금감원, 보안사고·앱 장애 등 IT 사고시 현장검사

이달 중 IT 상시협의체 구성…현안 소통 확대



(서울=연합인포맥스) 김예원 기자 = 앞으로 보안대책 소홀에 따른 침해 사고나 인터넷뱅킹·모바일 애플리케이션 등에서 장애사고가 발생한 금융회사들은 금융감독원으로부터 현장검사를 받게 된다.

금감원은 10일 올해 IT리스크 상시감시 및 검사업무 운영방향을 발표했다.

최근 중소형 금융회사·전자금융업자의 출현으로 IT리스크가 증가할 것으로 예상되는 가운데 선제적 대응을 하겠다는 취지다.

금감원은 전자금융업무를 수행하는 모든 금융회사 및 전자금융업자에 대해 IT리스크 계량평가를 실시할 예정이다.

자산규모가 2조원을 넘거나 IT 의존도가 높은 금융회사에 대해 해당평가를 실시하고, 중소형금융회사·전금업자에 대해서는 평가항목을 간소화해 실시할 방침이다.

계량평가지표는 IT감사·IT경영·시스템 개발 및 유지보수·IT서비스 제공 및 지원·IT보안 및 정보보호 등 5개 부문으로 이뤄져 있다.

아울러 IT업무 전반에 대한 상시평가 과정에서 취약점이 확인될 경우에 대해서는 '자체감사 요구제도'를 시범 실시할 예정이다.

상시평가 등급이 일정기준 이하인 경우 자체감사활동을 통해 취약점을 자율시정하도록 유도하겠다는 것이다. 자체감사 결과는 IT검사국 담당 검사팀에서 적정성 검토를 실시한 후 부적정하다고 판단될 경우 직접 검사로 이어질 수 있다.

금감원은 사전예방을 위해 2~5년 주기로 IT부문에 대한 실태평가 등을 포함한 정기검사도 실시하기로 했다. 지주계열 시중은행은 2.5년, 인터넷전문은행·지방은행은 3.5~4.5년 주기다.

*그림1*



이와 함께 IT사고로 소비자 피해가 발생하거나 내부통제가 취약한 금융회사에 대해서는 테마검사도 강화할 계획이다.

대표적인 사례가 망분리 규제 준수, 공개용 웹서버 취약점 보정 등의 보안대책 소홀로 인한 침해사고의 발생이다.

금감원은 인터넷뱅킹과 모바일 앱 등 대고객 서비스와 관련한 시스템 자원(서버, 회선, 전산장비 등) 관리 소홀로 장애사고가 발생한 경우에도 사고 원인을 규명하기 위한 현장검사를 실시할 예정이다.

금감원은 이달 중 IT검사국 5개 검사팀과 금융회사 등이 참여하는 IT상시협의체를 구성해 각종 현안 등에 대한 소통도 확대해나갈 방침이다.

ywkim2@yna.co.kr