[디지털데일리 박기록기자] 금융회사 IT 영역에 대한 '내부통제' 강화를 위한 세부 청사진이 제시됐다. 디지털 전환, IT신기술 활용 확대 등에 따른 IT업무 중요성 증가에도, 국내 금융권에서 기본적 IT운영‧통제 미흡으로 인한 장애사고가 지속 발생하고 있는데 따른 것이다.

다만 금융회사 자율성이 확대되고 있어 자체 IT리스크에 상응하는 IT내부통제 체계의 구축 필요성이 증가함에 따라 'IT감사 가이드라인' 형태로 올 2월말 최종 금융권에 제시될 예정이다.

13일, 금융감독원은 이종오 디지털‧IT 부원장보 주재로 금융협회(은행, 금융투자, 생명보험, 손해보험, 여신) 및 저축은행중앙회, 핀테크산업협회 소속 IT부문 임원들과 'IT감사 가이드라인 마련 TF' 마무리 간담회를 진행했다고 밝혔다.

금감원은 이번 가이드라인이 금감원 IT검사 지적사례 및 국제 표준 등을 참고하고 금융업계 의견 수렴을 통해 마련했으며, ▲자체 IT리스크에 맞는 3단계 IT내부통제 체계 구성, ▲사각지대 없는 통제 범위 설정, ▲IT감사 독립성 확보 및 표준 IT감사 방법론 등을 권고사항으로 제시했다고 밝혔다.

이종오 부원장보는 “금융회사 IT감사는 단순한 점검이 아닌 혁신의 안전핀 역할을 한다”며 “이 가이드라인이 금융회사의 디지털 경쟁력과 금융IT 안전성을 균형있게 견인하는 든든한 기준점이 되기를 기대한다”고 언급했다.

금감원은 올 2월말까지 전 금융권역에서 협회․중앙회별 내부 절차를 거쳐 가이드라인이 조속히 시행될 수 있도록 차질없이 준비하고, 가이드라인 시행 초기에 금융회사가 제정 취지에 맞게 잘 이행할 수 있도록 금융협회·중앙회에서 적극적인 도움을 줄 것을 요청했다. 아울러, 가이드라인 시행시 협회‧중앙회별로 업권 특성에 맞게 내용을 조정해 적용이 가능하나 IT내부통제 강화 취지를 벗어나지 않도록 유의할 것을 당부했다.

◆금융권 'IT감사 가이드라인' 핵심 내용은?

… 금융회사내 'IT자체감사인' 지정해 독립성 부여, IT내부통제 확보

… 필요하면 외부 전문업체에 위탁해 'IT감사' 가능

금감원은 이번 가이드라인을 통해 금융회사가 신규 IT업무영역(디지털‧AI)을 포함한 IT부문 전반에 대해 각자 적합한 방식으로 통제체계를 수립‧운영할 수 있는 근거를 마련함에 따라 내부통제 사각지대가 해소되고 자율적인 통제활동이 활성화되어 전자금융 안전성이 제고될 것으로 기대하고 있다.

가이드라인은 크게 3단계 대응으로 구성됐다.

1단계에서 금융회사 IT조직은 IT업무(프로그램, 전산원장 변경 등) 전반에 걸쳐 법규 등에서 요구되는 IT내부통제 방안을 수립 및 이행한다. 이를 통해 금융회사의 IT감사 관련 내부통제 범위 및 수행주체를 명확화한다는 것이다.

특히 최근 은행권을 중심으로 IT조직이 현업과의 융합을 강화한 애자일(Agile)화됨에 따라 통제의 누락 사례를 방지하기 위해 책무구조를 기준으로 IT영역별 최고책임자가 소관 IT업무에 대한 내부통제 활동을 수행하도록 IT내부통제 범위 및 수행주체를 명확히 설정했다는 설명이다.

