금감원, 전 금융권·빅테크·핀테크 IT리스크 상시평가한다
2022-04-10 12:00
2022년 IT리스크 상시감시 및 검사업무 운영방향 발표
10일 금융감독원은 이 같은 내용을 담은 '2022년도 IT리스크 상시감시 및 검사업무 운영방향'을 발표했다. 이번 검사업무 운영방향은 전자적 침해사고와 장애사고로 인한 소비자피해 예방 차원에서 금융부문 IT리스크에 대한 사전예방적 감독·검사를 강화하는 것이 핵심이다.
금감원은 우선 자산규모가 2조원 이상이거나 IT 의존도가 높은 금융회사에 대해 'IT리스크 계량평가'를 실시하는 한편 중소형 금융사 및 전자금융사업자에 대해서는 계량평가 항목을 간소화한 간이평가를 진행하기로 했다. 계량평가 지표는 5개 부문 36개 항목에 업권별 특성을 반영한 항목을 추가한 내용을 중심으로 진행되며, 간이평가는 IT인프라 안전성에 필수적인 최대 18개 항목을 선정해 평가하게 된다.
금감원은 또한 IT업무에 대한 상시평가 등급이 일정수준 이하인 업체에 대해서는 자체감사를 요구, 취약점을 자율시정하도록 하는 ‘자체감사 요구제도(가칭)'를 도입‧시범 실시한다는 계획이다. 우선 상시평가를 통해 대상회사가 선정되면 감사요구 배경과 점검방법 등을 설명하는 IT상시협의체가 개최된다. 이후 자체감사를 실시해 그 결과를 감사위원회와 금감원에 보고하고 이에 대한 적정성을 검토하는 방식이다.
이에 대해 금감원 측은 "자체검사 결과 조치사항이 '적정'한 경우에는 금융회사 등의 의견을 원칙적으로 수용하되, 개선 등의 조치가 부실하거나 허위 사실을 보고하는 등 '부적정'한 것으로 판단되는 경우 금감원이 직접 검사를 실시할 예정"이라고 설명했다.
이와 더불어 IT부문에 대한 사전예방적 검사가 강화된다. 검사는 정기검사와 수시검사로 나뉘어 진행되는데, 정기검사의 경우 금융회사 특성과 규모, IT 의존도에 따라 짧게는 2년에서 최장 5년 주기로 이뤄지게 된다. 대형 지주계열 시중은행의 경우 2.5년 주기로 정기검사 대상이 될 예정이며, 인터넷전문은행이나 지방은행의 경우 3.5~4.5년 주기로 검사를 받게 된다. 대형 저축은행이 2년 주기로, 종합금융투자사업자(금융투자업권)와 신협중앙회(상호금융), 대형 보험사가 3년여 주기로 검사대상이 될 전망이다.
수시검사의 경우 IT사고로 소비자 피해가 발생했거나 내부통제가 취약한 금융회사 등을 대상으로 테마검사가 강화될 예정이다. 수시검사 대상은 망분리 규제 준수 등 보안대책 소홀에 따른 침해사고가 발생했거나 모바일 앱 등 대고객 서비스 관련 시스템 자원이나 성능관리 소홀로 장애사고가 발생한 경우 사고원인 규명을 위한 현장검사가 실시되는 방식이다. 또한 IT리스크 상시평가 검사에서 내부통제가 취약해 사고 개연성이 높은 금융회사나 전자금융사업자에 대해서도 현장검사가 실시된다.
금감원 관계자는 "'IT리스크 계량평가 제도'를 보완해 금융부문 핵심업무에 대한 리스크 수준을 조기판별할 수 있는 평가모형을 개발할 계획"이라며 "이달 중에는 금융권 의견을 청취해 IT상시협의체를 구성하고 각 현안사항에 대한 소통을 확대해 나갈 것"이라고 밝혔다.