최근 전산장애와 침해사고가 이어지면서 금융감독원이 금융권의 전자금융사고 대응 체계와 IT 내부통제 실태를 점검한다. 생성형 인공지능(AI) 활용 확대와 사이버 공격 고도화로 금융회사의 전산시스템 안전성과 서비스 연속성 확보가 더 중요해졌다는 판단이다.
금감원은 29일 전자금융업무를 수행하는 491개 금융회사 등을 대상으로 '금융IT 리스크 대응회의'를 개최했다고 밝혔다.
금감원은 상반기 점검에서 프로그램 변경관리와 성능관리 등 기본적인 IT 통제가 미흡한 사례를 확인했다. 이에 운영체제와 전산장비 취약점이 발견되면 신속히 보정작업을 하고 중요 전산자료의 오·남용을 막기 위한 접근권한 관리를 강화해야 한다고 안내했다.
프로그램을 변경할 때는 사전 영향도 분석 등 단계별 통제를 강화해야 한다. 테스트 전용 인프라에서 다양한 시나리오별 검증을 실시하고, 보안취약점 분석·평가 대상과 기준을 명확히 정해 조치 이행 상황을 사후 점검해야 한다는 설명이다.
전산센터 화재 예방을 위한 전원설비 관리도 당부했다. 금감원은 무정전전원장치(UPS), 비상발전기, 화재예방 설비 관리 현황을 주기적으로 점검하고 내구연수가 지난 노후 축전지는 즉시 교체해야 한다고 했다.
무선망을 악용한 비인가 접근 차단도 점검 대상에 포함됐다. 초소형 무선 스파이칩이 금융회사 서버나 IT 장비에 몰래 삽입되면 무선 주파수 통신을 통해 내부시스템 침투, 데이터 탈취, 서비스 중단 등이 발생할 수 있어서다. 금감원은 전산장비 도입·반입 단계에서 무선 백도어 설치 여부를 확인하고 비인가 무선통신망 운영 여부를 주기적으로 살펴야 한다고 했다.
하반기에는 IT 기본통제 이행 실태가 중점적으로 점검된다. 최근 전자금융사고의 주요 원인이 프로그램 변경 시 영향도 분석 미흡, 테스트 부족, 장비 작동 불능, 통신회선 단절, 처리 용량 부족, 방화벽 정책 적용 실수 등 기본통제 미준수와 관련돼 있다는 이유에서다.
금감원은 클라우드 기반 사무관리·업무지원용 소프트웨어(SaaS) 관련 정보보호 의무 준수 실태도 살필 계획이다. 지난 4월 전자금융감독규정 시행세칙 개정으로 SaaS 망분리 예외가 허용된 만큼 금융보안원 평가 결과가 '충족'인 SaaS를 이용하는지, 접속 단말 보호대책을 세웠는지 등을 점검한다.
독자들의 PICK!
금감원은 AI 전환 등으로 규제가 완화되는 추세일수록 금융회사 스스로 취약요인을 찾아 개선하는 IT 내부통제 체계가 중요하다고 강조했다. 하반기 금융회사 자율점검이 다수 예정된 만큼 최고경영자(CEO) 등 경영진의 관심과 책임 아래 리스크를 점검하고 발견된 문제점을 신속히 개선하는 전사적 자율시정 체계를 갖추라고 당부했다.
앞으로 금감원은 전자금융사고가 자주 발생한 금융회사에 사고예방 컨설팅을 실시하고, IT 기본통제 준수를 위한 자가진단 도구를 제공할 계획이다. 자율시정에 실효성 있게 나선 금융회사에는 제재 감면 등 인센티브를 검토하는 반면 형식적으로 자율시정을 하거나 유사 사고가 재발하면 엄정 조치할 방침이다.
