IT 내부통제 강화의 필요성 [태평양의 미래금융]

금융권 IT 리스크, '거버넌스 문제'로 격상
실효적 내부통제 체계 갖춰야

한경 로앤비즈의 'Law Street' 칼럼은 기업과 개인에게 실용적인 법률 지식을 제공합니다. 전문 변호사들이 조세, 상속, 노동, 공정거래, M&A, 금융 등 다양한 분야의 법률 이슈를 다루며, 주요 판결 분석도 제공합니다.

금융감독원은 2026년 3월 4일 「2026년도 디지털ㆍIT부문 금융감독 업무설명회」를 개최하여 2026년도 디지털ㆍIT 분야에 대한 감독검사 방향을 제시하였다. 이번 발표의 가장 중요한 메시지는 감독의 무게중심을 단순한 사후 점검에서 탈피하여 IT 리스크를 조기에 식별하고 신속히 대응하는 사전예방 중심으로 전환하겠다는 것이다. 이를 통하여 궁국적으로는 금융소비자들이 안심하고 거래할 수 있는 디지털 금융환경을 조성하겠다는 것으로 보인다.

금감원 'IT리스크 상시점검' 쟁점은

보다 구체적으로, 금감원은 금융보안 통합관제시스템(FIRST)을 통해 보안위협에 체계적으로 대응하고, 전자금융기반시설의 취약점 분석·평가의 실효성을 높이며, IT리스크 상시점검과 고위험사 선별·집중관리를 추진하겠다고 밝혔다. 아울러 전 금융권의 IT 내부통제 체계를 확립하겠다는 방향 아래, 최근 IT사고를 유발한 5대 IT 기본통제(보안패치, 계정관리, 보안정책, 이용자 정보보호, 프로그램 통제)의 실태를 자체점검하게 하고, 고위험사를 대상으로 수시검사를 실시할 계획이다.

이와 함께 디지털 복원력(Resilience) 강화의 중요성도 강조되었다. 합동 재해복구 전환훈련 확대, 블라인드 모의 해킹, 버그바운티 제도 활용 등을 통해 보안 취약점을 선제적으로 발굴하는 등 비상 대응 훈련의 내실화를 추진한다. 금융회사 입장에서는 이제 사전에 실효성 있는 내부통제 체계를 구축하여 사고를 방지함은 물론, 훈련을 통해 확인된 취약점을 즉각 보완하는 능동적 조치가 필수적인 과제가 됐다.

법적 책임 강화...경영리스크 부상한 'IT 안정성'

주목해야 할 점은 이러한 감독 기조가 단순한 행정 지도를 넘어 법적 책임의 강화로 이어지고 있다는 사실이다. 감독 당국은 전자금융거래법 개정을 통해 거래 안정성 확보 의무의 최종 책임자를 대표이사(CEO)로 명시하고, 대형 사고 발생 시 징벌적 과징금을 부과하며, 취약점 보완 조치 미이행 시 이행강제금을 부과하는 방향을 추진 중이다. 이는 IT 안정성 문제가 실무 부서의 운영 리스크를 넘어 경영진의 책임과 직결되는 ‘거버넌스 리스크’로 격상되고 있음을 의미한다.

이러한 기조는 금융감독원이 2026년 4월 1일 인터넷은행 및 계열 증권사 CIO를 대상으로 개최한 점검회의에서도 확인된다. 금감원은 당시 인터넷은행 등이 고객수 및 거래량 증가에 비례한 IT리스크에 선제적으로 대응하도록 하면서, 프로그램 변경 시 사전 영향도 분석, 테스트 등의 기본적인 내부통제 체계를 구축 및 준수하고, 문제 발생 시 실효성 있는 비상대응 계획이 작동될 수 있도록 점검할 것 등을 요구하였는데, 이러한 내용은 앞서 살펴본 감독검사 방향과 서로 상통하는 측면이 있다.

현재도 금융회사들은 자체적인 IT 내부통제를 위한 시스템을 두고 있으며, 재해복구 훈련 등도 꾸준히 실시해오고 있다. 그럼에도 불구하고 IT 관련 사고가 지속적으로 발생하는 것은, 여전히 IT 관련 내부통제 강화 노력이 필요하다는 점을 시사하는 것으로 볼 수 있을 것이다.

특히, 최근의 IT 관련 사고는 그 여파가 연관 서비스로 확산되는 등 파급 효과가 크다는점에서, 금융감독당국의 발표를 일시적인 정책 발표로 볼 것이 아니라, 변화된 감독 환경 하에서의 IT 내부통제 강화의 계기로 삼을 필요가 있어 보인다.

법무법인 태평양의 미래금융전략센터(센터장: 한준성 고문)는 2024년 5월 출범하여, 금융권 디지털 혁신 가속화와 금융 기술 발전에 발맞춰 가상자산·전자금융·규제대응·정보보호 등 금융 및 IT 분야 최정예 전문가들로 진용을 구축하고 있다.