금융감독원이 금융권의 IT 감사 강화를 위한 본격적인 행보에 나섰다. 최근 금융사들의 디지털 전환이 가속화되면서 사이버 보안 위협, IT 시스템 장애, 데이터 관리 부실 등의 리스크가 증가하고 있는 가운데, 금감원은 내부통제 체계를 재정비하고 IT 감사 가이드라인을 새롭게 마련해 금융권의 대응 역량을 높이겠다는 방침이다.

[블랙엣지뉴스=유은상 기자] 금융권의 디지털화가 심화되면서 사이버 공격과 IT 사고 발생 가능성이 높아지고 있다. 특히, 2023년과 2024년 연이어 발생한 대형 금융사 IT 시스템 장애 사례는 금융 소비자 보호와 금융시장 안정성에 대한 우려를 키웠다. 

이에 따라 금감원은 기존의 전통적인 내부통제 방식으로는 금융권의 IT 리스크를 효과적으로 관리하기 어렵다고 판단하고, 보다 체계적인 IT 감사 체계를 도입하기로 결정했다.

금감원 관계자는 "금융회사들이 IT 리스크를 보다 철저하게 관리할 수 있도록 IT 감사 기준을 강화할 필요성이 커지고 있다"며 "디지털 금융 환경에서 내부통제를 효과적으로 작동시키기 위해 금융권 전체의 IT 감사 역량을 한층 높일 것"이라고 밝혔다.

<3단계 IT내부통제체계, 출처=금감원 보도자료>

IT 감사는 금융사의 IT 시스템 및 운영 환경을 평가하고, 리스크를 사전에 식별하여 대응하는 과정으로 진행된다. 일반적으로 IT 감사는 다음과 같은 단계로 수행된다.

1. 
   

2. 사전 계획 수립: 감사 목표 설정, 감사 범위 결정, 주요 리스크 식별

3. 정보 수집 및 분석: IT 시스템 및 데이터 운영 현황 점검, 보안정책 및 내부통제 프로세스 검토

4. 통제 설계 및 운영 평가: IT 보안 정책과 시스템 운영이 규정에 맞게 작동하는지 점검

5. 테스트 및 검증: 모의 해킹, 취약점 분석, 시스템 장애 대응 능력 평가

6. 감사 결과 보고: 감사 결과 도출, 개선 권고사항 제시, 후속 조치 계획 수립

7. 사후 모니터링: 개선 조치 이행 여부 점검 및 지속적인 내부통제 강화

8. 
   

금감원은 이러한 체계를 금융사들이 효과적으로 적용할 수 있도록 가이드라인을 구체적으로 제시할 예정이다.

「IT감사 가이드라인」최종안은 ’25년 2월말까지 7개 협회,중앙회별 심의,보고 등 내부 절차를 거쳐 배포,시행될 예정이다. 이번 가이드라인에는 금융권이 준수해야 할 IT 내부통제 기준, 사이버 보안 점검 항목, 클라우드 및 AI 활용 시 고려해야 할 보안 요소 등이 포함된다. 

또한, 금융사가 자율적으로 IT 리스크를 점검하고 내부통제 체계를 강화할 수 있도록 세부적인 체크리스트와 사례 중심의 실무 가이드를 제공할 것으로 보인다.

업계 관계자는 "이번 IT 감사 가이드라인이 금융사의 디지털 리스크 관리 수준을 한 단계 끌어올릴 것으로 기대된다"며 "금융사들이 강화된 규제에 맞춰 내부통제 체계를 정비하는 것이 필수적"이라고 말했다.

금감원의 IT 감사 강화 정책이 금융권의 리스크 관리를 한층 강화하고, 금융소비자 보호에도 긍정적인 영향을 미칠 것으로 전망된다. 다만, 금융사들의 부담이 증가할 수 있는 만큼, IT 감사 체계의 실효성을 높이면서도 과도한 규제로 작용하지 않도록 균형 잡힌 접근이 필요할 것으로 보인다.

감사·내부통제 전문지 BLACK EDGE / 유은상 기자