• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정보보호 기반 열악한 중소 금융사 ‘IT 리스크’ 상시 감시한다 2022.04.11

금융감독원 ‘IT리스크 상시감시 및 검사업무 운영방향’ 마련
IT리스크 계량평가 5대 부문에 ‘IT보안‧정보보호’ 포함

[보안뉴스 원병철 기자] 금융상품의 복잡화‧다양화로 인한 전자금융거래의 안전성 확보 및 소비자 피해 예방을 위해 금융감독원은 금융부문 IT업무 전반에 대한 ‘IT리스크 상시감시 및 검사업무 운영방향’을 마련했다고 밝혔다.

[이미지=utoimage]


금융감독원은 2016년부터 ‘IT리스크 계량평가 제도’를 도입해 자산규모 2조원 이상인 대형 금융회사에 대하여 IT인프라 운영상의 주요 리스크를 정기적으로 점검하고 있으나, 최근 중소형 금융회사 및 전자금융업자가 디지털 기반의 금융상품 및 신규서비스 출시를 확대하면서 대형 금융회사에 비해 IT인프라‧정보보호 기반이 열악한 중소형 금융회사 등의 IT리스크가 증가할 것으로 예상했다.

이에 금융감독원은 전자금융업무를 수행하는 모든 금융회사 및 전자금융업자의 IT리스크에 선제적 대응이 가능하도록 상시감시 및 검사 업무를 운영해 나갈 계획이라고 밝혔다.

상시감시 및 검사업무 운영 방향
금융회사 및 전자금융업자의 IT리스크를 상시 평가하여 도출된 취약점을 자체감사 활동을 통해 자율 시정하도록 유도하고, 금융환경 변화에 따른 IT리스크에 선제적 대응이 가능하도록 핵심‧취약부문에 대한 사전예방적 검사를 강화한다.

가. IT리스크에 대한 상시평가 기능 강화
△평가대상 전자금융업무를 수행하는 ‘모든 금융회사 및 전자금융업자’에 대해 IT리스크 계량평가를 실시한다. 자산규모가 2조원 이상이거나 IT 의존도가 높은 금융회사에 대해서는 ‘IT리스크 계량평가’를 실시하고, 중소형 금융회사 및 전자금융업자에 대해서는 계량평가 항목을 간소화 한 간이평가를 실시할 예정이다.

△평가방법 계량평가 지표는 5개 부문(IT감사, IT경영, 시스템 개발‧유지보수 등, IT서비스 제공‧지원, IT보안‧정보보호), 36개 항목에 업권별 특성을 반영, 4~10개 항목(반복지적, 장애 등)을 추가했고, 간이평가 지표는 계량평가 항목 중 IT인프라 안전성 확보에 필수적인 13~18개 항목을 선정해 평가할 예정이다. 아울러 IT인프라 운영 및 정보보호 등의 업무를 정량적 지표와 정성적 지표를 활용해 평가하고 잠재적 리스크 수준을 판별이 가능한 ‘IT리스크 상시평가 모형’도 개발을 추진한다.

나. 자체감사 등을 통한 자율규제 기능 강화
△기본방향 IT인프라 운영 및 정보보호 등 IT업무 전반에 대한 상시평가 과정에서 취약점이 확인되는 경우, 금융회사 및 전자금융업자에 대해 자체감사를 요구하는 ‘자체감사 요구제도(가칭)’를 도입‧시범 실시할 예정이다.

△운영방안 IT리스크 상시평가 등급이 일정기준 이하인 경우 해당 금융회사 및 전자금융업자의 자체감사 활동을 통해 취약점을 자율시정 하도록 유도할 예정이다. 금융회사‧전자금융업자가 제출한 자체감사 결과는 IT검사국 담당 검사팀에서 ‘적정성 검토(Review)’를 실시하고, 금융회사 등의 자체감사 결과 조치사항이 ‘적정’한 경우에는 금융회사 등의 의견을 원칙적으로 수용하되, 개선 등의 조치가 부실하거나 허위의 사실을 보고하는 등 ‘부적정’한 것으로 판단되는 경우에는 필요시 금융감독원이 직접 검사를 실시할 예정이다.

다. IT부문에 대한 사전예방적 검사 강화
△정기검사 금융회사의 특성, 규모, IT 의존도 등을 감안해 2~5년 주기로 IT부문에 대한 정기검사를 실시한다. IT업무 전반에 대한 실태평가와 함께 상시평가 결과 확인된 취약점 및 미흡사항에 대해서도 중점 검사할 예정이다.

△수시검사 IT사고로 소비자 피해가 발생했거나, 내부통제가 취약한 금융회사 등을 대상으로 테마검사를 강화할 예정이다. 망분리 규제 준수, 공개용 웹서버 취약점 보정(patch) 등의 보안대책 소홀에 따른 침해사고가 발생하거나, 인터넷뱅킹, 모바일 앱 등 대고객 서비스 관련 시스템 자원(서버, 회선, 전산장비 등)에 대한 성능관리 소홀로 장애사고가 발생한 경우 사고원인 규명을 위한 현장검사를 실시할 예정이다. 아울러 IT리스크 상시평가 결과, IT부문의 내부통제가 취약해 사고 개연성이 높은 금융회사나 대형 전자금융업자에 대해 내부통제 점검을 위한 현장검사를 실시할 예정이다.

예를 들면, 업무용 단말기에 대해 정보보호위원회 승인 없이 망분리 예외를 적용하거나, 해킹공격에 취약한 홈페이지 등 공개용 서버 취약점에 대한 보안 패치 미적용 등이 보안대책 소홀로 지적된다.

금융감독원은 전자적침해사고 및 장애사고로 인한 소비자 피해를 예방할 수 있도록 금융부문의 IT리스크에 대한 사전예방적 감독‧검사를 강화해 나갈 계획이다. 이를 위해 ‘IT리스크 계량평가 제도’를 보완해 금융부문의 핵심업무에 대한 IT리스크 수준을 조기 판별이 가능한 상시평가 모형을 개발하는 한편, 올해 4월중 금융업권의 의견을 청취해 IT상시협의체를 구성하고, 동 협의체를 통해 금융회사 및 전자금융업자와 각종 현안사항 등에 대한 소통을 확대해 나갈 계획이라고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>