「금융IT 안전성 강화를 위한 가이드라인」의 법적 성격은?

[너구리]

231108 (보도자료) 1400_금융IT 안전성 강화를 위한 가이드라인을 마련하였습니다.hwp

224.00KB

붙임2

가이드라인 관련 질의 및 답변사례(FAQ)

󰊱 「금융IT 안전성 강화를 위한 가이드라인」의 법적 성격은?

□ 금번 시행되는 가이드라인은 IT검사 지적사례 및 업계 모범사례(Best Practice) 등을 취합하여 마련‧권고한 것으로

◦행정지도 등 금융 규제에 해당하지 않아 법적 구속력은 없음

□ 다만, 3개 가이드라인 모두 각각 전자금융감독규정에서 세부적으로 정하고 있지 않은 사항에 대해 안내하고 있어

◦가이드라인 자체는 법적 구속력이 없다 하더라도 가이드라인 미준수 상태가 규정위반으로 이어질 경우 행정처분을 받을 수 있음

< 가이드라인 및 관련 전자금융감독규정 >

가이드라인	전자금융감독규정
전산시스템 성능관리 가이드라인	제25조(정보처리시스템의 성능관리)
IT부문 비상대책 수립·운용 가이드라인	제23조(비상대책 등의 수립ㆍ운용)
프로그램 통제 가이드라인	제29조(프로그램 통제)

󰊲 성능관리 가이드라인에서 제시하는 임계치 수치를 변경하여 적용할 수 있는지?


예시) CPU 정상 임계치 60% 미만 → 50% 미만, 또는 60% 미만 → 70% 미만

□ 해당 수치는 금융업권에서 운용중인 사례를 참고하여 예시로 제시한 것으로,

◦임계치의 세부적인 구현 방식에 있어서는 금융회사의 상황별, 시스템 별로 차등화하여 적용할 수 있으며,

◦임계치 그 자체보다는 일부 금융회사에서 CPU 등 전산자원별 임계치를 초과하는 경우에도 별도 대응방안을 마련하지 않는 경우가 있어 이에 대한 개선을 유도하는 취지임

󰊳 성능관리 가이드라인에서 ‘대형이벤트’의 기준은?

□ 공모주 청약 및 상장, 신규 서비스 개시, 대고객 이벤트 시작 등 이용자가 단기간 급증할 수 있는 이벤트에 대해

◦금융회사가 이벤트 계획 단계에서부터 전산 인프라 측면에서 처리 능력을 준비·검증하자는 취지로

◦금융회사별로 월간 활성이용자수(MAU), 거래규모, 업무 특성 등을 감안하여 대형이벤트의 기준을 자율적으로 내규에 마련토록 하였음

󰊴 ‘대형이벤트’의 기준 등 가이드라인 세부적인 기준을 금융회사가 자율적으로 적용토록 하면, 실효성이 저하 되는 것이 아닌지?

□ ’24년중 서면 점검 등을 통해 금융회사의 가이드라인 준수실태를 점검하여

◦형식적인 기준으로 운영하고 있지 않는지 살펴보는 등 실효성 확보를 위해 지속적으로 노력할 계획임

□ 아울러, 가이드라인 시행 후 운영 과정에서 확인된 개선 필요 사항에 대해서는

◦협회·중앙회와 협의하여 지속적으로 개선할 계획임

󰊵 ‘프로그램 통제 가이드라인’ 중 검증 조직 관련, 경력 10년 이상의 개발자의 수가 많지 않고 IT인력이 부족한 회사도 있어 별도 조직을 구성하기 어려울 것으로 예상되는데, 해당 항목 준수가 가능한지?

□ 금융회사 의견 수렴 결과 IT개발 관련 인력이 부족하여 해당 항목 준수가 어렵다는 의견도 많아

◦CIO 등 개발담당 임원의 승인하에 기존 조직내 업무 분장 변경을 통해 검증 담당 인력을 지정 가능토록 허용하는 등 예외 조항을 포함하였음

󰊶 ‘프로그램 통제 가이드라인’에서 테스트 자동화솔루션을 도입토록 규정하고 있는데, 도입 대상 및 적용 범위는?

□ 테스트 자동화 솔루션을 적용해야 하는 대상 및 범위에 대하여 각 금융회사가 자율적으로 판단하여 적용할 수 있음