최근 외국금융사 국내지점들 사이에서 국내 전산시설을 해외 본점으로 이전하는 사례가 갑작스레 늘어나고 있다. 특히 외국은행 국내지점들 대부분은 이미 전산시설을 해외 본점으로 이전했거나 이전을 추진 중이다. 이들은 국내시장에서는 핵심업무에만 역량을 집중, 전산시설 관리에 따른 비용절감을 위한 것이라고 설명하고 있다.
그러나 이러한 국내 지점 전산시설의 해외 이전은 개인이나 기업정보가 해외에 쉽게 노출될 수 있는 위험이 있는데다 사법권의 제약으로 감독당국의 효과적인 감독기능 수행을 어렵게 하는 문제점을 야기하고 있다.
이에 따라 금융감독원은 해외 전산시설에 대한 실효성 있는 점검 및 감독을 위해 관련 제도를 정비한다는 계획이다.
◇전산시설 왜 옮기나
현재 41개 외국은행, 17개 외국증권사, 17개 외국보험사가 국내에서 인가를 받아 영업중인 가운데 10개 정도의 외국은행 국내지점들이 해외소재 전산시설을 이용하고 있는 것으로 알려져 있다.
제이피모건체이스와 씨티은행, 뱅크오브아메리카, 에이비엔암로, 도이체방크 등이 해외전산시설을 사용하고 있다. 특히 최근들어서는 은행, 증권, 보험사 할 것 없이 모든 금융사들이 국내지점의 전산시설을 해외로 이전하려는 움직임을 보이고 있다.
이들 해외 금융사들은 전산업무 등 후선업무를 지역별로 통합 운영함으로써 국내 지점의 경우 핵심업무에 집중, 경쟁력을 높이기 위한 것이라고 설명한다. 지점은 전산시설 및 인력의 정리로 관련 업무비용을 절감할 수 있는 데다 조직의 유연성을 확보할 수 있고 본점은 전산시설 집중으로 전사적(全社的) 리스크 관리 및 고객서비스의 개선이 가능하다는 얘기다.
◇고객정보 유출 가능성
그러나 이러한 전산시설의 해외이전은 여러 문제점을 내포하고 있다는 지적이다. 먼저 해당 금융회사의 국내영업이 전산시설이 위치한 국가의 정치ㆍ경제적 여건 변화에 영향을 받는 등 국가리스크(country risk)가 발행하게 된다.
국내 지점들의 영업이 전산시설 소재 국가의 예기치 못한 사건에 항상 연계되는 문제가 발생하게 된다는 것.
게다가 사법권의 제약으로 인해 감독당국의 효과적인 감독기능 수행이 제약되고 전산시설이 이전된 국가의 감독기관과 권한 상충 문제도 우려되는 부분이다. 특히 국내 기업 및 개인정보의 부당한 해외 유출과 오ㆍ남용 가능성이 또 다른 문제점으로 남게 된다.
이러한 문제점 외에 외국금융회사 영업기반의 일부 또는 전부가 전산시설과 함께 해외로 이전되는 경우, 국내지점은 단순한 창구역할만 수행하게 되고 결과적으로 국내영업이 공동화될 위험도 지적된다.
◇감독원, 대응책 마련
금융감독원은 기존의 감독 규정으로 이러한 제반 문제점에 대응하기에는 한계가 있다고 판단, 최근 다각적인 감독 대응방안을 마련하고 있다.
이를 위해 금감원은 먼저 외국금융회사 국내지점의 인가기준에 전산시설 등의 요건이 적용된다는 사실을 명확히 규정할 계획이다. 아울러 인가 이후 전산시설 등 인가기준의 중요사항을 변경하고자 하는 경우 금융감독원의 승인을 받도록 규정하는 등 인가요건의 지속적인 충족을 위한 법적 근거를 명확히 하는 방안을 강구하고 있다.
기존 외국금융사 국내지점의 인가 기준에는 전산시설 등 물적 요건의 충족의무에 대한 명시적인 규정이 없어 전산시설과 관련해 직접적인 지도 근거가 마련돼 있지 않았다.
감독원은 또 전산시설의 해외 이전(아웃소싱)이 명시적으로 업무위탁 관련 규정의 적용을 받도록 하고 아웃소싱 관련 제반 리스크에 대한 강화된 관리ㆍ감독이 이뤄질 수 있도록 규정 개정을 추진 중이다. 금융회사가 인가받은 업무를 제 3자에게 위탁할 경우 감독원장에게 보고해야 하지만 지금까지는 전산시설의 운영을 보고 대상으로 봐야 하는지 여부가 불분명했었다. 전산시설의 운영은 후선업무에 해당하기 때문에 인가받은 업무로 보기 곤란하다는 시각도 있었다.
금감원은 이에 앞서 지난 8월초 외국금융회사의 전산부문 아웃소싱에 대해서도 보안성 심의 적용 대상임을 명확히 하고, 해외로 전산업무를 아웃소싱하는 경우에 대한 보안성 심의 처리방안을 마련해 개별 금융사에 통보했다. 그동안 외국 금융회사 국내지점들은 해외에서 운영되는 전산시설에 대해 본점과 지점간 별도의 기능으로 이해하고 보안성 심의를 신청하지 않았었다.
감독원은 또 외국 금융회사 국내지점의 IT부문 운영실태를 점검하고, 해외의 전산시설을 이용하는 외국 금융회사에 대해서는 별도의 IT부문 실태평가 실시방안을 마련했다.
지금까지 IT부문 실태평가가 상대적으로 전산시스템 규모가 크고 전산리스크가 높은 금융회사에 대해 집중되면서 외국 금융회사 국내지점에 대한 실태평가는 미흡했었다.
금감원은 일단 서면에 의해 평가를 실시 하고, 평가결과 임점검사가 부득이하다고 판단되는 경우에는 현장에 직접 검사인력을 파견할 예정이다.
최윤석기자
