[뉴스토마토 박진아 기자] 금융당국이 전자금융업무를 수행하는 모든 금융회사와 전자금융업자에 대해 IT 리스크 상시평가를 강화한다. 또 사전예방적 목적으로 2~5년 주기로 IT 부문에 대한 정기검사를 실시한다.

 

금융감독원은 10일 이 같은 내용의 '2022년도 IT 리스크 상시감시 및 검사업무 운영방향'을 발표했다. 앞서 금감원은 지난 2016년부터 IT 리스크 계량평가 제도를 도입해 자산규모 2조원 이상인 대형 금융회사에 대해 IT 인프라 운영상의 주요 리스크를 정기적으로 점검해 왔다. 

 

하지만 최근 중소형 금융회사 및 전자금융업자가 디지털 기반의 금융상품 및 신규서비스 출시를 확대하면서 대형 금융회사에 비해 IT 인프라·정보보호 기반이 열악한 중소형 금융회사 등의 IT 리스크가 증가하고 있다. 이에 금감원은 모든 금융회사 및 전자금융업자가 IT 리스크에 선제적 대응이 가능토록 상시 감시 및 검사 업무를 운영해 나간다는 방침이다.

 

우선 자산규모가 2조원 이상이거나 IT 의존도가 높은 금융회사에 대해서는 IT 리스크 계량평가를 실시하기로 했다. 중소형 금융회사 및 전자금융업자에 대해서는 계량평가 항목을 간소화 한 간이평가를 실시할 예정이다. 

 

계량평가 지표는 5개 부문(IT감사, IT경영, 시스템 개발·유지보수 등, IT서비스 제공·지원, IT보안·정보보호), 36개 항목에 업권별 특성을 반영해 4~10개 항목을 추가했다. 간이평가 지표는 계량평가 항목 중 IT 인프라 안전성 확보에 필수적인 13~18개 항목을 선정해 평가할 방침이다.

 

IT 인프라 운영 및 정보보호 등 IT 업무 전반에 대한 상시평가 과정에서 취약점이 확인되는 경우, 금융회사 및 전자금융업자에 대해 자체감사를 요구하는 '자체감사 요구제도'(가칭)도 도입·시범 실시한다. IT 리스크 상시평가 등급이 일정기준 이하인 경우에는 해당 금융회사 및 전자금융업자의 자체감사 활동을 통해 취약점을 자율시정 하도록 유도할 예정이다.

 

금융회사의 특성, 규모, IT 의존도 등을 감안해 2~5년 주기로 IT 부문에 대한 정기검사도 실시하기로 했다. 지주계열 시중은행 2.5년, 인터넷·지방은행 등 3.5~4.5년, 종합금융투자사업자 3년, 대형 증권사 5년, 대형 저축은행 2년, 대형 생·손보사 3~4년, 중형 생·손보사 5년, 카드사 및 대형 캐피탈은 5년, 상호금융은 3년 주기다. 

 

이와 함께 IT 사고로 소비자 피해가 발생했거나 내부통제가 취약한 금융회사 등을 대상으로 현장검사를 강화한다. 망분리 규제 준수 등의 보안대책 소홀에 따른 침해사고가 발생하거나, 인터넷뱅킹·모바일 앱 등 대고객 서비스 관련 시스템 자원에 대한 성능관리 소홀로 장애사고가 발생한 경우 사고원인 규명을 위한 현장검사를 진행한다. 

 

금감원 관계자는 "전자적 침해사고 및 장애사고로 인한 소비자 피해를 예방할 수 있도록 금융부문의 IT리스크에 대한 사전예방적 감독·검사를 강화하겠다"며 "IT 리스크 계량평가 제도를 보완해 금융부문의 핵심업무에 대한 IT리스크 수준을 조기 판별이 가능한 상시평가 모형을 개발하고, 4월중 IT상시협의체를 구성해 각종 현안사항 등에 소통을 확대해 나갈 계획"이라고 말했다. 

 

 

박진아 기자 toyouja@etomato.com