UPDATED. 2024-04-19 18:11 (금)
금감원 “ IT리스크 상시평가, 모든 금융사로 확대”
금감원 “ IT리스크 상시평가, 모든 금융사로 확대”
  • 이유리 기자
  • 승인 2022.04.10 12:00
  • 댓글 0
이 기사를 공유합니다
2~5년 주기 정기검사....‘IT리스크 상시평가 모형’ 개발
소비자 피해 발생· 내부통제 부실 금융사 대상 테마검사 강화
금융감독원=연합뉴스.
금융감독원=연합뉴스.

금융감독원이 자산 2조원 이상 대형 금융회사에 대해 실시하던 IT리스크 계량평가를 모든 금융회사 및 전자 금융업자로 확대한다고 10일 밝혔다. 

최근 중소형 금융회사 및 전자금융업자가 디지털 기반의 금융상품 및 신규서비스를 속속 출시하고 있다.  

금감원은 대형 금융회사에 비해 IT인프라와 정보보호 기반이 열악한 중소형 금융회사에서  IT리스크가 증가할 것으로 예상하고 IT리스크에 선제적인 대응을 위해 상시감시 및 검사 업무를 운영할 방침이다. 

IT인프라 운영 및 정보보호 등 IT업무 전반에 대한 상시평가 과정에서 취약점이 확인되면 해당 금융사에 대해 자체감사를 요구하는 가칭 ‘자체감사 요구제도’를 도입할 예정이다. 

보안대책을 소홀히 하거나 모바일뱅킹 등에서 장애가 발생하는 등 IT사고로 소비자 피해가 발생하거나 내부통제가 취약한 금융사를 대상으로는 테마검사를 강화할 예정이다. 

금감원은 상시감시 및 검사업무 운영방향으로 ▲IT리스크에 대한 상시평가 기능 강화 ▲자체감사 등을 통한 자율규제 기능 강화 ▲IT부문에 대한 사전예방적 검사 강화로 제시했다. 

전자금융업무를 수행하는 모든 금융회사 및 전자 금융업자를 대상으로 IT리스크 계량평가를 실시한다. 

자산규모가 2조원 이상이거나 IT 의존도가 높은 금융회사에 대해서는 ‘IT리스크 계량평가’를 실시하고, 중소형 금융회사 및 전자금융업자에 대해서는 계량평가 항목을 간소화한 간이평가를 실시할 예이다. 

계량평가 지표는 ▲IT감사 ▲IT경영 ▲시스템 개발‧유지보수 ▲IT서비스 제공‧지원, ▲IT보안‧정보보호 등 5개 부문, 36개 항목에 업권별 특성을 반영, 4~10개 항목을 추가했다. 

간이평가 지표는 계량평가 항목 중 IT인프라 안전성 확보에 필수적인 13~18개 항목을 선정할 예정이다. 

금감원은 IT인프라 운영 및 정보보호 등의 업무를 정량적 지표와 정성적 지표를 활용해 평가하고 잠재적 리스크 수준을 판별이 가능한 IT리스크 상시평가 모형 개발 추진한다고 밝혔다. 

이를 위해 현행 IT리스크 계량평가 항목을 수정‧보완해 정량평가 지표로 활용한다. 

또, IT인프라 취약점 평가결과, 반복지적사항 등을 토대로 정성평가 지표를 개발할 예정이다. 

자체감사 등을 통한 자율규제 기능 강화의 기본방향은 IT인프라 운영 및 정보보호 등 IT업무 전반에 대한 상시평가 과정에서 취약점이 확인되는 경우 금융회사 및 전자금융업자에 대해 자체감사를 요구하는 가칭 ‘자체감사 요구제도’를 도입해 시범 실시할 예정이다.

금감원이 상시평가 및 대상회사를 선정하면  IT상시협의체를 개최해 감사요구 배경 및 점검방법 등 설명한다. 이후 자체감사를 실시하고 그 결과를 감사위원회와 금감원 보고하면 적정성을 검토한다. 

금감원은 4월 중 금융업권의 의견을 청취해 IT상시협의체를 구성하고 업계와 현안에 대해 소통을 확대한다고 밝혔다.  

IT리스크 상시평가 등급이 일정기준 이하인 경우 해당 금융사의 자체감사 활동을 통해 취약점을 자율시정 하도록 유도한다.

금감원은 금융사의 자체감사 활동을 지원하기 위해 IT상시협의체를 통해 각종 노하우 및 체크리스트를 제공한다고 밝혔다.  

금융회사 및 전자금융업자가 제출한 자체감사 결과는 IT검사국  담당 검사팀에서 ‘적정성 검토(Review)’를 실시하고, 개선 조치가 부실하거나 허위 보고한 경우 금감원이 직접 검사에 나선다. 

IT부문에 대해 정기검사와 수시검사를 실시해 사전예방적 검사를 강화한다. 

정기검사는 금융회사의 특성과 규모, IT 의존도 등을 고려해 2~5년 주기로 실시한다. 

업권별 정기검사 주기는 ▲지주계열 시중은행 2.5년 ▲인터넷, 지방은행 3.5~4.5년 ▲대형 생·손보사 3~4년 ▲중형 생·손보사 5년 ▲종합금융투자사업자 3년 ▲대형 증권사 5년 ▲여신전문 (카드사, 대형 캐피탈) 5년 ▲대형 저축은행 2년 ▲상호금융 (신협 중앙회) 3년이다. 

이때 IT업무 전반에 대한 실태평가와 함께 상시평가 결과 확인된 취약점 및 미흡사항에 대해 중점 검사한다. 

금감원은 IT사고로 소비자 피해가 발생했거나, 내부통제가 취약한 금융사를 대상으로는 테마검사를 강화한다. 

망분리 규제 준수, 공개용 웹서버 취약점 보정(patch) 등의 보안대책 소홀에 따른 침해사고가 발생했거나, 인터넷뱅킹, 모바일 앱 등 대고객 서비스 관련 시스템 자원(서버, 회선, 전산장비 등)에 대한 성능관리 소홀로 장애사고가 발생한 경우 사고원인 규명을 위한 현장검사를 실시할 예정이다. 

아울러 IT리스크 상시평가 결과, IT부문의 내부통제가 취약해 사고 개연성이 높은 금융사에 대해서는 내부통제 점검을 위한 현장검사를 실시한다. 

금감원은 ‘IT리스크 계량평가 제도’를 보완해 금융부문의 핵심업무에 대한 IT리스크 수준을 조기 판별이 가능한 상시평가 모형을 개발할 예정이다. 

저작권자 © 日刊 NTN(일간NTN) 무단전재 및 재배포 금지
이유리 기자
이유리 기자 euri.lee@intn.co.kr 다른기사 보기
    • 서울특별시 마포구 잔다리로3안길 46(서교동), 국세신문사
    • 대표전화 : 02-323-4145~9
    • 팩스 : 02-323-7451
    • 청소년보호책임자 : 이예름
    • 법인명 : (주)국세신문사
    • 제호 : 日刊 NTN(일간NTN)
    • 등록번호 : 서울 아 01606
    • 등록일 : 2011-05-03
    • 발행일 : 2006-01-20
    • 발행인 : 이한구
    • 편집인 : 이한구
    • 日刊 NTN(일간NTN) 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
    • Copyright © 2024 日刊 NTN(일간NTN) . All rights reserved. mail to ntn@intn.co.kr
    ND소프트