이찬진 "IT사고 재발 무관용"…내부통제 강화·사전예방 감독 전면화

[디지털투데이 이지영 기자] 금융감독원이 반복되는 해킹·전산장애 사고의 근본 원인으로 지적된 내부통제 미흡과 사후 대응 위주의 감독 한계 개선에 나섰다.

금융감독원은 국회, 금융협회, 금융보안원, 학계 및 국내외 보안업계와 함께 금융보안 패러다임 전환을 위한 간담회를 개최했다고 7일 밝혔다. 이번 간담회는 현행 보안 인식과 위험관리 수준, 감독 방식으로는 IT·정보보안 사고를 근절하기 어렵다는 문제의식에서 마련됐다.

간담회에는 국회 정무위원회 이정문 의원과 은행·금융투자·생명보험·손해보험·여신전문금융협회장, 금융보안원장, 학계 및 보안업계 관계자들이 참석해 금융감독원이 제시한 사전예방적 디지털 리스크 감독 방안을 중심으로 IT·보안 위험 통제 방안과 국내외 모범 사례를 논의했다.

참석자들은 보안 위협이 갈수록 지능화·정교화되는 상황에서 사고 예방을 위해서는 금융보안을 조직 문화로 내재화해야 한다는 데 의견을 모았다. 이를 위해 경영진 책임 의식 강화, 조직 문화 개선, 인적·물적 투자 확대 등 근본적인 변화가 필요하다는 데 공감했다.

이찬진 금융감독원장은 "최근 금융권 침해사고와 전산장애는 기본적 의무 미준수나 내부통제 미흡에서 비롯된 경우가 많다"며 "금융보안 패러다임을 근본적으로 바꿔야 한다"고 강조했다.

이어 "감독 방식을 사후 제재 중심에서 사전 예방 중심으로 전환해 금융회사의 선제적 위험관리를 확립하겠다"고 덧붙였다.

금감원은 고위험 회사를 선별해 집중 관리하고 사고 대응 체계를 정비해 침해사고 발생 시 소비자 피해를 최소화할 방침이다. 특히 기본적 의무를 이행하지 않거나 내부통제가 미흡한 상태에서 사고가 발생할 경우 무관용 원칙에 따라 엄중히 책임을 묻겠다고 밝혔다.

또한 국회에는 전자금융거래 안전성 강화를 위한 전자금융거래법 개정안의 신속한 처리를 요청하고, 금융협회에는 업권 전반에 금융보안 중심 문화를 정착시키고 IT·정보보안 투자 확대를 당부했다.

이정문 의원은 "최근 금융권에서 해킹 등 IT 사고가 빈발하고 있다"며 "전자금융거래의 안전성을 확보해 소비자 신뢰를 강화하는 것이 무엇보다 중요하다"고 말했다. 이어 "금감원의 사전예방 중심 감독 전환은 시의적절하다"며 "국민이 안심하고 디지털 금융을 이용할 수 있도록 철저한 IT 리스크 관리가 필요하다"고 강조했다.

◆중소 금융사 내부통제 구축 지원 필요

금감원이 제시한 감독 방안은 ▲금융보안 인식 전환 ▲선제적 위험관리 정착 ▲사전예방적 감독 전환 ▲사고 대응 체계 확립 ▲제도 개선 등 5개 축으로 구성된다.

우선 금융회사 임직원의 보안 인식을 높이기 위해 경영진 간담회와 실무자 워크숍 등 맞춤형 소통을 확대하고, IT 자산 식별·관리와 취약점 분석·평가를 강화해 금융회사 스스로 위험 요인을 조기에 인식하고 대응하도록 유도한다.

또한 보안 취약점 점검을 강화하고 고위험 회사를 집중 관리하는 한편, 금융보안통합관제시스템(FIRST)을 활용해 위협 정보를 신속히 공유하고 자율 점검과 시정 체계를 고도화할 계획이다.

아울러 합동 재해복구 전환훈련, 모의 해킹, 버그바운티 등 다양한 대응 훈련을 통해 디지털 복원력을 강화하고 사고 발생 시 서비스가 신속히 재개될 수 있도록 대응 체계를 정비한다.

금융협회와 금융보안원, 학계도 사전예방 중심 감독 필요성에 공감하며 협력 의지를 밝혔다. 금융협회는 업권별 이행을 지원하겠다고 했고, 금융보안원은 위협 정보 공유와 대응 훈련 고도화를 통해 금융회사 보안 역량 강화를 지원하겠다고 전했다.

강병훈 카이스트 교수는 "대규모 침해사고를 방지하기 위해서는 IT 자산의 철저한 식별과 관리가 선행돼야 한다"며 "특히 보안이 취약한 중소 금융회사에 대한 내부통제 구축 지원이 필요하다"고 강조했다.

금감원은 "이번 간담회를 시작으로 사전예방적 감독 체계가 현장에서 실효성 있게 작동하도록 관련 과제를 속도감 있게 추진할 것"이라며 "금융권 전반의 보안 인식 제고와 선제적 리스크 관리 정착을 위해 지속적으로 소통해 나갈 계획"이라고 말했다.