금융감독원이 잇따르는 전산장애와 사이버 침해사고에 대응하기 위해 금융권의 IT 내부통제와 사고 대응 체계 점검에 나섰다.
금감원은 29일 전자금융업무를 수행하는 491개 금융회사를 대상으로 ‘금융IT 리스크 대응회의’를 열고 상반기 현장점검·상시감시 결과와 하반기 중점 점검 방향을 공유했다.
금감원은 최근 생성형 AI 활용 확대와 사이버 공격 고도화로 금융회사의 사고 대응 역량과 IT 내부통제 강화 필요성이 커지고 있다고 진단했다. 참석자들도 금융회사 스스로 전자금융사고 대응 역량을 점검하고, 사고 발생 시 신속히 복구할 수 있는 실효성 있는 대응 체계를 갖춰야 한다는 데 공감했다.
상반기 현장점검에서는 프로그램 변경관리와 성능관리 등 기본적인 IT 통제가 미흡한 사례가 확인됐다. 금감원은 운영체제와 전산장비 취약점에 대한 신속한 보완, 중요 전산자료 접근권한 관리, 프로그램 변경 시 영향도 분석과 테스트 강화 등을 당부했다. 전산센터 전원설비 안전성 확보와 무선망을 악용한 비인가 접근 차단, 전자금융사고 발생 시 보고절차 준수도 강조했다.
하반기에는 IT 기본통제 이행 실태를 중점 점검한다. 최근 전자금융사고가 IT 기본통제 미준수에서 발생한 사례가 많은 만큼 프로그램 변경관리와 성능관리, 전산센터 전원설비 운영 실태를 집중적으로 살펴볼 계획이다.
앞서 4월 개정된 전자금융감독규정 시행세칙에 따라 예외적으로 허용된 클라우드 기반 사무관리·업무지원용 소프트웨어(SaaS)의 정보보호 의무 준수 여부도 점검한다.
금감원은 AI 전환으로 규제가 완화되는 환경일수록 금융회사 스스로 취약 요인을 점검하고 개선하는 IT 내부통제 체계가 더욱 중요하다고 강조했다. 하반기 자율점검에서는 CEO 등 경영진의 관심과 책임 아래 리스크를 점검하고 발견된 문제를 신속히 개선하는 전사적 자율시정 체계를 구축하도록 주문했다.
금감원은 전자금융사고가 반복되는 금융회사를 대상으로 사고 예방 컨설팅을 실시하고, IT 기본통제 자가진단 도구를 제공하는 등 금융회사의 자율시정을 지원할 계획이다.
전사적인 개선 노력을 기울인 금융회사에는 제재 감면 등 인센티브를 적극 검토하는 한편 자율시정을 형식적으로 수행하거나 유사 사고가 재발하면 엄정 조치할 방침이다.
