금융감독원이 자산규모 2조원 이상 대형 금융사에만 실시해온 IT리스크 상시감시·검사 업무를 전체 전자금융업자로 확대한다. 금융사와 전자금융업자에 자체 감사를 요구하는 '자체감사 요구제도(가칭)'도 시범 도입한다.
금융감독원은 올해부터 전자금융업무를 수행하는 모든 금융사와 전금업자에 대해 IT리스크 계량평가를 실시한다고 10일 밝혔다. 중소 금융사와 전금업자가 디지털 기반 금융 상품·서비스 출시를 확대함에 따라 IT리스크가 증가할 수 있다고 보고 자산규모에 따라 계량평가와 간이평가로 나눠 실시한다.
금감원은 자산규모 2조원 이상이거나 IT 의존도가 높은 금융사에 대해선 'IT리스크 계량평가'를 실시한다. 중소형 금융사와 전금업자에 대해선 계량평가 항목을 간소화한 간이평가를 실시할 예정이다.
계량평가 지표는 △IT감사 △IT경영 △스템 개발·유지보수 등 △IT서비스 제공·지원 △IT보안·정보보호 등 5개 부문으로 구성했다. 하위 36개 항목에 업권별 특성을 반영해 4~10개 항목을 추가했다.
간이평가 지표는 계량평가 항목 중 IT인프라 안전성 확보에 필수적인 13~18개 항목을 선정해 평가할 예정이다.
금감원은 IT업무 전반에 대한 상시평가 과정에서 취약점이 확인되면 금융사와 전금업자에 대해 자체 감사를 요구하는 '자체감사 요구제도(가칭)'를 시범 도입하기로 했다.
이달 중 자체 감사 지원 등을 위한 비대면 방식의 'IT상시협의체' 구성도 추진한다. 참여사와 일대일 토론 방식으로 운영하며 연 1회, 필요시 상시 개최한다. 상시평가·대상회사를 선정하면 IT상시협의체를 개최하고 감사요구 배경과 점검방법 등을 설명하게 된다. 이후 자체감사를 실시해 결과를 감사위원회와 금감원에 보고해 적정성을 검토받는 구조다.
금감원은 IT리스크 상시평가 등급이 일정기준 이하면 해당 금융사와 전금업자의 자체감사 활동으로 취약점을 자율 시정하도록 유도할 예정이다.
IT부문에 대한 사전예방적 검사도 강화한다.
금감원은 금융사 특성, 규모, IT의존도 등을 감안해 2~5년 주기로 IT부문에 대한 정기검사를 실시하기로 했다. IT업무 전반에 대한 시태평가와 함께 상시평가 결과 확인된 취약점을 중점 검사한다.
IT사고로 소비자 피해가 발생했거나 내부통제가 취약한 금융사에 대한 테마검사도 강화한다.
금감원은 “IT리스크 계량평가 제도를 보완해 금융부문 핵심업무에 대한 IT리스크 수준을 조기 판별할 수 있는 상시평가 모형을 개발할 계획”이라며 “이달 중 금융업권 의견을 청취해 IT상시협의체를 구성하고 각종 현안사항 등에 대해 소통해 나가겠다”고 말했다.
배옥진기자 withok@etnews.com
