|
최근 중소형 금융사와 전자금융업자가 디지털 기반 금융상품 등 출시를 확대하자, 정보기술(IT) 리스크에 선제적으로 대응하기 위한 조치다.
금감원은 2016년부터 IT리스크 계량평가 제도를 도입해 운영하고 있다. 자산규모 2조원 이상인 대형 금융사에 대해 IT인프라 운영상의 주요 리스크를 정기적으로 점검하고 있다.
하지만 대형 금융사에 비해 중소형 금융사와 전자금융업자는 IT인프라나 정보보호 기반이 열악해 IT리스크가 증가할 것으로 예상하고 있다.
이에 금감원은 앞으로 중소형 금융사와 전자금융업자에 대해 계량평가항목을 간소화한 간이평가를 실시할 예정이다.
IT업무 전반에 대한 상시평가 과정에서 취약점이 확인될 경우 금융사와 전자금융업자에 대해 자체감사를 요구하는 ‘자체감사 요구제도(가칭)’를 도입해 시범 실시할 계획이다.
또한 IT리스크 상시평가 등급이 일정 기준 이하라면 해당 금융사와 전자금융업자의 자체감사 활동으로 취약점을 자율시정하도록 유도할 방침이다.
정기검사는 금융사의 특성과 규모, IT 의존도 등을 감안해 2~5년 주기로 실시한다. 수시검사는 IT 사고로 소비자 피해가 발생했거나 내부통제가 취약한 금융사 등을 대상으로 테마검사를 강화한다.
금감원은 “전자적 침해사고와 장애사고로 인한 소비자 피해를 예방할 수 있도록 금융부문 IT리스크에 대한 사전예방적 감독·검사를 강화해나갈 것”이라며 “이달 중 금융권 의견을 청취해 IT상시협의체를 구성하고, 소통을 확대해 낙라 계획”이라고 말했다.
