금감원, 금융사 IT리스크 정기·상시검사 강화한다

전자금융업무 수행 금융회사·전자금융업자 대상 계량평가…중소형사는 간이평가

2~5년 주기 정기검사 및 테마·현장검사 실시 "사전예방적 감독·검사 강화할 계획"

ⓒ픽사베이

대형 금융회사 뿐 아니라 중소형 금융회사에서도 디지털 기반의 금융상품과 신규서비스 출시 확대로 IT 리스크 증가가 우려되면서 감독당국이 사전예방적인 감독·검사 강화를 추진한다.

이번 방침에 따라 전자금융업무를 수행하는 모든 금융회사와 전자금융업자는 계량평가를 받게 되며 소비자 피해가 발생하거나 IT 리스크 관련 내부통제가 미흡할 경우 수시검사가 진행된다.

금융감독원은 금융부문 IT업무 전반에 대한 'IT 리스크 상시감시 및 검사업무 운영방향'을 마련했다고 10일 밝혔다.

지난 2016년 'IT리스크 계량평가 제도'를 도입한 금감원은 자산규모 2조원 이상의 대형 금융회사에 대해 IT인프라 운영상 주요 리스크를 정기적으로 점검하고 있다.

그러나 최근 중소형 금융회사 및 전자금융업자가 디지털 기반의 금융상품 및 신규서비스 출시를 확대하면서 중소형 금융회사 등의 IT 리스크가 증가할 것으로 예상되고 있다.

이번 운영방향에 따라 금감원은 전자금융업무를 수행하는 모든 금융회사 및 전자금융업자에 대해 IT 리스크 계량평가를 실시할 예정이다.

자산규모 2조원 이상이거나 IT 의존도가 높은 금융회사에 대해서는 'IT 리스크 계량평가'를 실시하고 중소형 금융회사 및 전자금융업자에 대해서는 계량평가 항목을 간소화 한 간이평가를 실시한다.

계량평가 지표는 5개 부문 36개 항목에 업권별 특성을 반영해 4~10개 항목(반복지적, 장애 등)을 추가했고 간이평가 지표는 계량평가 항목 중 IT 인프라 안전성 확보에 필수적인 13~18개 항목을 선정해 평가한다.

IT 인프라 운영 및 정보보호 등 IT 업무 전반에 대한 상시평가 과정에서 취약점이 확인되는 경우 자체감사를 요구하는 '자체감사 요구제도(가칭)'를 도입해 시범실시할 예정이다.

금감원은 자체감사 지원 등을 위해 비대면 방식의 IT상시협의체 구성을 추진하고 이달 중 업계 의견을 청취한다.

IT리스크 상시평가 등급이 일정기준 이하인 경우 해당 금융회사·전자금융업자의 자체감사 활동을 통해 취약점을 자율시정하도록 유도한다.

금융회사·전자금융업자가 제출한 자체감사 결과를 IT검사국 담당 검사팀에서 적정성 검토를 실시하며 개선 등의 조치가 부실하거나 허위사실 보고 등 부적정하다고 판단될 경우 금감원이 직접 검사에 나선다.

IT부문에 대한 정기검사는 금융회사의 특성과 규모, IT 의존도 등을 감안해 2~5년 주기로 실시된다.

정기검사에서는 IT 업무 전반에 대한 실태평가와 함께 상시평가 결과 확인된 취약점 및 미흡사항에 대해서도 중점적인 검사가 이뤄진다.

IT 사고로 소비자 피해가 발생하거나 내부통제가 취약한 금융회사 등에 대해서는 테마검사가 강화된다.

망분리 규제 준수, 공개용 웹서버 취약점 보정 등의 보안대책 소홀에 따른 침해사고가 발생하거나 인터넷뱅킹·모바일앱 등 대고객 서비스 관련 시스템 자원(서버·회선·전산장비 등)에 대한 성능관리 소홀로 장애사고가 발생한 경우 사고원인 규명을 위한 현장검사가 진행된다.

IT리스크 상시평가 결과 IT 부문의 내부통제가 취약해 사고 개연성이 높은 금융회사·전자금융업자에 대해서도 내부통제 점검을 위한 현장검사가 실시된다.

금감원 관계자는 "전자적 침해사고 및 장애사고로 인한 소비자 피해를 예방할 수 있도록 금융부문의 IT리스크에 대한 사전예방적 감독·검사를 강화해 나갈 계획"이라고 말했다.

이어 "IT리스크 계량평가 제도를 보완해 금융부문 핵심업무에 대한 IT리스크 수준 조기판별이 가능한 상시평가 모형을 개발하겠다"며 "이달 중 구성되는 IT상시협의체를 통해 각종 현안사항 등에 대한 소통을 확대해 나갈 계획"이라고 덧붙였다.