서태종 금감원 수석부원장은 "아시아·태평양 지역의 기업들이 해킹 공격을 알아차리기까지 글로벌 평균인 146일보다 3배나 늦게 인지하고 있다"며 "사이버보안을 확보하기 위해 내부감사인이 금융사 정보보안 체계를 독립적으로 재평가해야 한다"고 밝혔습니다.
20일 서태종 금감원 수석부원장은 금융감독원 대강당에서 열린 금융사 내부감사인을 대상으로 한 `IT내부통제 강화를 위한 워크샵` 모두발언을 통해 "최근 한 글로벌 보안업체의 연구보고서에 따르면 미국과 중국을 제외한 아시아·태평양 지역의 기업들이 해킹 공격을 인지하는 데 평균 520일이 걸리고 이는 글로벌 평균보다 3배나 늦는 것"이라며 이 같이 밝혔습니다.
서태종 수석부원장은 "최근 핀테크를 중심으로 급속하게 진행중인 금융혁신이 성과를 거두기 위해서는 사이버보안이라는 기반이 필요하다"며 "기본적인 사이버 침해사고에 대응할 기술과 전문성 부족이 해킹에 대한 지각 인지의 주된 요인"이라고 지적했습니다.
서 수석부원장은 "사이버보안을 확보하기 위해 내부감사인의 금융사 정보보안 체계를 독립적으로 재평가하고 발견된 문제점을 즉시 개선하도록 경영진과 소통해야 한다"고 강조했습니다.
금감원은 IT부문에 대한 검사와 감독과 관련해 적발과 제재에서 벗어나 위험요인을 중심으로 내부통제를 강화하고 미흡한 부분을 보완하도록 지도하는 데 주력할 방침으로 IT부문의 내부감사협의제도를 개선하는 한편 그 대상을 2015년 38개사에서 2016년 45개사로 확대하는 등 자체 내부감사·시정활동을 강화하도록 해 왔습니다.
금감원은 이번 IT내부통재 강화를 위한 워크샵에서 그동안 실시한 프로그램 통제와 IT감사실태 점검 결과 발견한 주요 미흡사항과 함께 우수사례를 공유했습니다.
우수 사례로는 IT감사 부문에 삼성생명이 IT리스크 관리 부문은 SC은행, 프로그램과 원장변경 통제 부문은 삼성화재가, 일괄작업 통제 부문은 대신증권이 선정돼 해당 사례를 발표했습니다.
워크샵에서는 전자금융서비스의 고유 리스크와 내부통제 역량 강화를 위한 다양한 방안이 논의된 가운데 사이버 보안과 내부감사인의 역할의 경우 IT 리스크 관리와 내부감사 부서로 구성된 3단계 방어선 구축, 내부감사인의 독립적인 사이버 보안 평가체계 도입방안 등이 소개됐습니다.
금감원 관계자는 "금융사 감사부 부서장, IT 감시 담당자 등 300여명이 참석한 워크샵에서는 최근 핀테크를 중심으로 이뤄지고 있는 금융혁신에 효과적으로 대응하기 위해 당국의 일관성 있는 감독 뿐 아니라 금융사의 자율적인 IT내부통제 역량 강화가 필요하다는 데 공감대가 형성됐다"며 "금융권과 공동으로 IT리스크 관리 혁신을 위한 워크샵을 지속 진행해 나갈 계획"이라고 밝혔습니다.
관련뉴스