[서울=뉴스핌] 민경하 기자 = 금융당국이 금융사 정보기술(IT)리스크에 대한 사전 관리·감독을 강화한다. IT 의존도가 높은 금융사에 대해서는 리스크 계량평가를 실시하고 2~5년마다 IT부문 정기검사를 진행할 방침이다.

10일 금융감독원은 이같은 내용이 담긴 'IT리스크 상시감시·검사업무 운영방향'을 발표했다. 전자금융업무를 수행하는 모든 금융사와 전자금융업자 IT리스크 선제적 대응 능력 제고를 위해 마련했다.

먼저 IT리스크에 대한 상시평가 기능을 강화하기 위해 'IT리스크 계량평가'를 보완한다. 자산규모가 2조원 이상이거나 IT 의존도가 높은 금융사가 대상이며 중소형 금융사·전자금융업자에 대해서는 간이평가를 실시한다. 평가 지표는 ▲IT감사 ▲IT경영 ▲IT보안·정보보호 등 5개 부문으로 나누며 업권별 특성을 반영한다.

[서울=뉴스핌] 윤창빈 기자 = 서울 여의도 금융감독원 2020.05.11 angbin@newspim.com

또한 금감원은 자체감사 요구제도를 시범 실시할 예정이다. 금감원 IT검사국과 각 금융사가 각각 'IT상시협의체'를 꾸려 연 1회 비대면 1:1 토론으로 상시평가 내용을 공유하고 취약점 발견시 감사를 요구하는 방식이다. 금융사 자체감사 결과는 적정성 검토를 진행하며 부적정할 경우 금감원이 직접 검사한다.

아울러 금감원은 금융사 특성·규모·IT 의존도 등을 감안해 2~5년 주기로 IT부문 정기검사를 실시한다. IT업무 전반에 대한 실태평가와 함께 상시평가 결과 확인된 취약점·미흡사항에 대해서도 중점 검사할 예정이다.

IT 사고로 소비자 피해가 발생했거나 내부통제 취약점이 드러난 금융사는 수시검사를 강화한다. 구체적으로 ▲망분리 규제 준수 등 보안대책 소홀 ▲인터넷뱅킹 등 대고객 서비스 관리 소홀 ▲IT부문 내부통제 취약 등의 문제가 발생할 경우 현장검사를 실시한다.

금감원 관계자는 "IT리스크 조기 판별이 가능한 상시평가 모형을 개발할 것"이라며 "4월 중 IT상시협의체를 구성하고 금융사·전자금융업자와 각종 현안에 대한 소통을 확대해 나갈 계획"이라고 말했다.

204mkh@newspim.com