금융감독원이 올해 금융사에 대한 IT 보안 취약점 평가 기준을 확대할 방침이다. 이와 동시에 금융사의 보안 체계를 점검하기 위한 불시 점검도 진행한다. 금감원은 올해 IT 보안 위험에 조기에 대응하기 위한 사전 예방을 주요 과제로 꼽았는데, 이번 조치는 이에 따른 것이다.
11일 금융 당국에 따르면 금감원은 조만간 주요 금융사, 각 업권별 협회 등과 만나 IT 보안 취약점 분석·평가 기준 확대에 대해 논의할 방침이다. 현행 전자금융거래법 시행령상 금융사는 자체적으로 실시한 보안 시설 취약점 분석·평가 결과를 최소 연 1회 이상 금융 당국에 제출해야 한다.
평가 기준은 매년 보완하는데 올해는 예년보다 평가 항목을 더 세분화하고 늘리는 방안을 금감원은 검토하고 있다. 금감원은 각 금융사가 보유 중인 전산 장비의 규모를 제대로 파악하고 있는지 여부 등 기본적인 사항부터 항목에 상세히 반영하는 방안을 고려하고 있다. 보안 체계를 세밀하게 확인하는 방식으로 관리를 강화하겠다는 취지다.
금감원은 올해부터 금융사가 제출한 평가 결과에 따라 보안 체계를 제대로 운영하고 있는지 확인하기 위해 현장 점검도 강화할 방침이다. 금감원은 올해 조직 개편을 통해 디지털금융총괄국 내 디지털리스크분석팀을 신설했다. 디지털리스크분석팀은 금융사의 보안 현황에 대한 불시 점검을 전담할 계획이다. 금감원은 올해 보안 취약점 분석 결과와 현장 점검 내용을 토대로 금융 업계에 필요한 보안 강화 방안을 마련해 가이드라인 등으로 발표할 방침이다.
금감원은 올해 보안 사고 사전 예방을 주요 과제로 삼았다. IT 리스크를 조기 식별하고 사전 예방적 감독·검사 체계로 전환하는 것이 골자다. 이를 위해 보안 정보를 상시 수집하고, 주요 금융사와 비상 연락망도 갖출 계획이다. 금감원 관계자는 "올해부터 금융사를 대상으로 한 보안 평가 항목을 대폭 강화할 방침"이라고 말했다.