"망분리 규제 추진되는 만큼 더 꼼꼼하게"…금감원, 사고 예방·IT 내부통제 체계 강조
491개 금융사와 금융IT 리스크 대응회의 개최
[파이낸셜뉴스] 금융감독원이 '금융IT 리스크 대응회의'를 비대면으로 개최했다.
금감원은 전자금융업무를 수행하는 491개 금융회사와 금융IT 리스크 대응회의를 열고 금융권 전산시스템 안정성 제고를 위한 대응방안을 논의했다고 29일 밝혔다.
미토스 인공지능(AI) 공격이 가시화된 가운데 생성형 AI 활용 확대와 사이버 공격에 대한 금융회사의 사고 대응 역량 강화 필요성이 커지고 있다. 금감원은 장애·침해사고에 선제적으로 대응하고 유사사고를 예방하기 위해 이번 회의를 마련했다.
회의에서는 상반기 현장점검과 상시감시 결과와 하반기 중점 점검방향이 공유됐다. 금감원은 "상반기 점검 결과 프로그램 변경관리와 성능관리 등 IT 기본통제 미흡 사례가 확인됐다"고 밝혔다.
구체적으로는 △운영체제와 전산장비의 취약점 발생 시 신속한 보정작업 △접근권한 관리 강화 △실시간 침해시도 탐지 △백업 데이터 무결성 점검 △프로그램 변경 시 영향도 분석 및 테스트 강화 등을 지도했다.
이밖에도 △보안취약점 분석·평가 대상 및 기준 명확화 △취약점 조치 이행 상황 사후점검 △전산센터 화재예방을 위한 전원설비 점검 △노후 축전지 교체 △무선망 악용 비인가 접근 예방 등을 꼽았다. 또 전자금융사고 발생 시 비상대응체계 적정성 점검과 보고절차 준수를 강조했다.
하반기에는 IT 기본통제 이행실태와 전산센터 화재 예방을 위한 전원설비 운영실태 점검이 중점적으로 이뤄질 예정이다.
금감원은 최근 전자금융사고의 주요 원인으로 △프로그램 변경 시 영향도 분석 미흡 △장비 작동 불능 및 통신회선 단절 △방화벽 등 시스템 변경 작업 시 정책 적용 실수 등을 꼽았다.
또 지난 4월 20일 개정된 전자금융감독규정시행세칙에 따라 예외적으로 허용된 클라우드 기반 사무관리·업무지원용 소프트웨어(SaaS) 관련 정보보호 의무 준수실태도 점검할 계획이다.
금감원은 AI 전환을 위해 금융당국이 망분리 규제 완화를 추진하는 만큼 금융회사가 스스로 취약요인을 점검하고 개선하라고 당부했다. 기존 망분리 규제 체계 속 보안 방식이 전면 교체되는 만큼 IT 내부통제를 더욱 강조한 것이다.
향후 금감원은 전자금융사고가 빈번한 금융사에 사고예방 컨설팅을 실시할 예정이다. 또 IT 기본통제 준수를 위한 자가진단 도구를 제공해 자율시정 노력을 지원할 방침이다.
전사적 개선 노력이 확인된 금융회사에는 제재 감면 등 인센티브를 검토하고, 자율시정을 형식적으로 수행하거나 유사사고가 재발하면 엄정 조치할 예정이다.
금감원은 "하반기 금융회사 자율점검이 다수 예정된 만큼, 최고경영자의 관심과 책임하에 리스크를 점검하고 발견된 문제점을 신속히 개선하는 전사적 자율시정 체계를 갖춰달라"고 당부했다.
mj@fnnews.com 박문수 기자
기자 정보
