[비즈니스포스트] 금융감독원이 IT리스크 계량평가 대상을 모든 금융사 및 전자금융업자로 확대한다. 

금감원은 10일 ‘2022년도 IT리스크 상시감시 및 검사업무 운영방향’ 보도자료를 내고 전자금융업무를 수행하는 모든 금융사 및 전자금융업자에 대해 IT리스크 계량평가를 실시할 것이라고 밝혔다. 
 

금감원은 “최근 중소형 금융회사 및 전자금융업자가 디지털 기반의 금융상품 및 신규 서비스 출시를 확대하고 있는데 이런 기업은 대형 금융회사와 비교해 IT인프라 및 정보보호 기반이 열악하다”며 “소비자 피해 예방을 위해 운영 방향을 새로 마련했다”고 설명했다. 

이전까지는 자산규모 2조 원 이상인 대형 금융회사만 정기적 주요 IT리스크를 점검대상이 됐다.

금감원은 자산 규모가 2조 원 이상이거나 IT 의존도가 높은 금융사에 대해서는 ‘IT리스크 계량평가’를 실시하고 중소형 금융사 및 전자금융사업자에 대해서는 계량평가 항목을 간소화한 간이평가를 실시한다.

금감원은 자체감사 등을 통한 자율규제 기능을 강화한다는 계획도 세워뒀다. 

IT리스크 상시평가 등급이 일정기준 이하로 나오면 금융사나 전자금융업자는 자체감사 활동을 통해 취약점을 자율시정 하도록 한다는 방침을 정했다. 

금융사의 자체 감사 결과는 금감원이 검토해 수용 여부를 결정한다.

IT 부문에 대해 2~5년 주기로 정기 검사도 진행된다. 

금감원은 정기 검사에서 IT 업무 전반에 대한 실태 평가와 상시 평가 결과에서 확인된 취약점을 중점적으로 들여다보기로 했다.

IT 사고로 소비자 피해가 발생했거나 내부 통제가 취약한 금융사를 대상으로 테마검사도 강화한다.

금감원은 “IT 관련 사고에 따른 소비자 피해를 예방할 수 있도록 금융 부문의 IT리스크에 대한 사전 예방적 감독과 검사를 강화해 나갈 것이다”며 “IT리스크를 조기 판별할 수 있는 상시 평가 모형을 개발하고 금융권과 소통을 확대하겠다”고 말했다. 차화영 기자