초소형 해킹 스파이칩까지 등장…금감원 “IT 내부통제 사고 재발 시 엄정 조치”
2026.06.29
헤럴드경제
금감원, 전자금융 수행 491개사 대상 비대면 회의
상반기 현장점검 결과·하반기 중점 점검 방향 공유
자율시정 지원…전사 노력 기업엔 제재 감면 검토
![금융감독원은 전자금융사고 다발 회사를 대상으로 컨설팅을 실시하는 한편, 전사적 개선 노력을 기울인 회사에게 제재 감면 등 인센티브를 검토한다. 반대로 자율시정을 형식적으로 수행하거나 유사 사고 재발 시 엄정 조치하겠다고 경고했다. [게티이미지뱅크]](https://wimg.heraldcorp.com/news/cms/2026/06/29/news-p.v1.20260513.163b23a408774805bf866b87540a91af_P1.jpg)
금융감독원은 전자금융사고 다발 회사를 대상으로 컨설팅을 실시하는 한편, 전사적 개선 노력을 기울인 회사에게 제재 감면 등 인센티브를 검토한다. 반대로 자율시정을 형식적으로 수행하거나 유사 사고 재발 시 엄정 조치하겠다고 경고했다. [게티이미지뱅크]
생성형 인공지능(AI) 활용 확대와 사이버 공격 고도화에 대응해 금융권의 전자금융사고 대응 역량과 IT복원력을 끌어올리기 위해 나섰다.
금감원은 29일 전자금융업무를 수행하는 491개 금융회사 등을 대상으로 ‘금융IT 리스크 대응회의’를 비대면으로 개최했다고 밝혔다. 대상은 ▷은행 ▷보험 ▷금융투자 ▷저축은행 ▷여신금융 ▷신용정보 ▷상호금융 ▷전자금융업자 등 전자금융업무를 수행하는 금융사가 포함됐다.
최근 전산장애와 침해사고가 지속 발생하는 가운데 생성형 AI 활용 확대는 물론, 사이버 공격 고도화 등으로 금융회사의 사고대응 역량과 IT 내부통제 강화 필요성이 커지고 있다. 지난 3월 개최한 ‘디지털·IT부문 금융감독 업무설명회’에서도 금융권 사고의 상당수가 첨단 해킹 기술보다 기본적인 보안 원칙과 내부통제 미준수에서 비롯됐다고 지적한 바 있다.
금감원은 이날 회의에서 상반기 현장점검·상시감시 결과와 하반기 중점점검 방향을 공유하고, 전산시스템 안전성과 서비스 연속성 제고를 위한 대응방안을 논의했다. 상반기 IT기본통제 이행 실태를 점검한 결과, 프로그램 변경관리와 성능관리 등 기본적인 IT 통제가 미흡한 사례가 다수 확인됐다.
이에 금감원은 ▷전산장비 취약점 패치와 접근권한 관리 강화 ▷보안취약점 분석·평가의 대상과 기준 명확화 ▷노후 축전지 교체 등 전원설비 안전성 강화 ▷비인가 무선통신망 점검을 통한 무선망 악용 차단 ▷전자금융사고 발생 시 보고절차 준수 등 5가지 유의사항을 안내했다.
특히 전산장비에 초소형 무선 스파이칩을 무단으로 심어 무선주파수(RF) 통신으로 내부시스템에 침투하거나 데이터를 탈취하는 신종 보안 위협에 대한 경계도 당부했다. 금감원은 전산장비 도입·반입 시 무선백도어 설치 여부를 확인하고, 서버와 단말기 등에 대한 이상징후 모니터링을 강화해야 한다고 설명했다.
금감원은 하반기 IT기본통제 이행 실태를 중점적으로 점검하고, 전산센터 화재 예방을 위한 전원설비 운영 실태도 함께 살펴볼 계획이다. 최근 발생한 전자금융사고는 프로그램 변경 시 영향도 분석 미흡, 장비 작동 불능과 통신회선 단절, 방화벽 등 시스템 변경 작업 중 부주의 등에서 비롯된 경우가 많았다는 게 금감원의 설명이다.
아울러 지난 4월 20일 전자금융감독규정시행세칙 개정으로 예외적으로 허용된 클라우드 기반 사무관리·업무지원용 소프트웨어(SaaS)의 정보보호 의무 준수 실태도 점검할 예정이다.
금감원은 AI 전환 등으로 규제가 완화되는 흐름일수록 금융회사가 스스로 취약 요인을 점검하고 개선하는 IT내부통제 체계가 더욱 중요해지고 있다고 강조했다. IT조직이 내부통제 방안을 수립·이행하고, IT조직 내 자체감사인이 적정성을 자체 점검한 뒤, 감사조직의 IT감사인이 고위험 영역을 감사하는 3단계 체계를 갖춰야 한다는 설명이다. 하반기 금융사 자율점검이 다수 예정된 만큼 최고경영자(CEO) 등 경영진의 책임 아래 전사적 자율시정 체계를 갖추라고 당부했다.
출처 : 헤럴드경제