금융감독원이 금융권 IT 내부통제 강화를 위한 'IT 감사 가이드라인'을 마련했다. 디지털 전환과 IT 신기술 활용이 확대되는 가운데 금융사들의 통제 미흡으로 인한 장애사고 발생을 최소화하기 위한 조치다.

금감원은 13일 서울 여의도 금융투자협회에서 'IT 감사 가이드라인 마련 태스크포스(TF)' 마무리 간담회를 열고 최종안을 발표했다. 이날 행사에는 금융권 7개 협·중앙회 및 금융사 IT 부문 임원이 참석해 업권별 시행 방안을 논의했다.

금감원은 가이드라인을 통해 금융사들이 '3단계 IT 내부통제 체계'를 수립하도록 권고했다. 최근 금융권에서 AI·클라우드 등 디지털 조직이 확장되면서 통제 사각지대가 발생하는 문제를 해결하기 위한 조치다.

IT내부통제체계는 1단계로 IT조직이 내부통제 방안을 수립해 이행하고, 2단계로 IT조직 내 자체감사인을 통해 내부통제 적정성을 점검하며, 3단계로 감사조직의 IT감사인이 제3자 관점에서 IT부문 전반을 감사하는 방식으로 진행된다. 해당 체계를 통해 금융사 내부에서 자체적으로 리스크를 점검하고, 독립적인 감사 조직이 이를 최종 검증하는 방식을 취한다.

금감원은 또한 IT 감사의 독립성을 확보하기 위해 감사 담당자의 직무 분리 기준을 명확히 하고, 필요한 경우 외부 전문가를 활용할 수 있도록 했다.

이번 가이드라인에는 금융사들이 IT 감사 시 준수해야 할 표준 방법론도 포함됐다. 금감원은 과거 IT 검사 지적 사례와 국제 표준을 참고해 주요 절차와 업무 기준을 구체화했다.

금감원은 오는 2월 말까지 금융협회·중앙회를 통해 가이드라인을 각 금융사에 배포하고, 조속한 시행을 유도할 계획이다. 이종오 금감원 디지털·IT 부원장보는 "금융회사 IT 감사는 단순한 점검이 아니라, 디지털 혁신을 안전하게 뒷받침하는 역할을 해야 한다"며 "가이드라인이 금융사의 IT 안전성을 높이고 디지털 경쟁력을 강화하는 기준점이 될 것"이라고 강조했다.

이번 가이드라인은 행정지도나 규제가 아닌 권고사항이지만 향후 금융사의 IT 실태평가 기준으로 활용될 가능성도 있다. 금감원은 금융사의 IT 리스크를 계량 평가해 가이드라인 이행 여부를 점검할 계획이다.

이 부원장보는 "앞으로도 금융협회·중앙회 등 금융업계와 지속적인 소통을 통해 가이드라인에 대한 피드백을 반영하고 부족한 부분은 협의해 개선해 나가도록 하겠다"고 밝혔다.