SBS Biz

보험업권에 이어 금융투자업권에서도 '제3자 리스크 관리'가 도입됩니다. 내년 상반기부터는 증권사들이 개인정보 유출·전산오류 등의 책임을 외주사나 IT 위탁사에 돌릴 수 없게 됩니다.

오늘(16일) 금융투자업계에 따르면 금융투자협회는 내년 2월 18일부터 금융투자회사별로 외주사에 대한 '제3자 리스크 관리 모범규준'을 시행할 예정입니다. 이달 보험업권에 이어 두 번째로 제3자 리스크 관리 체계가 도입됩니다.

이번 가이드라인은 금융투자회사가 업무를 위탁하는 각종 외부 사업자를 폭넓게 관리 대상으로 삼고 있습니다. 구체적으로 모바일트레이딩시스템(MTS) 개발·운영을 맡은 SI업체를 비롯해 클라우드 인프라 제공사, 고객센터 위탁사 등도 관리 대상에 들어갈 전망입니다.

가이드라인에 따르면 앞으로 금융투자사업자(위탁사)의 이사회와 경영진이 전사적 리스크 관리의 책임을 지게 됩니다. 제3자 리스크 관리 정책 수립과 감독에 관한 주요 사항을 이사회가 심의·의결하고, 최종 책임은 이사회와 최고경영진이 부담하도록 했습니다.

동시에 위탁계약 단계별로 구체적인 관리 의무도 부과됩니다.

계약 체결 전에는 거래 상대방에 대한 평가와 현장 실사를 실시해야 하고, 계약 체결 단계에서는 업무 수행 범위, 보안 요구사항, 소비자 보호 사항 등을 서면 계약서에 명시해야 합니다. 계약 이행 과정에서는 주기적인 모니터링을 실시하고, 중대한 리스크 징후가 발견될 경우 이를 즉시 경영진에 보고해야 합니다.

아울러 제3자 리스크가 크다고 판단되는 위탁계약은 '중점관리 위탁계약'으로 별도 선정해 관리하도록 했습니다. 이에 따라 리스크 평가 주기를 단축하고, 재난 발생이나 수탁사의 업무 중단 등에 대비한 업무연속성계획(BCP)을 마련해 정기적으로 점검해야 합니다. 

외주사 장애나 해킹 사고가 곧바로 금융사 서비스 중단으로 이어지는 상황을 사전에 차단하겠다는 취지입니다.

앞서 지난 9월에는 자산운용사 30곳이 이용하던 상위 MSP(외주 IT 관리업체) 한 곳이 해킹을 당하면서 고객과 임직원 정보가 유출되는 사고가 발생했습니다. 이같은 사고가 발생할 경우 외주업체뿐 아니라 이를 관리·감독하지 못한 금융투자회사에도 책임이 부과될 전망입니다.

이번 개정은 금융감독원이 지난 3월 '업무위탁에 따른 금융기관의 제3자 리스크관리 가이드라인' 마련 추진을 공식화한 이후 구체화된 후속 조치입니다.

그간 금융감독원은 금융투자회사를 대상으로 일반업무 위·수탁보고를 통해 외주 현황을 관리해 왔습니다. 다만 사후 보고 중심의 체계라는 점과 디지털·간접 리스크까지 포괄적으로 관리하기 어렵다는 한계가 지적돼 왔습니다.

금투협은 "금융 디지털화와 판매 채널의 다변화로 외부 사업자 의존도가 높아진 만큼, 금융투자업자의 제3자 리스크 관리를 한 단계 고도화할 필요가 있다"고 밝혔습니다.