충 중심이라 IT 전문인력에 대한 기준은 느슨하다. 금융감독원이 은행권과 함께 마련해 발표한 ‘국내은행 내부통제 혁신방안’에 따르면 은행은 2027년까지 준법감시부서 인력을 15명 이상, 총 임직원의 0.8% 이상 둬야 한다. 전체 은행 직원 중 준법감시인력이 0.48%에 그쳐 최소한의 필요인력에 미치지 않는다는 판단에서 이 같은 개선방안을 마련했다. 하지만 준법감시 인력 중 IT 전문인력은 최소 1명 이상 확보하도록 해 IT 전문가가 준법감시부 안에서 적극적·능동적으로 업무를 수행하기는 쉽지 않다.

금감원, 가이드라인 제시…이행 여부 관리

다만 금감원은 올해 업무계획에서 금융사 IT 내부통제·감사 가이드라인을 제시하고 이행 여부를 관리키로 했다. 이에 따라 금융사는 IT 업무 전반에 걸쳐 내부통제방안을 수립하고 IT 조직 내 자체감사인을 두고 일상 업무의 내부통제 적정성을 점검해야 한다. 감사조직 내 IT 감사인이 제3자의 관점에서 IT 위험이 큰 영역에 대한 감사도 시행토록 했지만 강제 규정이 아닌 권고사항이라 금융사가 지키지 않아도 큰 불이익은 없다.

이와 관련 김현정 의원은 “금융권 주요 앱과 웹사이트에서의 ‘반복되는 먹통’ 현상은 소비자 불편 초래는 물론 고객 신뢰를 잃을 수 있는 중대한 사안이다. 금융권이 단순한 서비스 장애로 보는 한 고객 이탈은 물론 더 큰 금융사고로 이어질 수 있다”며 “업계와 금융당국의 철저한 대비와 사전점검이 필요하다”고 강조했다.