금융감독원은 2023. 11. 8. ‘금융IT 안정성 강화를 위한 가이드라인’(이하 “본 가이드라인”)을 마련하였습니다. 본 가이드라인은 7개 금융협회·중앙회별 자체심의, 보고 등의 내부 절차를 거친 후 연내 시행할 예정입니다.
금융회사의 전산사고로 인해 금융서비스가 중단되는 경우 심각한 금융소비자 불편 및 사회적 혼란이 발생할 수 있습니다. 실제로 최근 이러한 우려가 현실화된 사례들이 자주 발생함에 따라, 금융회사가 IT내부통제 수준을 향상시키고 IT부문 개발·운영상의 문제점을 개선할 수 있는 환경을 조성할 필요성이 제기되었습니다.
이에 금융감독원은 2023. 3. 부터 7개 협회·중앙회와 공동으로 본 가이드라인을 마련하기 위한 T/F를 구성·운영하였고, IT검사 사례 및 모범사례(Best Practice)를 기반으로 작성한 초안을 바탕으로 각 협회 주도 하에 금융회사 의견을 수렴하여 본 가이드라인의 세부 내용을 마련하였습니다.
본 가이드라인의 적용대상은 금융회사 및 전자금융업자이며, 회사가 운용중인 정보처리시스템 전체에 적용하는 것이 원칙이나, 비중요 시스템 등 대고객 서비스에 영향이 없는 시스템에 대해서는 최고정보책임자(Chief Information Officer; 이하 “CIO”) 승인을 얻어 적용범위에서 제외할 수 있습니다.
본 가이드라인은 ① 전산시스템 성능 관리, ② IT부문 비상대책 수립·운용, ③ 프로그램 통제 3개로 구성되며, 그 주요 내용은 아래와 같습니다.
1. |
전산시스템 성능 관리 |
(1) |
임계치 설정 및 대응전략 수립 |
(2) |
대형이벤트 유입량 분석 및 예측 |
(3) |
성능관리 비상대책 마련 |
(4) |
조직·내규 등 성능관리 기반 확보 |
(5) |
성능관리 내부 보고체계 수립 |
2. |
IT부문 비상대책 수립·운용 |
(1) |
비상훈련 실효성 강화 및 환류체계 |
(2) |
재해복구센터 인프라 확충 |
(3) |
전산센터 화재 예방·대비 |
(4) |
핵심업무 선정 절차 및 관련 부서별 역할 명확화 |
(5) |
업무지속성 확보 방안 점검 및 관련 시스템 구축 |
3. |
프로그램 통제 |
(1) |
제3자 검증·통제 기능 강화 |
(2) |
테스트 역량 강화 |
(3) |
IT운영 안정성을 위한 배포 전략 |
(4) |
프로그램 통제 관리 및 점검 강화 |
(5) |
프로그램 통제 절차 내부교육 강화 |
본 가이드라인은 IT검사 지적사례 및 업계 모범사례(Best Practice) 등을 취합하여 마련·권고한 것으로, 행정지도 등 금융 규제에 해당하지 않아 법적 구속력은 없습니다. 본 가이드라인은 IT운영 안정성을 위한 최소한의 기준이기에 세부 구현 방식에 있어 각 회사별 상황에 따라 취지를 벗어나지 않는 범위 내에서 조정이 가능할 것으로 예상됩니다.
다만, 본 가이드라인은 전자금융감독규정 제23조, 제25조, 제29조 등에서 세부적으로 정하고 있지 않은 사항에 대해 안내하고 있어 만약 가이드라인 미준수 상태가 규정 위반으로 이어질 경우 행정처분을 받을 수 있다는 점을 유의하셔야 합니다.
따라서, 적용대상 금융회사 및 전자금융회사는 본 가이드라인 내용을 내규에 반영하고 필요한 조직 구성, 전산시스템 구축, 전산 자원 증설, 직원교육 실시 등 세부내용을 철저히 이행할 필요가 있습니다.
관련 이슈