실제로 금감원은 금융회사 IT검사에 디지털최고책임자(CDO) 산하조직에서 수행하는 AI, 데이터 분석 시스템 개발‧운영 업무에 대해서는 IT자체감사 및 IT감사를 미수행한 사례가 지적됐다고 밝혔다.

󰊳

2단계에선 IT조직내 자체감사인을 통해 일상적 업무영역에서의 IT내부통제 적정성을 자체 점검(CIO, CISO, CDO 등 IT부문 각 최고책임자 소관 IT업무)할 수 있도록 조직을 정비한다. 금융회사내에서 IT 자체 감사인을 선출할 경우, 업무 독립성 확보를 위한 직무분리 기준을 마련했다. IT자체감사 직무수행 전후로 IT개발·운영 업무 수행을 제한할 경우 IT전문성 저하·경력 단절 등 우려가 있다고 보았다.

3단계에선 제3자 관점에서 IT부문 전반에 대해 IT리스크가 높은 영역 등에 대한 IT내부통제 적정성을 감사하는 체계를 갖추도록 권고했다. 관련하여 IT자체감사 전담인력 운용의 어려움에 대한 금융회사 의견을 반영해 IT내부통제 업무의 외부위탁(전문업체 등)도 가능하도록 제시했다. IT자체감사를 내부 인력으로 상시 운영할 경우 비용 부담이 우려될 수 있기때문이라는 설명이다.

한편 금감원은 이 가이드라인에 대해 국제 표준 및 IT검사 지적사례 등을 참고하고 각 금융협회·중앙회와 업계 의견을 수렴해 마련한 것으로 행정지도 등 금융 규제에 해당하지 않는다고 성격을 규정했다.

다만 가이드라인이 금융회사가 자체 IT리스크에 적합한 IT내부통제체계를 확립하고 IT운영‧통제를 강화해 전자금융 안전성을 제고하고자 하는 취지로, 향후 서면 점검, IT리스크 계량평가 등을 통해 가이드라인 이행 여부를 관리할 예정이며, IT실태평가시 기준으로 활용하겠다고 밝혔다.

또 금감원은 금융회사 'IT자체감사인' 자격과 관련해선 "IT리스크평가 결과에 따라 필요한 IT조직에 지정․운용할 수 있고 효과적인 직무수행을 위해 특정 인력이 IT자체감사 직무를 전담하는 것을 권고하나, 주기적으로 IT자체감사인을 순환 지정하는 등 IT조직 내에서 유연한 운용이 가능하다"고 설명했다.

단, IT조직 규모가 작아서 IT자체감사인을 지정하기 곤란한 경우 IT감사가 일상적 내부통제 영역을 포함한 해당 조직의 IT내부통제 적정성 전반을 감사해야한다고 보았다.

또한 가이드라인 도입에 따라, 'IT내부통제체계와 기존 전사 내부통제(준법감시인 소관)의 관계'에 대해 금감원은 "IT내부통제는 CIO, CISO 등 IT부문 담당임원의 책무이고, IT내부통제 적정성에 대한 감사는 감사 혹은 감사위원회의 책무"라며 "책무구조의 혼선을 방지하기 위해 준법감시인의 일반적인 내부통제 책무와는 별개의 영역으로 분리돼야한다"고 설명했다.

또감독규정상 CISO의 정보보안 점검 의무 등을 IT자체감사에 갈음할 수 있는지에 대해서도 금감원은 "갈음할 수 없다"고 규정했다.

금감원은 "현행 전자금융감독규정(제8조제1항제4호)에 따라 CISO는 임직원이 정보보안 관련법규가 준수되고 있는지 정기적으로 점검하고 그 점검결과를 최고경영자에게 보고해야하며, IT자체감사의 취지는 소속 조직에 한정해 일상적 내부통제 적정성을 점검하는 것으로, 점검대상, 범위 등이 감독규정과 차이가 있으므로 갈음할 수 없다"는 것이다.