금융감독원이 IT 리스크 상시 평가 대상을 모든 금융사와 전자금융업자로 확대한다. 금융의 디지털화가 진전되면서 규모가 작은 금융사와 전자금융업자가 다양한 상품과 서비스를 내놓는 상황에서 IT 리스크가 늘어날 것이란 판단에서다.
금감원은 10일 '2022년도 IT 리스크 상시 감시 및 검사 업무 운영 방향'에서 전자금융업무를 수행하는 모든 금융사 및 전자금융업자에 대해 'IT 리스크 계량 평가'를 할 계획이라고 발표했다. 자산 규모가 2조원 이상이거나 IT 의존도가 높은 금융사에 대해서는 IT 리스크 계량 평가를 하고, 중소형 금융사 및 전자금융사업자에 대해서는 계량 평가 항목을 줄인 간이 평가를 실시한다.
평가 결과 취약점이 발견되면 금감원은 해당 회사에 자체 감사와 자율 시정을 요구한다. 해당 회사의 자체 감사 결과에 대해 금감원은 수용 여부를 결정한다.
또 2~5년 주기로 IT 부문에 대한 정기 검사도 이뤄진다. 정기 검사에서는 IT 업무 전반에 대한 실태 평가와 상시 평가 결과에서 확인된 취약점에 대해 중점적으로 들여다볼 계획이다.
아울러 IT 사고로 소비자 피해가 발생했거나 내부 통제가 취약한 금융사를 대상으로 테마 검사도 강화할 방침이다. 망 분리 규제 준수 등 보안대책 소홀이나 인터넷뱅킹, 모바일 앱 등 대고객 서비스 관련 시스템의 장애 사고 등이 대상이다.