금감원, IT 부실 금융기관 직접 관리

전자금융감독규정 내달초 대대적 개정

[아시아경제 박민규 기자] 앞으로 정보기술(IT) 운영이 부실한 금융기관은 금융당국의 직접 관리를 받게 된다. 또 모든 금융기관들은 IT 인력 및 예산을 일정 규모 이상 확보해야 한다. 최근 금융권뿐 아니라 산업 전반에 해킹 공포가 커지면서 금융기관의 IT 안전성을 높이기 위한 조치다.

금융위원회는 이 같은 내용을 담아 '전자금융감독규정'을 대대적으로 개정한다고 8일 밝혔다. 지난 6월말 발표했던 금융회사 IT 보안 강화 종합대책의 후속조치다. 금융위는 오는 22일까지 관련 기관들의 의견 수렴을 거쳐 내달 초께 변경된 규정을 고시할 예정이다.

이번 전자금융감독규정 변경안에 따르면 앞으로 은행 등 금융기관들은 금융감독원이 실시하는 IT 운영 실태평가에서 4등급(취약)을 받을 경우 금감원에 IT 운영을 개선하겠다는 확약서를 제출해야 한다. 가장 낮은 5등급(위험)이거나 직전 등급보다 2단계 이상 떨어졌을 때는 취약점 개선 대책의 수립 및 이행을 위한 양해각서(MOU)를 금감원과 맺게 된다. 금감원은 매 분기마다 확약서 및 MOU 이행 상황을 살펴 IT 감독 강화에 나선다.

IT 평가등급은 금융기관 경영실태평가에도 반영된다. 구체적으로 경영실태평가 세부항목 중 경영·위험관리 평가 시 IT 부문 평가 결과가 최소 20% 이상 반영된다. IT 부문에서 4등급 이하를 받으면 다른 부문이 아무리 뛰어나도 경영평가에서 2등급 이상을 받을 수 없다. 금융기관 평가등급은 우수·양호·보통·취약·위험 등 총 5단계로 나뉜다.

특히 금융기관들은 IT 부문 인력(상주 외주인력 포함)을 총 임직원의 5% 이상 뽑아야 한다. IT 정보보호(보안) 인원도 전체 IT 인원의 5% 이상 확보해야 한다. 금감원에 따르면 지난 3월말 현재 IT 인원 대비 보안 인력 비중(외주인력 제외)은 은행이 2.8%로 가장 낮고 이어 생명보험사 6.5%, 증권사 6.6%, 카드사 7.5%, 손해보험사 9.4% 수준이다. 은행권이 유일하게 기준치를 밑돌고 있다. 금융위는 새 감독규정을 고시한 뒤 2년이 지난 시점부터 이 기준을 적용토록 했다. 내달 초에 새 규정이 확정되면 2013년 9월 초부터 IT 인력 비중을 기준에 맞춰야 하는 것이다.

정보보호 관련 예산(인건비 포함)도 전체 IT 예산의 7% 이상 배정해야 한다. 적용 시점은 내년부터다. 올해 금융기관들의 전체 IT 예산에서 정보보호 예산(인건비 제외)이 차지하는 비중은 카드사가 3.3%로 가장 낮았고 은행 4.3%, 손해보험사 4.6%, 생명보험사 5.5%, 증권사 6.6% 등 순이었다. 인건비가 빠져 산출 기준이 다르긴 하지만 인건비를 포함해도 여전히 기준치를 밑돌 것으로 보인다. 지난 4월 사상 최악의 전산장애로 복구에 한달 가까이 걸렸던 농협의 경우 IT 보안 투자가 총 IT 예산의 1%대에 불과했다.

또한 금융기관들은 정보처리시스템 및 전자금융 업무를 전담하는 조직을 만들어야 하고 전산 인력의 자질 향상 및 예비 인력 양성을 위한 교육·연수 프로그램도 운영해야 한다.