[CIOCISO매거진 장명국 기자] 금융감독원이 소비자 피해 예방을 위해 기존에 대형 금융사 위주로 하던 IT 리스크 상시 평가를 모든 금융사 및 전자금융업자로 확대하기로 했다.

최근 중소형 금융사 및 전자금융업자가 디지털 기반의 금융 상품 및 신규 서비스를 출시하면서 이들 업체의 IT 리스크가 증가할 것으로 보이기 때문이다.

금감원은 11일 '2022년도 IT 리스크 상시 감시 및 검사 업무 운영 방향'에서 전자금융업무를 수행하는 모든 금융사 및 전자금융업자에 대해 'IT 리스크 계량 평가'를 할 계획이라고 밝혔다.

자산 규모가 2조원 이상이거나 IT 의존도가 높은 금융사에 대해서는 'IT 리스크 계량 평가'를 하고, 중소형 금융사 및 전자금융사업자에 대해서는 계량 평가 항목을 줄인 간이 평가를 할 예정이다.

금감원은 IT 인프라 운영 및 정보보호 등에 대한 상시 평가 과정에서 취약점이 발견되면 금융사 및 전자금융업자에 대해 자체 감사를 요구하는 '자체 감사 요구제도'를 시범적으로 실시할 방침이다.

이는 IT 리스크 상시평가 등급이 일정 기준 이하인 경우 해당 금융사가 자체 감사를 통해 취약점을 자율 시정하도록 하는 방안이다. 금융사의 자체 감사 결과는 금감원이 검토해 수용 여부를 결정한다.

2~5년 주기로 IT 부문에 대한 정기 검사도 이뤄진다. 정기 검사에서는 IT 업무 전반에 대한 실태 평가와 상시 평가 결과에서 확인된 취약점에 대해 중점적으로 들여다볼 계획이다.

아울러 IT 사고로 소비자 피해가 발생했거나 내부 통제가 취약한 금융사를 대상으로 테마 검사도 강화할 방침이다.

망 분리 규제 준수 등 보안대책 소홀이나 인터넷뱅킹, 모바일 앱 등 대고객 서비스 관련 시스템의 장애 사고 등이 대상이다.

금감원은 "IT 관련 사고로 인한 소비자 피해를 예방할 수 있도록 금융 부문의 IT 리스크에 대한 사전 예방적 감독과 검사를 강화해 나갈 것"이라며 "IT 리스크를 조기 판별할 수 있는 상시 평가 모형을 개발하고 금융권과 소통을 확대해 나갈 계획"이라고 말했다.