금감원 지적에 토스·카카오페이증권, IT 리스크 점검 개편

[아이뉴스24 김민희 기자] 금융감독원 지적에 토스증권과 카카오페이증권이 개발·운영 분리를 통한 독립 검증 체계 강화와 프로그램 변경 전 영향도 점검·테스트·복구 체계를 마련하고 있다.

3일 금융투자업계에 따르면 카카오페이증권은 올해 IT 내부통제 중점 추진 과제로 프로그램 변경 및 배포 전 과정에 대한 사전 영향도 분석과 테스트 의무화를 추진한다. 장애 발생 시 즉시 복구가 가능한 롤백 체계도 함께 구축할 계획이다.

또 개발·운영 조직과 분리된 IT 내부통제 전담 조직을 통해 프로그램 변경·배포 전 과정에 대한 독립적인 점검 및 승인 체계를 강화하고 있다.

토스증권도 대응에 속도를 내고 있다. 프로그램 개발 단계부터 운영까지 전 과정을 재정비하고 변경 관리 시스템을 보완하는 한편, 독립적인 QA(Quality Assurance) 조직을 중심으로 제3자 검증 체계를 강화하고 있다. 해당 검증은 개발에 참여한 인력을 배제한 상태에서 독립 권한을 가진 인력이 수행하도록 운영되고 있다.

아울러 전사 IT·보안 교육과 장애 대응 훈련을 확대하고, IT 리스크 자체 평가를 기반으로 고위험 영역을 선별해 개선하는 체계도 구축 중이다. 향후 내부 감사 인력도 확충해 전반적인 통제 수준을 끌어올릴 계획이다.

이 같은 움직임은 금융감독원이 최근 전산사고의 근본 원인으로 ‘형식적 통제 절차’를 지목하며 개선을 요구한 데 따른 것이다. 금감원은 지난 1일 인터넷은행 및 계열 증권사 CIO를 대상으로 점검회의를 열고, 프로그램 변경 과정에서 테스트, 현업 검증, 제3자 검증, 타 시스템 영향 분석 등이 제대로 이행되지 않고 있다고 지적했다.

금감원 관계자는 “프로그램 변경 시 테스트, 현업 부서 검증, 제3자 검증, 타 시스템 영향 분석 등을 거쳐야 하는데 일부 회사에서 이러한 절차가 충분히 이행되지 않았다”며 “검증 기능을 수행할 인력이나 조직이 부족하거나 개발과 검증 기능이 명확히 분리되지 않은 상태에서 운영되면서 통제가 형식적으로 이뤄진 측면이 있다”고 말했다.

전자금융거래법에는 프로그램 변경 시 사전 검증 절차가 규정돼 있지만, 현장에서는 인력 부족과 조직 구조 문제로 해당 절차가 충분히 작동하지 못한 사례가 확인됐다는 설명이다.

다만 실제 서비스 안정성은 여전히 과제로 남아 있다. 올해 토스증권은 원화 주문 가능 금액 표시 오류와 종목정보 조회 오류, 주가 알림 오발송 등 장애가 이어졌고, 카카오페이증권도 정규장 개시 직후 서비스 지연과 일부 주문 미체결 사례가 발생했다.