금융 당국이 올해 전자금융업무를 수행하는 모든 금융회사 및 전자금융업자를 대상으로 IT인프라와 관련한 리스크 점검에 나선다. 이달 중 IT상시협의체를 구성해 자체 감사를 유도한다. 규모가 작아 그동안 검사 대상에서 제외됐으나 IT 관련 리스크가 큰 점을 고려한 조치다.
금융감독원은 이 같은 내용의 ‘2022년도 IT리스크 상시감시 및 검사 업무 운영방향’을 8일 발표했다. 금감원은 지난 2016년부터 자산규모 2조 원 이상의 대형 금융회사를 대상으로 IT 인프라 관련 리스크를 점검해왔다. 최근 중소형 금융회사 및 전금업자의 서비스가 확대되는 반면 이들 업체의 IT 기반이 약해 IT 리스크가 증가할 것으로 점쳐지면서 검사 확대에 나섰다.
이에 따라 금감원은 전자금융업무를 수행하는 모든 금융회사 및 전자금융업자에 대해 IT 리스크 계량평가를 실시하기로 했다. 자산 규모가 2조 원 이상이거나 IT 의존도가 높은 금융회사에 대해서는 IT리스크 계량평가를 실시하고 이 외 중소형 금융회사 및 전금업자에 대해서는 간소화된 간이평가를 실시할 예정이다. 계량평가는 IT감사, IT경영, 시스템개발·유지보수, IT서비스 제공·지원, IT보안·정보보호 등 5개 부문 36개 항목에 대한 조사다. 간이평가는 IT인프라 안전정성 확보에 필수적인 13~18개 항목을 선정해 평가할 예정이다.
아울러 금감원은 금융회사 및 전금업자에 대해 자체감사를 요구하는 ‘자체감사 요구제도’를 도입·실시한다. IT검사국과 금융회사 등을 중심으로 IT상시협의체를 이달 중 구성해 감사 요구 배경 및 점검방법 등을 설명하고 금융사가 자체감사를 통해 취약점을 자율 시정하는 방식이다. 개선 등 조치가 부실하거나 허위 사실이 보고될 경우 금감원이 직접 검사를 실시한다.
이 외에 IT 부문에 대한 정기검사는 2~5년 단위로, 수시검사는 소비자피해가 발생했거나 내부통제가 취약한 금융회사 등을 대상으로 진행한다. 특히 망 분리 규제 준수, 공개용 웹서버 취약점 보정 등의 보안대책 소홀에 따라 침해사고가 발생하거나 인터넷뱅킹, 모바일 앱 등에서 성능관리 소홀로 장애사고가 발생한 경우 현장검사를 실시할 예정이다.
금감원 측은 “IT상시협의체를 통해 금융회사 및 전금업자와 각종 현안사항 등에 대한 소통을 확대해 나갈 계획”이라며 “전자적 침해사고 및 장애사고로 인한 소비자 피해를 예방할 수 있도록 금융 부문의 IT리스크에 대한 사전예방적 감독검사를 강화해 나갈 것”이라고 말했다.