신용정보전산시스템 보안대책 의무 위반, 임원 변경 금융위 미보고
금감원, 개인신용정보시스템 접근권한 관리체계 등 3건 개선요구
[소셜밸류=최연돈 기자] 헥토이노베이션이 신용정보 관리부실로 감독당국으로부터 기관주의 제재를 받았다. 이번 제재는 스테이블코인 진출을 본격화하고 가운데 지적된 사안으로 민감한 개인정보를 다루는 기업으로서 책임 문제와 함께 내부통제 개선을 통한 고객 신뢰 회복이 시급한 과제로 주목받고 있다.
17일 금융당국에 따르면 금융감독원은 최근 헥토이노베이션이 신용정보전산시스템 보안대책 의무 위반, 임원 변경 보고의무를 이행하지 않은 사실을 확인하고 기관주의와 과태료 2400만원을 부과하고 관련 직원 1명을 주의조치했다.
 |
| ▲사진=헥토이노베이션 제공 |
신용정보법에 따르면 신용정보회사 등은 개인신용정보 취급자가 변경된 경우에는 지체 없이 개인신용정보처리시스템의 접근권한을 변경 또는 말소해야 하는데도, 금감원 조사결과 헥토이노베이션은 2022년 8월 9일부터 2023년 8월 11일까지 개인신용정보 취급자 수십 명이 퇴사하였음에도 지체 없이 개인신용정보처리시스템의 접근권한을 말소하지 않았다.
임원 변경 보고의무도 이행하지 않은 것으로 드러났다. 대표자 및 임원의 변경 사항에 대해서는 그 사유가 발생한 날로부터 7일 이내에 그 사실을 금융위원회에 보고해야 하는데도, 2021년 3월 31일부터 2023년3월 31일까지 주주총회에서 임원 수 명에 대한 퇴임을 의결했음에도 그 사실을 금융위원회에 보고하지 않았다.
헥토이노베이션 관계자는 "퇴직자 시스템 접근권한과 관련해 계정이 퇴직 후에도 살아 있어 말소조치했다"며 "이로 인한 개인정보 유출은 없었다"고 해명했다
이외에 금융감독원은 개인정보 내부통제 관련 ▲개인신용정보처리시스템 접근권한 관리체계 개선 ▲ 마이데이터 관련 감사업무 운용체계 정비▲건강지키미‘ 등 개인신용정보 동의서 운용절차 개선을 주문했다.
헥토이노베이션의 내규에 의하면 개인신용정보처리시스템에는 필수 인력에 한하여 접근권한을 부여하도록 하고 있는데도 2022년 5월부터 2023년 9월까지 개인신용정보 관련 업무 활용도가 낮은 임직원들게 장기간에 걸쳐 접근권한을 부여한 사례가 발견됐다.
금감원 관계자는 "앞으로 개인신용정보처리시스템에 대한 접근권한은 업무 목적에 맞게 최소화하여 부여하고, 접근권한 부여시 신청·승인 절차를 규정화하는 등 관련 업무절차를 개선할 필요가 있다"고 요구했다.
또한 감사업무가 대표이사와 독립적으로 운영되지 않았고, 감사업무를 보조하는 조직도 없어마이데이터 관련 업무감사를 실시한 사실이 없어 감사업무에 대한 독립성을 강화하는 등 감사업무 관련 절차를 체계적으로 정비할 필요가 있었다.
’건강지키미‘ 등 개인신용정보 동의서 운용절차도 개선이 필요한 것으로 조사됐다. ’건강지키미‘ 관련 수집·이용 동의서에 수집·이용 대상정보를 “보험 증권정보, 기본정보”로만 기재하고 보험관련 정보를 수집하고 있으며, 수집 정보 중 자동차보험 정보 등 일부 항목은 현재 활용하지 않는 정보임에도 향후 서비스 분석에 이용할 목적으로 필수적 동의사항에 포함하고 있었다.
이에 대해 헥토이노베이션 관계자는 "접근권한 관리체계 개선, 감사운용체계 완비 등 금감원 개선요구 사항들은 현재 모두 조치를 완료한 상태"라고 밝혔다.
헥토이노베이션은 최근 블록체인 지갑 전문기업 월렛원(구 헥슬란트)의 지분 47.15%를 인수하며 스테이블코인 사업 진출을 본격화하고 있는 가운데, 이번 사건은 기업의 내부 통제 시스템 강화가 시급하다는 지적을 받고 있다.
업계에서는 “개인정보 보호가 핵심인 핀테크·헬스케어 기업에서 이런 관리 부실은 심각한 보안 리스크를 내포한다”며, “만약 해당 계정이 악용됐다면 대규모 정보 유출로 이어질 수 있었다”고 우려를 표했다.
[ⓒ 사회가치 공유 언론-소셜밸류. 무단전재-재배포 금지]
