금감원, 금융사·전자금융업 IT 리스크 상시감시

서울 여의도 소재 금융감독원 본원 전경. ⓒ데일리안

금융감독원이 전자금융업무를 수행하는 모든 금융사와 전자금융업자의 IT 리스크에 대한 선제적 대응을 위해 상시감시와 검사 업무를 실시한다.

금감원은 금융상품의 복잡·다양화로 인한 전자금융거래의 안전성 확보와 소비자 피해 예방을 위해 금융부문 IT업무 전반에 대한 IT 리스크 상시감시 및 검사업무 운영방향을 마련했다고 10일 밝혔다.

금감원은 2016년부터 IT 리스크 계량평가 제도를 도입해 자산 규모 2조원 이상인 대형 금융사에 대해 IT인프라 운영상의 주요 리스크를 정기적으로 점검하고 있다.

다만 최근 중소형 금융사와 전자금융업자가 디지털 기반의 금융상품 및 신규서비스 출시를 확대하면서, 대형 금융사에 비해 IT인프라·정보보호 기반이 열악한 중소형 금융사 등의 IT리스크가 증가할 것으로 예상된다는 설명이다.

우선 전자금융업무를 수행하는 모든 금융사와 전자금융업자에 대해 IT리스크 계량평가가 실시된다. 자산규모가 2조원 이상이거나 IT 의존도가 높은 금융사에 대해서는 ‘IT리스크 계량평가를 실시하고, 중소형 금융사와 전자금융업자에 대해서는 계량평가 항목을 간소화 한 간이평가가 실시된다.

계량평가 지표는 5개 부문, 36개 항목에 업권별 특성을 반영해 4~10개 항목을 추가했고, 간이평가 지표는 계량평가 항목 중 IT인프라 안전성 확보에 필수적인 13~18개 항목을 선정해 평가하겠다는 계획이다.

아울러 금감원은 IT인프라 운영과 정보보호 등 IT업무 전반에 대한 상시평가 과정에서 취약점이 확인되는 경우, 금융사와 전자금융업자에 대해 자체감사를 요구하는 자체감사 요구제도(가칭)을 도입해 시범 실시할 예정이다. IT리스크 상시평가 등급이 일정기준 이하인 경우 해당 금융사와 전자금융업자의 자체감사 활동을 통해 취약점을 자율시정토록 유도한다는 방침이다.

금융사·전자금융업자가 제출한 자체감사 결과는 IT검사국 담당 검사팀에서 적정성 검토를 실시하고, 금융사 등의 자체감사 결과 조치사항이 적정한 경우에는 금융사 등의 의견을 원칙적으로 수용하되 개선 등의 조치가 부실하거나 허위의 사실을 보고하는 등 부적정한 것으로 판단되는 경우에는 필요시 금감원이 직접 검사를 실시하는 방식이다.

금감원 관계자는 "전자적 침해사고나 장애사고로 인한 소비자 피해를 예방할 수 있도록 금융부문의 IT리스크에 대한 사전예방적 감독·검사를 강화해 나갈 계획"이라고 말했다.

이어 "이번 달 중 금융업권의 의견을 청취해 IT상시협의체를 구성하고, 해당 협의체를 통해 금융사, 전자금융업자와 각종 현안사항 등에 대한 소통을 확대해 나갈 것"이라고 덧붙였다.