‘업종별·규모별 금융IT 평가기준 마련’

최근 전자금융거래 확산과 시스템 리스크 증가에도 불구하고 기존 금융당국의 감독·검사 체계가 미흡하다고 지적됐다. 이에 따라 금융감독원은 18일 감독·검사 개선방안을 마련 시행키로 했다.



◇ 지적된 문제점 = IT부분 평가기준이 은행, 비은행, 보험, 증권으로 구분돼 있지 않고 은행 중심으로 기준이 편성돼 문제로 지적됐다. 또 IT부문 평가 기준이 규모에 따라 대·중·소로 구분돼 있지 않고 일률적인 것도 문제다.
점검항목 과다로 실효성 있는 IT부문 실태평가가 곤란하다는 지적도 있다. 현재 실태평가도 350개의 전문적인 항목으로 구성돼 현 인력으로는 현실적으로 곤란하다.

최근 증가하는 해킹, 컴퓨터바이러스 감염 등의 사고로부터 금융소비자들이 안심하고 금융서비스를 이용할 수 있는 전담대응조직이 미비해 침해사고 대응능력도 취약하다.

일부 검사국의 IT검사조직 및 검사인력 부족과 그동안 다양한 안전대책 수립, 시행에도 불구 금융권의 이행 실태가 일부 미흡하다는 지적도 있다.

이와 함께 결제리스크, 결제시스템, 결제수단 등 결제업무와 모바일 등 신종 전자지급결제수단에 대한 감독·검사, 지도 부족도 문제다. 국내·외 금융사의 해외 IT부문도 마찬가지다.


◇ 개선방안 = 향후 IT 평가 기준은 은행, 증권, 보험, 비은행으로 구분하고 규모도 고려해 대·중·소로 구분된다. IT부문 실태평가의 중점점검항목도 금융사 업무특성과 규모 등을 감안해 실정에 맞게 대폭 축소해 수정, 보완된다.

IT 업무 및 전자금융업무중 비핵심 업무에 대해 자체 감사조직에 감사를 위탁하는 자체감사기능 강화방안과 금융권 자체 전문인력 확보, 전문성 강화도 지도해 나갈 계획이다.

소비자가 보다 쉽고 간편하게 이용할 수 있도록 전자금융거래 이용방법 개선 작업이 추진되고 IT 및 전자금융 관련 용어의 한글화 추진 및 관련 용어 설명집도 발간된다.

해킹 및 컴퓨터 바이러스 등의 전자금융 침해사고 방지를 위해 금융사내 ‘침해사고대응팀’을 구성, 운영케 하고 금융정보공유분석센터(ISAC)를 통해 침해사고 상시 분석 및 점검을 진행할 예정이다.
각 검사국에서 상·하반기 연2회씩 정기적으로 IT 및 전자금융업무 관련 안전대책 이행 여부를 중점검사항목으로 선정, 운영해 지속적인 모니터링도 실시하게 된다.

신종 전자지급결제 수단을 포함한 지급결제시스템 등 결제업무 전반에 대한 체계적이고 종합적인 감독·검사도 강화된다.

정보의 해외 유출 방지 및 IT부문 안전성 확보를 위해 현장점검을 확대하고 금감원 IT업무실의 해외 IT부문 검사 참여도 확대한다는 방침을 세웠다.

IT 검사의 실효성 확보를 위해 IT 전문인력을 금융사 IT 규모에 따라 최소 투입기준을 제시했다. 은행과 보험·증권의 경우 각각 대형은 연 60∼80명, 24∼40명, 중·소형 연 40∼60명, 16∼24명이다. 회사별 IT부문 리스크 규모를 감안 상·중·하로 차등 운영된다.

파업 등 특수사항 발생시 특정분야에 대한 일시적 IT인력 수요 증가시 금감원 IT검사원을 풀제로 운영할 방침이다.

또 각 검사국은 IT부문 검사 전담조직을 편성, 운영하고 국내 연수 프로그램에 IT 및 전자금융 업무 감독·검사과정을 보강, IT 부분 전문가 신규채용, IT검사 전문인력 추가배치를 늘려 나갈 예정이다.



신혜권 기자 hkshin@fntimes.com