by박철근 기자
2022.04.10 16:14:40
금감원, 디지털 금융시대 맞아 IT 위험 관리 강화
취약점 발견시 자체감사 요구제도 도입
정기·수시검사 실시…피해발생시 현장 테마검사도
“IT인재 모자라요”…금융권, 디지털 인재 확보 총력
[이데일리 박철근 전선형 기자] 금융의 디지털화가 가속화하면서 IT(정보기술) 보안위협도 커지고 있다. 금융감독당국은 이에 따라 모든 금융회사와 전자금융업자(전금업자)를 대상으로 IT 위험에 대한 상시감시에 돌입키로 했다.
금융감독원은 10일 “전자금융업무를 수행하는 모든 금융사와 전금업자를 대상으로 IT 리스크 계량평가를 실시할 것”이라고 밝혔다. 은행권은 지속 확대되는 디지털화에 대비해 IT인재 확보에 총력을 기울인다는 계획이다.
금감원이 IT리스크 관리 강화에 나선 데에는 대형 금융회사뿐만 아니라 최근 중소형 금융회사 및 전금업자들이 디지털 기반의 금융상품 및 신규서비스 출시를 확대해서다.
금감원은 “자산규모가 2조원 이상이거나 IT 의존도가 높은 금융회사에 대해선 IT 리스크 계량평가를 실시할 것”이라며 “중소형 금융회사와 전자금융업자에는 계량평가를 간소화한 간이평가를 할 계획”이라고 설명했다.
특히 자체감사 등을 통해 자율규제 기능을 강화한다. IT 인프라 운영 및 정보보호 등 IT업무 전반에 대한 상시평가 과정에서 취약점이 확인되는 경우 금융회사와 전자금융업자에 대해 자체감사를 요구하는 ‘자체감사 요구제도’(가칭)를 도입·시범 실시할 예정이다.
IT 부문 정기검사도 진행한다. 금융회사 특성, 규모, IT 의존도 등을 고려해 2~5년 주기로 할 방침이다. 지주계열 시중은행은 2.5년, 인터넷은행과 지방은행 등은 3.5~4.5년 주기로 검사한다. 대형 저축은행은 2년, 여신전문금융회사는 5년 주기로 검사한다.
IT 사고로 소비자 피해가 발생했거나 내부통제가 취약한 금융회사 등에는 테마검사를 강화한다. 망분리 규제 준수, 공개용 웹서버 취약점 보정 등의 보안대책 소홀에 따른 침해사고가 발생하거나, 인터넷·모바일 뱅킹 등의 시스템 자원에 대한 성능 관리 소홀로 장애사고가 발생하면 사고원인 규명을 위한 현장검사에 나선다.
금감원 관계자는 “전자적 침해사고 및 장애사고로 인한 소비자 피해를 예방할 수 있도록 금융부문의 IT 위험에 대한 사전예방적 감독·검사를 강화할 계획”이라며 “IT 리스크 계량평가 제도를 보완해 IT 위험 수준을 조기 판별이 가능한 상시평가 모형을 개발할 것”이라고 전했다.
|