[종합] 금감원 “디지털·IT부문 감독 사후 대응서 사전 예방으로”…망분리 규제 변화 논의도

2026년 디지털·IT 부문 금융감독 업무설명회
통합관제시스템 기반 IT 보안 감독 강화
선불충전금 관리·가상자산 거래 감시 확대

금융감독원이 디지털 금융 확산에 따른 사이버 보안 리스크에 대응하기 위해 감독 체계를 사후 대응 중심에서 사전 예방 중심으로 전환한다. 빅테크 전자금융업자와 가상자산 사업자에 대한 내부통제 점검도 강화할 방침이다.

금감원은 4일 서울 여의도 본원에서 금융회사, 전자금융업자, 가상자산사업자 등 약 350명이 참석한 가운데 ‘2026년 디지털·IT 부문 금융감독 업무설명회’를 개최했다.

이날 설명회는 이종호 금감원 디지털IT 부문 부원장보의 인사말을 시작으로 △외부 전문가 발표 △디지털·IT △전자금융업 △가상자산 감독·검사 방향 설명 순으로 진행됐다.

이 부원장보는 인사말에서 최근 금융권에서 잇따라 발생한 정보 유출과 해킹 사고를 언급하며 보안 관리의 중요성을 강조했다. 그는 “지난해 SGI서울보증 랜섬웨어 사고와 롯데카드 정보 유출, 두나무 해킹 등 주요 보안 사고가 잇따랐다”며 “대부분 새로운 해킹 기술 때문이라기보다 기본적인 보안 관리가 제대로 이뤄지지 않아 발생한 경우가 많았다”고 말했다.

이어 “각 금융회사에서 기본적인 보안 원칙과 내부 통제 절차를 철저히 준수하는 것이 무엇보다 중요하다”며 “금감원도 사후 제재 중심 감독을 해왔다는 비판을 고려해 올해부터는 사전 예방적 보안 감독을 이행하기 위해 노력하겠다”고 밝혔다.

금감원은 올해 디지털·IT 감독 기조를 사후 제재 중심에서 사전 예방 중심으로 전환하기로 했다. 올해 2월 가동한 통합관제시스템을 통해 금융권 보안 정보를 실시간으로 공유하고 취약점 분석과 보안 점검을 강화해 사고 가능성이 높은 금융사를 선별 관리한다는 방침이다.

또 금융회사와 외부 IT업체 협업 확대에 따른 위험을 관리하기 위해 ‘제3자 IT리스크관리 가이드라인’을 마련하고 주요 내용을 IT 실태평가에 반영할 계획이다. 클라우드 서비스와 외부 개발업체 활용 확대에 따른 보안 취약점 점검도 강화한다.

아울러 정보보호 관리 책임도 강화한다. 최고경영자(CEO)와 최고정보보호책임자(CISO)의 보안 책임을 명확히 하고 징벌적 과징금 및 정보보호 공시 도입 등 제도 개선도 추진할 예정이다.

전자금융 분야에서는 빅테크 등 대형 전자금융업자에 대한 감독을 강화한다. 선불충전금 별도 관리와 PG사의 정산자금 외부 관리 제도 운영 실태를 점검하고 결제 수수료 공시 대상도 단계적으로 확대할 계획이다.

특히 선불전자지급수단 발행 규모가 큰 사업자를 중심으로 이용자 자금 보호 체계와 내부 통제 운영 실태를 집중 점검한다. 선불충전금 별도 관리 여부와 지급 준비자산 보유 현황, 정산 구조 안정성 등을 중점적으로 들여다볼 예정이다.

경영지도 기준을 충족하지 못한 전자금융업자에 대해서는 조치 요구권을 적극 활용해 건전성 관리도 강화한다.

가상자산 분야에서는 시장 질서 확립과 내부통제 강화를 감독 방향으로 제시했다. 디지털 자산 관련 2단계 입법에 대비해 감독 체계를 정비하고 거래소의 내부통제와 전산 안정성 점검을 강화할 예정이다.

금감원은 가상자산 거래소의 이상 거래 탐지 체계와 시장 감시 기능을 중점적으로 점검할 계획이다. 시세 조종이나 미공개 정보 이용 등 불공정 거래 가능성이 높은 분야에 대한 조사도 확대한다.

또 이용자 자산 보호 강화를 위해 가상자산 보관 구조와 콜드월렛 관리 체계, 내부 통제 절차 등을 점검하고 거래소 전산 시스템 안정성과 해킹 대응 체계도 감독 대상에 포함할 방침이다.

이날 설명회에서는 금융권 IT 보안 환경 변화에 대한 외부 전문가 발표도 진행됐다.

강형우 고려대 정보보호대학원 교수는 발표에서 금융권 보안 규제의 핵심인 ‘망분리’ 제도가 기술 환경 변화에 따라 전환점을 맞고 있다고 진단했다. 망분리 규제는 과거 대형 해킹 사고 이후 금융회사 내부망 보호를 위해 도입된 핵심 보안 장치지만 인공지능(AI)과 클라우드 기반 환경이 확산되면서 혁신 기술 활용을 제약한다는 지적이 이어지고 있다는 설명이다.

강 교수는 “망분리 정책은 PC 보호에는 효과가 있지만 서버 보호 측면에서는 한계가 있다”며 “SSL VPN 등 우회 접속 경로가 존재해 보안 체계 전반을 다시 설계할 필요가 있다”고 말했다.

이어 “AI와 클라우드 환경이 확산되는 상황에서 단순한 망분리 방식만으로는 보안 대응이 어렵다”며 “앞으로 망분리 규제가 규칙 중심에서 원칙 중심으로 전환될 경우 금융권 정보보호 체계에도 새로운 과제가 될 것”이라고 강조했다.