금감원, 금융사·전금업자 대상 IT리스크 상시감시 강화

[한국금융신문 김경찬 기자] 금융감독원이 전자금융거래의 안전성을 확보하고, 소비자 피해 예방을 위해 전자금융업무를 수행하는 모든 금융회사와 전자금융업자의 IT리스크에 선제적 대응이 가능하도록 상시감시와 검사 업무를 운영하기로 했다.

금감원은 10일 IT리스크 상시감시 및 검사업무 운영방향을 마련했다고 밝혔다. 금감원은 IT리스크를 상시 평가하여 도출된 취약점을 자체감사 활동을 통해 자율 시정하도록 유도하고, 선제적 대응이 가능하도록 핵심·취약부문에 대한 사전예방적 검사를 강화할 계획이다.

금감원은 지난 2016년부터 ‘IT리스크 계량평가 제도’를 도입하여 자산규모 2조원 이상인 대형 금융사를 대상으로 정기적으로 점검해왔다. 향후 자산규모가 2조원 이상이거나 IT 의존도가 높은 금융사에 대해서는 IT리스크 계량평가를 실시하고, 중소형 금융사와 전금업자에 대해서는 계량평가 항목을 간소화한 간이평가를 실시할 예정이다.

또한 IT 인프라 운영 및 정보보호 등에 대한 상시 평가 과정에서 취약점이 발견되는 경우 금융사와 전금업자에 대해 자체 감사를 요구하는 ‘자체 감사 요구제도(가칭)’를 시범적으로 실시할 계획이다.

IT리스크 상시평가 등급이 일정 기준 이하인 경우 해당 금융사가 자체감사를 통해 취약점을 자율 시정하도록 유도하고, 자체감사 결과에서 조치가 부실하거나 허위의 사실을 보고하는 등 필요시 금감원이 직접 검사를 실시할 예정이다.

금감원은 금융사의 특성과 규모, IT 의존도 등을 감안하여 2~5년 주기로 IT 부문에 대한 정기검사를 실시하기로 했다. 정기검사는 IT 업무 전반에 대한 실태 평가와 상시 평가 결과에서 확인된 취약점에 대해 중점적으로 검사할 계획이다.

또한 IT 사고로 소비자 피해가 발생했거나 내부 통제가 취약한 금융사를 대상으로 테마 검사도 실시할 예정이다. 망 분리 규제 준수 등 보안대책 소홀에 따른 침해사고가 발생하거나 인터넷뱅킹 등 대고객 서비스 관련 시스템의 장애 사고 등이 발생하면 현장검사를 실시할 계획이다.

금감원 관계자는 “금융부문의 IT리스크에 대한 사전예방적 감독·검사를 강화해 나갈 계획”이라며, “IT리스크 계량평가 제도를 보완하여 금융부문의 핵심업무에 대한 IT리스크 수준을 조기 판별이 가능한 상시평가 모형을 개발하겠다”고 밝혔다.

금감원은 이달 중으로 금융업권의 의견을 청취하여 IT상시협의체를 구성하고, 금융회사·전금업자와 각종 현안사항 등에 대한 소통을 확대해 나갈 계획이다.

김경찬 기자 kkch@fntimes.com