금융감독원이 하반기 금융회사의 IT 기본통제 이행 실태를 집중 점검한다. 최근 금융권 전산장애와 침해사고가 프로그램 변경관리 미흡, 처리 용량 부족, 방화벽 설정 오류 등 기본적인 통제 부실에서 비롯됐다고 보고 전산센터 전원설비와 클라우드 기반 업무용 소프트웨어 보안 의무까지 들여다보기로 했다.
금감원은 29일 전자금융업무를 수행하는 491개 금융회사 등을 대상으로 ‘금융IT 리스크 대응회의’를 비대면으로 열고 이 같은 하반기 점검 방향을 공유했다. 대상은 은행, 보험, 금융투자, 저축은행, 여신금융, 신용정보, 상호금융, 전자금융업자 등이다.
금감원은 상반기 현장점검과 IT 상시감시 결과 프로그램 변경관리와 성능관리 등 기본적인 IT 통제가 미흡한 사례를 확인했다고 밝혔다. 전산장애와 침해사고가 지속 발생하는 가운데 생성형 인공지능(AI) 활용 확대와 사이버 공격 고도화로 금융회사의 사고 대응 역량과 IT 내부통제 강화 필요성이 커졌다는 설명이다.
금감원이 제시한 최근 전자금융사고 주요 원인은 크게 세 가지다. 프로그램 변경 과정에서 영향도 분석이 미흡해 일부 로직이 누락되거나 충분한 테스트가 이뤄지지 않은 경우, 장비 작동 불능·통신회선 단절·처리 용량 부족이 발생한 경우, 방화벽 등 시스템 변경 작업 때 정책을 잘못 적용한 경우 등이다.
클라우드 기반 사무관리·업무지원용 소프트웨어(SaaS)에 대한 정보보호 의무 준수 여부도 점검 대상에 포함된다. 지난 4월 전자금융감독규정 시행세칙 개정으로 일부 SaaS 이용이 예외적으로 허용된 데 따른 것이다. 금감원은 금융보안원 평가 결과가 ‘충족’인 SaaS 사용 여부, 접속 단말기 보호대책, 반기별 정보보호통제 평가와 정보보호위원회 보고 여부 등을 확인할 계획이다.
금감원은 AI 전환 등으로 규제가 완화되는 추세일수록 금융회사 스스로 취약요인을 점검하고 개선하는 IT 내부통제 체계가 중요하다고 강조했다. 특히 하반기 금융회사 자율점검이 다수 예정된 만큼 최고경영자(CEO) 등 경영진의 관심과 책임 아래 리스크를 점검하고 발견된 문제를 신속히 개선하는 전사적 자율시정 체계를 갖출 것을 당부했다.
이서영 기자2s0@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
