금융감독원, 491개 금융사 소집…하반기 'IT 기본 통제·SaaS 보안' 집중 점검

금융감독원이 최근 지속되는 전산장애와 침해사고에 대응해 금융 IT 리스크 대응체계 점검에 나섰다. 금감원은 올해 하반기 프로그램 변경관리 등 'IT 기본통제' 이행 실태를 중점 점검하고, 무선망을 악용한 보안 위협과 망분리 예외 대상인 서비스형 소프트웨어(SaaS)의 정보보호 준수 실태도 집중적으로 조사할 방침이다.

금감원은 29일 전자금융업무를 수행하는 은행, 보험, 금융투자, 저축은행, 전자금융업자 등 491개사를 대상으로 비대면 '금융IT 리스크 대응회의'를 개최했다. 이번 회의는 생성형 인공지능(AI) 활용 확대와 사이버 공격 고도화로 금융권의 IT 내부통제 강화 필요성이 커진 데 따라 마련됐다.

이날 금감원은 상반기 현장점검과 상시 감시 결과 확인된 주요 미흡 사례를 공유하고 전자금융사고 예방 유의 사항을 안내했다. 프로그램 변경 시 사전 영향도 분석 미흡, 테스트 미실시, 방화벽 설정 오류 등 기본적인 IT 통제를 준수하지 않아 발생한 사고가 잦았다는 지적이다. 최근 무선 주파수(RF) 통신으로 내부 시스템에 침투해 데이터를 탈취하는 '초소형 무선 스파이칩(무선백도어)' 우려가 커진 만큼, 전산장비 도입 시 보안 통제를 강화하고 이상징후 모니터링을 확대하라고 당부했다.

하반기에는 IT 기본통제 이행실태와 함께 전산센터 화재 예방을 위한 무정전전원장치(UPS), 비상발전기 등 전원설비 운영 실태 점검을 병행한다. 특히 지난 4월 전자금융감독규정시행세칙 개정으로 예외 허용된 클라우드 기반 사무관리·업무지원용 SaaS 관련 정보보호 의무 준수 실태도 살펴볼 예정이다. 금융회사는 금융보안원 평가 결과가 '충족'인 SaaS만 이용해야 하며, 정보보호통제 이행 여부를 반기 1회 평가해 내부 정보보호위원회에 보고해야 한다.

금감원은 IT 조직, 자체감사인, 감사조직으로 이어지는 3단계 IT 내부통제 체계를 확립하고, 최고경영자(CEO) 등 경영진 책임으로 리스크를 점검하는 전사적 자율 시정 체계를 갖춰달라고 강조했다.

앞으로 금감원은 사고 다발 금융사에 사고 예방 컨설팅을 실시하고 자가 진단 도구를 제공하는 등 자율 시정 노력을 지원할 계획이다. 전사적 개선 노력을 기울인 금융사에는 제재 감면 등 인센티브를 검토하지만, 자율점검을 형식적으로 수행하거나 유사 사고가 재발하면 엄정 조치할 방침이다.

류태웅 기자 bigheroryu@etnews.com