금감원, 금융사 IT 검사 상시 운영 … 재해복구센터 증설 추진

금융감독원이 앞으로 금융회사의 IT 검사체계를 상시적으로 운영한다. 

또 은행권 재해복구센터의 가용성 검증과 전산자원 긴급 증설을 추진하고 유관기관이 참여하는 합동 재해복구훈련을 실시하기로 했다. 

금감원은 19일 국내은행 18곳과 은행연합회 CIO(최고정보책임자)들과 간담회를 개최해 은행권의 디지털 운영‧복원력 강화를 위한 추진계획을 소개하고 은행권 IT 현안과 건의사항을 논의했다. 

이종오 금감원 디지털‧IT 부원장보는 “망분리 등 금융 IT 규제체계는 ‘규칙→원칙 중심’으로 패러다임이 전환되고 있어 IT인프라 운영·통제의 중요성이 더욱 부각되고 있다”면서 “금감원은 금융회사의 내부통제·자율시정과 감독당국의 상시감시·검사를 유기적으로 연계하고 선순환할 수 있도록 IT검사체계를 운영할 계획”이라고 밝혔다. 

이는 금융회사가 자체적으로 IT리스크를 진단·관리하고 미흡사항을 개선하도록 하겠다는 의미다. 

금감원은 은행권 재해복구센터가 실질적인 서비스 복원력을 갖출 수 있도록 성능 강화와 부하 테스트 수행 등 가용성 검증, 전산자원 긴급 증설체계 수립 등을 추진한다. 

또 금융지주 전체 계열사 및 유관기관이 참여하는 합동 재해복구 훈련을 실시해 IT 회복 탄력성을 검증하고 비상대응 역량을 제고할 예정이다. 

이종오 부원장보는 “디지털 운영‧복원력 강화를 위해서는 기본적인 IT운영·통제뿐만 아니라 신기술 활용 등으로부터 파생되는 신규 IT 리스크에 대한 선제적 대응 또한 중요하다”고 강조했다. 

금감원은 중요 IT 제3자 리스크, 소프트웨어 공급망 보안(오픈소스 등), 망분리 규제 완화에 따른 보안 등 금융회사의 IT 내부통제 강화를 위해 최근 금융권과 함께 마련한 IT 감사 가이드라인에 대한 지속적 관심과 협조를 당부했다. 

금융사들은 이달 전자금융감독규정 시행세칙 개정으로 전자금융사고 보고의무가 강화되고, 중대사고 분류기준이 구체화됐다. 이에 따라 사고발생 업무(시스템)명, 사고영향 이용자수, 외부요인으로 인한 사고의 경우 원인제공 회사명 등 사고 관련 정보를 보다 상세하게 보고해야 한다.

금감원은 전자금융 장애‧오류, 정보유출 등 금융소비자 피해를 유발한 전산사고에 대해서는 신속한 사고검사를 실시하고 발견된 위법 사항에 대해서는 엄중 제재하는 등 시장 규율을 확립해 나갈 예정이다.