이미지 확대보기금감원은 10일 IT리스크 상시감시 및 검사업무 운영방향을 마련했다고 밝혔다. 금감원은 IT리스크를 상시 평가하여 도출된 취약점을 자체감사 활동을 통해 자율 시정하도록 유도하고, 선제적 대응이 가능하도록 핵심·취약부문에 대한 사전예방적 검사를 강화할 계획이다.
금감원은 지난 2016년부터 ‘IT리스크 계량평가 제도’를 도입하여 자산규모 2조원 이상인 대형 금융사를 대상으로 정기적으로 점검해왔다. 향후 자산규모가 2조원 이상이거나 IT 의존도가 높은 금융사에 대해서는 IT리스크 계량평가를 실시하고, 중소형 금융사와 전금업자에 대해서는 계량평가 항목을 간소화한 간이평가를 실시할 예정이다.
또한 IT 인프라 운영 및 정보보호 등에 대한 상시 평가 과정에서 취약점이 발견되는 경우 금융사와 전금업자에 대해 자체 감사를 요구하는 ‘자체 감사 요구제도(가칭)’를 시범적으로 실시할 계획이다.
IT리스크 상시평가 등급이 일정 기준 이하인 경우 해당 금융사가 자체감사를 통해 취약점을 자율 시정하도록 유도하고, 자체감사 결과에서 조치가 부실하거나 허위의 사실을 보고하는 등 필요시 금감원이 직접 검사를 실시할 예정이다.
금감원은 금융사의 특성과 규모, IT 의존도 등을 감안하여 2~5년 주기로 IT 부문에 대한 정기검사를 실시하기로 했다. 정기검사는 IT 업무 전반에 대한 실태 평가와 상시 평가 결과에서 확인된 취약점에 대해 중점적으로 검사할 계획이다.
또한 IT 사고로 소비자 피해가 발생했거나 내부 통제가 취약한 금융사를 대상으로 테마 검사도 실시할 예정이다. 망 분리 규제 준수 등 보안대책 소홀에 따른 침해사고가 발생하거나 인터넷뱅킹 등 대고객 서비스 관련 시스템의 장애 사고 등이 발생하면 현장검사를 실시할 계획이다.
금감원 관계자는 “금융부문의 IT리스크에 대한 사전예방적 감독·검사를 강화해 나갈 계획”이라며, “IT리스크 계량평가 제도를 보완하여 금융부문의 핵심업무에 대한 IT리스크 수준을 조기 판별이 가능한 상시평가 모형을 개발하겠다”고 밝혔다.
금감원은 이달 중으로 금융업권의 의견을 청취하여 IT상시협의체를 구성하고, 금융회사·전금업자와 각종 현안사항 등에 대한 소통을 확대해 나갈 계획이다.
김경찬 기자 kkch@fntimes.com
지금 본 기사에서
어려운 금융·경제 용어가 있었나요?
자세한 설명이나 쉬운 우리말로 개선이 필요한 어려운 용어를 보내주세요. 지면을 통해 쉬운 우리말과 사례로 자세히 설명해드립니다.
데일리 금융경제뉴스 Copyright ⓒ 한국금융신문 & FNTIMES.com
저작권법에 의거 상업적 목적의 무단 전재, 복사, 배포 금지
