[녹색경제신문 = 유자인 기자] 금융감독원이 13일 7개 금융협회·중앙회와 함께 'IT감사 가이드라인 마련 태스크포스(TF)'를 마무리하는 간담회를 개최해 지난 11월부터 공동으로 마련한 가이드라인 최종안을 발표하고 업권별 시행방안 등을 논의했다.

늘어난 디지털 전환, IT신기술 활용 확대등으로 IT업무의 중요성이 점점 더 커져가고 있지만  IT운영‧통제 미흡으로 인한 장애사고가 지속 발생하고 있다는 문제의식에서 출발한 것이다. 실제로 지난 13일 10시 20분부터 약 20분 동안 모바일뱅킹을 통해 이체할 경우 오류가 발생하는 사고가 발생했고, 24일에도 국내 주요 은행에서 계좌이체 시 출금 계좌에서는 금액이 인출됐으나 수취인 계좌로 입금이 되지 않는 현상이 반복적으로 발생했다. 

더불어 규제 패러다임 역시 규칙에서 원칙 중심으로 변화해 금융회사들의 자율성이 확대됐다. 이에 자체 IT리스크에 상응하는 내부통제체계 구축의 필요성이 커졌다. 

금감원 권고사항, 살펴보니...내부통제 강화·독립성 확보

금감원은 네 가지 핵심내용을 권고사항으로 내세웠다. 

먼저 자체 IT리스크에 맞는 3단계 IT내부통제 체계구성을 제시했다. 1단계로 IT조직이 내부통제 방안을 수립해 이행하고, 2단계로 IT조직 내 자체감사인을 통해 내부통제 적정성을 점검하며, 3단계로 감사조직의 IT감사인이 제3자 관점에서 IT부문 전반을 감사하는 방식이다.

이어 사각지대 없는 통제 범위 설정을 제시했다. 금융사 책무구조를 기준으로 설정하길 권고했다. 특히 AI·클라우드 등 신규 디지털 조직에 대한 내부통제 사각지대 해소를 위해 IT영역별 최고책임자가 소관 IT업무에 대해 내부통제 활동을 할 수 있도록 내부통제 범위와 수행주체를 명확히 해야 한다는 뜻이다. 

또 IT자체감사인의 직무분리 기준 마련을 통해 독립성을 확보하라고 강조했다. 만약 전담인력 운용이 어려운 경우에는 IT내부통제 업무를 외부 전문업체에 위탁하는 것도 가능하도록 했다.

마지막으로 금감원은 그간 IT검사 지적사례를 참고해 IT감사 방법론의 표준을 제시했다. 

2월 말까지 배포·시행될 가이드라인, 전자금융 안정성 제고 기대

이번 가이드라인은 행정지도 등 금융 규제에는 해당하지 않는다. 다만 IT실태평가 기준으로 활용될 수 있으며 IT자체감사인은 IT리스크평가 결과에 따라 필요한 조직에 유연하게 지정되고 운용할 수 있다.

IT내부통제는 IT부문 담당임원의 고유 책무로 준법감시인의 일반적 내부통제 책무와는 별개 영역으로 분리돼 독립성을 가진다. 정보 보호 최고 책임자의 정보보안 점검 의무는 점검대상과 범위가 달라 IT자체감사로 대체할 수 없다. 

이를 통해 금감원은 내부통제 사각지대가 해소되고 자율적인 통제활동이 활성화돼 전자금융 안전성이 제고될 것으로 기대하고 있다. 금감원은 올해 2월 말까지 전 금융권역에서 내부 절차를 거쳐 가이드라인이 시행될 수 있도록 준비하겠다고 밝혔다. 

금감원 이종오 디지털·IT 부원장보는 "금융회사 IT감사는 단순한 점검이 아닌 혁신의 안전핀 역할을 한다"라며 "가이드라인이 금융회사의 디지털 경쟁력과 금융IT 안전성을 균형있게 견인하는 든든한 기준점이 되기를 기대한다"고 말했다.