금융감독원은 올해 전자금융업무를 수행하는 ‘모든 금융회사 및 전자금융업자’에 대해 IT리스크 계량평가를 실시할 예정이라고 10일 밝혔다. 전자금융업무는 전자금융거래법상 전자적 장치를 통해 금융상품 및 서비스를 제공하는 업무를 말한다.
자산 규모가 2조 원 이상이거나 IT 의존도가 높은 금융회사에 대해서는 ‘IT리스크 계량평가’를 실시하고, 중소형 금융회사 및 전자금융업자에 대해서는 계량평가 항목을 간소화한 간이평가를 실시할 예정이다.
계량평가 지표는 5개 부문(IT감사, IT경영, 시스템 개발‧유지보수 등, IT서비스 제공‧지원, IT보안‧정보보호), 36개 항목에 업권별 특성을 반영, 4~10개 항목(반복지적, 장애 등)을 추가했다.
간이평가 지표는 계량평가 항목 중 IT인프라 안전성 확보에 필수적인 13~18개 항목을 선정해 평가할 예정이다.
IT인프라 운영 및 정보보호 등 IT업무 전반에 대한 상시평가 과정에서 취약점이 확인되는 경우 금융회사와 전자금융업자에 대해 자체감사를 요구하는 ‘자체감사 요구제도’를 도입‧시범 실시한다.
금감원은 또 IT리스크 상시평가 등급이 일정기준 이하인 경우 해당 금융회사 및 전자금융업자의 자체감사 활동을 통해 취약점을 자율시정하도록 유도할 계획이다.
금융회사‧전자금융업자가 제출한 자체감사 결과는 IT검사국 담당 검사팀에서 ‘적정성 검토(Review)’를 실시한다. 금융회사 등의 자체감사 결과 조치사항이 ‘적정’한 경우에는 금융회사 등의 의견을 원칙적으로 수용하되, 개선 등의 조치가 부실하거나 허위의 사실을 보고하는 등 ‘부적정’한 것으로 판단되는 경우에는 필요시 금융감독원이 직접 검사를 실시한다.
IT사고로 소비자 피해가 발생했거나, 내부통제가 취약한 금융회사 등을 대상으로 테마검사를 강화할 예정이다.
망분리 규제 준수, 공개용 웹서버 취약점 보정(patch) 등의 보안대책 소홀에 따른 침해사고가 발생하거나 인터넷뱅킹, 모바일 앱 등 대고객 서비스 관련 시스템 자원(서버, 회선, 전산장비 등)에 대한 성능관리 소홀로 장애 사고가 발생한 경우 사고원인 규명을 위한 현장검사를 할 계획이다.
금감원 관계자는 "‘IT리스크 계량평가 제도’를 보완해 금융부문의 핵심업무에 대한 IT리스크 수준을 조기 판별이 가능한 상시평가 모형을 개발할 것"이라며 "올해 4월 중 금융업권의 의견을 청취해 IT상시협의체를 구성하고, 동 협의체를 통해 금융회사 및 전자금융업자와 각종 현안사항 등에 대한 소통을 확대해 나갈 계획"이라고 말했다.