금융권 「IT경영 평가제」도입

금융감독원은 금융권 정보기술(IT) 부문의 경영실태에 대한 관리·감독을 강화하기 위해 「IT부문 경영실태평가제」를 도입키로 했다.

금감원 한 관계자는 『IT부문에 대한 금융기관의 업무 의존도가 갈수록 증대됨에 따라 이를 종합적이고 통일적인 방식으로 관리하기 위해 올해 처음으로 이같은 평가등급제를 도입하게 됐다』고 말했다.

이번 IT부문 경영실태평가제는 최근 완료한 「정보기술부문 검사업무편람」을 평가근거로 삼아 전산감사·전산경영·시스템 및 프로그래밍·컴퓨터 운용 등 4개 부문 21개 항목에 걸쳐 안정성과 건전성·효율성을 집중적으로 평가하게 되며 이의 결과에 따라 취약한 기관을 집중적으로 지도하게 된다.

이에 따라 은행·증권·보험 등 금융기관은 앞으로 「정보기술부문 검사업무편람」의 기준에 따라 IT업무를 처리해야 하며 각종 개선책을 수립함은 물론 평가자료를 준비해야 한다.

◇도입 배경 = IT부문의 안정성과 건전성이 금융기관의 경영성과 및 대외신인도에 직접적인 영향을 미치고 있다는 판단에 따른 것이다. 2000년대 들어 특히 금융기관의 주요 업무가 전산시스템으로 대체되고 있으며 고객의 금융서비스에 대한 욕구도 증대되고 있다. 또 인터넷뱅킹·폰뱅킹·펌뱅킹·사이버트레이딩·자동화기기·전자지갑 등 첨단 전자금융서비스를 통한 고객과 사이버상거래가 증가하고 있는 것도 주요 이유 중 하나다.

이와 함께 최근 빈발하고 있는 전산사고를 예방하는 차원을 들 수 있다. 지금까지는 영업점 창구에서 무자원 입금 등 영업점 직원에 의한 단순 단말기 조작사고가 주류를 이뤘으나 최근에는 전산요원에 의한 전산원장 부당변경이나 조회 등은 물론 비밀번호 등 고객정보 유출에 따른 예금부당 인출 등 전산전문 기술을 이용한 사고가 증가하고 있기 때문이다. 또 인터넷뱅킹·폰뱅킹·사이버트레이딩 등 제3자에 의한 전자금융거래 관련사고도 늘고 있다.

따라서 IT부문의 강점 및 취약점을 체계적으로 평가해 조기에 시정, IT관련 사고를 미연에 방지할 수 있는 전문적인 감독·검사방안의 필요성이 대두됐다.

◇운용 방안 = IT부문 경영실태 평가는 FRB 등 미국의 5개 금융감독당국이 적용하고 있는 모델을 참고로 일반업무 검사와 IT부문을 별도로 평가하는 독립평가체제를 도입, 운용하게 된다.

IT부문의 전문성과 특수성을 최대한 반영한 「정보기술부문 검사업무편람」을 최대한 활용해 IT부문 경영실태 평가등급을 일반부문 종합검사 결과와는 별개로 독립적으로 부여하고 필요하면 영업점의 전산운용실태를 파악하기 위해 연결검사를 실시한다.

대상기관은 은행·증권·보험·카드·종금 등 전체 금융기관이 대상이다. 물론 증권거래소·선물거래소·증권예탁원·증권금융·보험개발원·금고연합회·신협중앙회 등 네트워크가 집중돼 있는 금융 유관기관도 포함된다. 그러나 이번 IT부문 경영실태평가 대상에서 제외된 일부 중소형 금융기관은 별도의 IT부문 검사를 받게 된다.

◇평가 방법 = 주요 평가부문은 △전산감사 △전산경영 △시스템 및 프로그래밍 △컴퓨터 운용 등 4개 부문 21개 항목이며 세부 항목수를 감안하면 모두 80개 항목이다.

전산감사의 경우는 전산감사계획 수립에서부터 전산감사활동에 대한 경영층의 관리·감독상황과 예산·인사 등 14개 항목이다. 전산경영은 전산예산 운용과 전산운영위원회 운영·내부통제·비상계획 등 21개 항목에 걸쳐 평가한다. 특히 비상계획의 경우는 백업센터 구축, 하드웨어 백업 및 복구, 소프트웨어 백업 및 복구, 데이터 백업 및 복구, 통신망 백업 및 복구 등에 관한 세부내용까지 포함하고 있다.

또 시스템 및 프로그래밍 평가부문은 IT부문의 검사지침 및 절차의 준수현황에서부터 프로젝트 관리 및 통제는 물론 유지보수 항목을 중점적으로 평가하며 컴퓨터 운용 항목에서는 전자금융거래에 대한 각종 현황은 물론 보안부문까지 포괄적으로 평가하게 된다.

평가등급은 모두 5단계로 절대평가 방식으로 이뤄진다. 등급별로는 1등급(우수)·2등급(양호)·3등급(보통)·4등급(취약)·5등급(위험) 방식이며 금감원의 IT전문 검사역이 각종 검사기법을 활용해 평가한다.

◇향후 전망 = 금감원은 이같은 평가결과에 따라 1등급을 받은 금융기관에 대해서는 향후 IT부문 경영실태평가를 위한 검사를 생략하거나 검사를 실시하는 경우에도 검사기간을 단축하고 검사범위를 축소하는 등 우대조치를 취한다. 또 2등급인 경우에는 향후 IT부문의 경영실태를 평가할 때 취약부문 위주의 검사를 실시하고 3등급인 금융기관은 전산부문 취약부문에 대한 전산계획을 자체적으로 수립, 시행토록 지도한다.

그러나 취약등급인 4등급은 IT부문 경영실태평가시 검사기간을 확대하고 필요하다고 판단되면 약정서를 요구하거나 양해각서(MOU)를 교환, 적극적인 개선책을 유도한다. 특히 위험등급인 5등급의 경우는 일반부문 경영실태 평가등급까지 하향조정할 것으로 검사국에 요청하며 IT부문의 검사를 타 금융기관에 최우선해 실시하는 등 강도 높은 지도를 펼친다.

이에 따라 지금까지 관련규정 및 기준이 없어 관리감독을 제대로 할 수 없었던 금융기관 IT부문 업무에 대한 관리·감독이 체계적이고 더욱 효율적으로 수행될 것으로 보인다.

<박승정기자 sjpark@etnews.co.kr>