"금융권 IT사고 이제 그만"…금감원, IT감사 가이드라인 발표

/금융감독원 제공

금융감독원은 13일 7개 금융협회·중앙회와 'IT감사 가이드라인 마련 태스크포스(TF)'를 마무리하는 간담회를 개최했다.

이날 금감원은 지난해 11월부터 TF를 통해 마련한 가이드라인 최종안을 발표하고 업권별 시행방안을 논의했다.

금감원은 △자체 IT리스크에 맞는 3단계 IT내부통제 체계 구성 △사각지대 없는 통제 범위 설정 △IT감사 독립성 확보 △표준 IT감사 방법론 등 네 가지 핵심내용을 권고사항으로 제시했다.

IT내부통제체계는 1단계로 IT조직이 내부통제 방안을 수립해 이행하고, 2단계로 IT조직 내 자체감사인을 통해 내부통제 적정성을 점검하며, 3단계로 감사조직의 IT감사인이 제3자 관점에서 IT부문 전반을 감사하는 방식이다.

내부통제 범위로는 금융사 책무구조를 기준으로 설정하라고 권고했다. IT영역별 최고책임자가 소관 IT업무에 대해 내부통제 활동을 할 수 있도록 내부통제 범위와 수행주체를 명확히 하란 의미다.

또 IT자체감사인의 직무분리 기준을 마련해 독립성을 확보하라고 강조했다. 아울러 전담인력 운용이 어려운 경우에는 IT내부통제 업무를 외부 전문업체에 위탁도 가능하도록 했다.

아울러 금감원은 그간의 IT검사 지적사례를 참고해 IT감사 방법론의 표준을 제시했다.

이번 간담회를 통해 발표된 'IT감사 가이드라인' 최종안은 이달 말까지 7개 협회·중앙회별 심의 등 내부 절차를 거쳐 시행될 예정이다.

이종오 금감원 디지털·IT 부원장보는 "금융사 IT감사는 혁신의 안전핀 역할을 한다"며 "이번 가이드라인이 금융사의 디지털 경쟁력과 금융IT 안전성을 균형있게 견인하는 기준이 되기를 기대한다"고 말했다.

노정동 한경닷컴 기자 dong2@hankyung.com