금융보안원, 3000여개 금융사 정보보호 상시평가 실시

금융보안원은 개인신용정보 보호 실태를 점검하기 위해 신용정보법에 따라 3000여개 금융회사를 대상으로 ‘2026년도 정보보호 상시평가’를 4월부터 실시한다고 28일 밝혔다.

정보보호 상시평가는 금융회사 등이 자체 점검한 개인신용정보 보호 실태를 금융보안원이 확인해 금융위원회에 송부하는 제도다. 점검 결과는 금융당국 검사 등에 활용된다. 주요 점검 내용은 개인신용정보 활용, 보유·삭제, 권리보장, 관리적 보호조치 등이다. 이 제도는 2021년부터 시행됐다.

금융보안원은 올해 금융회사의 전반적 점검을 강화한다. 최근 보안 사고와 관련된 8개 평가항목에는 강화된 판단 기준을 적용한다. 중점 점검 항목은 ▲접근권한·접속기록 ▲개인정보 암호화 ▲이상행위 감독 ▲출력 최소화 ▲취약점 점검 ▲침입탐지·차단 ▲백신 관리 ▲수집·동의다. 실제 이행 여부와 사후 조치 관리도 확인한다.

일부 금융회사에는 현장점검을 시범 실시한다. 보안사고가 발생하면 평가 감점 기준을 적용하고 현장 교육도 확대한다. 개인신용정보 보유량이 많지만 보안 수준이 취약할 수 있는 대부업권은 정밀 평가 대상으로 삼는다.

금융보안원은 대부업권이 개인신용정보처리시스템 전반에 대해 전자금융거래법 등에 따른 취약점 분석 평가를 수행하지 않고 있다고 설명했다. 취약점 분석 평가는 시스템과 서비스의 보안 약점을 찾아 개선하는 절차다.

내년부터는 모의해킹 평가항목을 신설한다. 금융보안원은 모의해킹 결과를 평가에 비중 있게 반영하고, 올해 시범 실시한 현장점검 성과를 분석해 본격 도입할 계획이다. 모의해킹 실시 대상과 요건 등 세부 기준은 올해 설명회를 통해 안내한다.

박상원 금융보안원 원장은 “개인신용정보 보호는 금융회사의 핵심 비즈니스 영역이자 금융소비자 보호의 출발점”이라며 “정보보호 상시평가의 내실을 강화해 금융회사의 자율적 역량을 확보하고 금융권의 개인신용정보 보호 수준을 높일 수 있도록 조직 확대와 인력 확충 등 지원을 지속하겠다”고 말했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network