[포쓰저널=강민혁 기자] 하나증권이 전자금융거래와 핵심업무 관리 전반에서 미비점이 드러나 금융당국으로부터 경영유의사항과 개선사항 조치를 받았다. 

13일 금융당국에 따르면 금융감독원은 11일 하나증권에 대해 제3자 서비스 관리체계 미비, 핵심업무 선정 및 복구목표시간(RTO) 설정 부적정, 외부 연계기관 회선 관리 부족, 제3자 서비스 비상대응 절차 미흡 등을 지적하며 총 4건의 시정 요구를 통보했다. 

하나증권은 전자금융 업무 효율화를 위해 다수 외부 전문업체와 제휴 및 위탁 계약을 체결하고 있으나, 펌뱅킹·마이데이터·전자서명 등 제3자 서비스를 총괄 관리하는 부서가 부재해 각 부서가 개별적으로 위탁업체를 관리하는 구조였다. 

이로 인해 전체 서비스 현황, 업무 영향도, 리스크 관련 문서 등이 체계적으로 관리되지 않는 상황이 반복됐으며, 해외 파생·주식 거래 등 중요 업무에서도 단일 장애지점(SPOF) 여부 판단 기준이 일관되지 않은 것으로 나타났다. 

일부 제휴 서비스 계약에는 감독·검사 수용 의무조항 등이 누락된 사례도 확인됐다.

핵심업무 선정 과정에서도 문제점이 드러났다. 하나증권은 매년 업무영향분석(BIA)을 실시하고 있으나, 부서별 RTO 설정이 분석 결과와 무관하게 이뤄졌고, BCP 전담부서·IT부서·업무부서 간의 협의가 부족해 BIA 결과와 IT비상계획서 간의 핵심업무 선정이 불일치하는 사례가 발생했다.

재해복구센터와 외부 연계기관 간 회선 연결 및 대체수단 마련도 미흡했다. 국내외 주식·파생 매매업무를 핵심업무로 지정하고도 주요 연계기관 일부와는 DR센터 간 회선을 연결하지 않았고, 신용정보조회 등 일부 외부서비스에는 장애 시 대체수단 자체가 마련되지 않아 업무중단 위험이 존재했다.

재해복구전환훈련 체계에서도 제3자 서비스가 제외되는 등 연결성 검증이 미흡했다. 한국거래소·대체거래소 등 일부 기관과는 합동훈련이 진행됐지만, 해외주식 시세 서비스, 신용정보조회, 한도조회 등 핵심업무와 연결된 타 외부 서비스는 훈련 범위에 포함되지 않았다.

금감원은 하나증권에 제3자 서비스 총괄부서를 지정하고 단일 장애지점 식별 기준, 업무 영향도 평가, 문서관리 등 체계를 재정비할 것을 요구했다. 

제휴 계약 체결 시 감독의무 등 필수 리스크 관리 조항을 반영하고 준법감시인 등 리스크관리부서가 적정성을 검토하도록 지시했다. 

핵심업무 선정 시 BIA 결과와 복구목표시간 설정이 정합성을 갖도록 절차를 개선하고, 재해복구센터와의 회선 연결 및 대체수단 마련, 제3자 서비스 연계 훈련 강화 등 업무복원력 강화 조치도 함께 주문했다.

금감원은 “하나증권의 제3자 서비스 관리 및 핵심업무 복구체계 전반에서 구조적 보완이 필요하다”며 “업무연속성과 전자금융 안정성 확보를 위한 체계 개선을 지속적으로 점검할 것”이라고 밝혔다.