"금융회사 IT 자율성 보장하되 사고시 엄중 책임"… 금감원, 올해 디지털·IT 감독방향 핵심

실시간
뉴스

뉴스

"금융회사 IT 자율성 보장하되 사고시 엄중 책임"… 금감원, 올해 디지털·IT 감독방향 핵심

디지털데일리 발행일 2025-02-28 07:00:00

박기록 기자

URL복사

[디지털데일리 박기록기자] “금융회사에 대한 ‘원칙’ 중심의 자율규제가 확대되지만 그에 따른 기본적 내부통제 소홀에 따른 IT사고의 위험 또한 증가될 우려가 크다”

금융감독원이 27일 공개한 ‘2025년 금융권 디지털 ·IT부문 감독 방향’은 금융회사의 자율보안 체계를 강조했지만 그에 못지않게 증가될 IT리스크에 대한 걱정도 동시에 부각됐다.

‘원칙’ 중심의 자율규제라는 것은, 쉽게말해 금융회사에 대한 이런 저런 규제를 대폭 줄여주는 대신 IT 금융사고 발생시 그 결과에 대한 책임은 엄중하게 묻겠다는 의미다.

기존에는 금융회사가 전자금융감독규정 등에 규정된 내용을 준수했다면 사고가 나더라도 면책을 받을 수 있었다.

하지만 이제는 규제를 줄여주고 자율성을 강화하는 대신 사고시 책임을 강화하는 일종의 ‘네거티브’ 규제 방식이다. 금감원은 이를 ‘자율보안-결과책임 원칙에 입각한 신디지털금융 규제 체계’의 구축으로 정의했다.

‘생성형 AI’ 적용 급증, 오픈 소스 적용 확대, 외부 클라우드 환경 확대에 따른 제3자 리스크의 증가, 마이데이터2.0 시행에 따른 개인정보유출 사고 위험성 증가 등 기존의 전자금융감독규정으로는 도저히 감당할 수 없는 수준의 물리적 변화가 일어나고 있기 때문에 이같은 ‘네거티브’ 방식으로의 금융 규제 변화는 불가피한 것으로 평가된다.

물론 그렇다고 금감원이 디지털IT부문에서 아예 손을 놓는다는 의미는 아니다. 오히려 그럼으로인해 더욱 핵심 분야에 대한 집중적인 검사가 이뤄질 것임을 예고하고 있다.

이와관련 금감원은 올해 디지털IT부문 감독 방향과 관련, ▲금융분야 AI활용 촉진 및 혁신금융 생태계 조성, ▲마이데이터2.0 안착 지원 및 관련 전산 인프라구축, ▲경직된 IT규제 개선 및 디지털 거버넌스 확립에 나서겠다고 밝혔다.

먼저 AI와 관련해선, 금융권의 AI에 대한 도입 열기를 고려해 금융부문 AI규율체계를 마련하고, 금융규제 샌드박스 지원도 강화한다는 방침이다. 이를위해 AI위험관리 방안의 수립, 금융분야 통합AI 가이드라인 제정지원, 중소형 금융회사를 위한 금융특화 언어모델 등 AI개발을 위한 금융권 공동AI플랫폼 구축 지원등에 나선다.

마이데이터2.0 조기 안착을 위한 자문지원, 제도 운영에 필요한 전산인프라 구축도 단계적으로 추진한다. 관련하여 마이데이터2.0 시행에 따른 대면영업 허용, 정보요구 철회권 도입등 안착 등을 지원하고 청소년(14~19세) 전용API개발, 대면영업에 필요한 인증서개발 등을 지원한다.

'경직된 IT규제 개선 및 디지털 거버넌스 확립'과 관련해선, ‘원칙’ 중심의 전자금융감독규정 해설서 마련과 외부 연계서비스의 네트워크 보안규제 개선 방안 마련, 사이버위협 24/365 관제 체계의 구축 등을 제시했다.

특히 금융IT 보안 리스크에 대응하기위해 금감원은 금융위 및 금융보안원 등 정보보안 유관기관과 연계해 최신 공격 패턴 등을 실시간 공유해 적기대응하는 체계를 구축하고, 전 금융권 블라인드 모의해킹 훈련 정례화, IT침해 사고에 대응한 ‘사이버 복원력 강화’를 유도하겠다고 밝혔다.

한편 올해 금융권 디지털IT 부문 검사방향과 관련해, 금감원은 ▲금융데이터 산업의 전전 경영 및 시장질서확립(개인신용정보 목적외 이용 등 소비자 권익을 침해하는 불건전 영업행위에 대한 중점 점검 등), ▲중층적 IT내부통제 체계구축 및 사전예방적 검사 강화(금융회사 IT운영 통제 역량을 강화하고 선제적 검사를 실시함으로써 사고 개연성을 차단)하겠다는 방침이다.

또한 ▲잠재력 IT리스크 관리 강화 및 디지털 운영 및 복원력을 제고를 위해 IT리스크 부석결과 고위험사를 집중 검사하겠다고 밝혔다. 특히 IT복원력 강화를 위한 재해복구센터 실효성 확보를 위해선 은행권 재해복구센터 구조개선, 중대 IT사고 대응체계 개선에 나설 계획이라고 밝혔다.