위탁업체 신용정보유출도 은행 경영진 책임…4월부터 적용

은행연 ‘제3자 리스크관리 모범규준’
금감원 지시 후속…은행, 지침 점검

은행권이 제3자 리스크 관리를 위한 가이드라인을 마련해 4월 1일부터 시행한다. 금융감독원이 보험·카드업권을 중심으로 제3자 리스크 관리 강화를 추진하는 가운데 은행은 감독규정에 이미 반영돼 있어 후순위였지만 최근 정보기술(IT) 아웃소싱은 물론 제휴사업이 대폭 확대되면서 관련 리스크 차단 필요성이 커져 업권을 관통하는 최소한의 대응 기준을 정비했다.

31일 금융권에 따르면 은행연합회는 최근 ‘업무위탁에 따른 은행의 제3자 리스크관리 모범규준’을 제정해 전 사원은행에 공유했다.

이는 금감원이 지난해 3월 각 업권에 제3자 리스크 관리 가이드라인을 만들어 시행하라고 주문한 데 대한 후속 조치로 4월 1일부터 본격 시행된다. 금감원은 금융의 디지털화에 따른 업무위탁 증가로 금융기관의 제3자 의존도가 심화되고 있어 그에 따른 리스크를 효과적으로 관리해야 한다고 강조해 왔다.

은행권도 각종 디지털 업무를 위탁하고 있는데 최근에는 핀테크, 유통, 제조, 통신 등 다양한 업권과 제휴사업도 늘리고 있다. 이에 다른 업체 채널을 통해 상품·서비스를 제공하는 과정에서 개인신용정보가 유출되거나 그 외 사고가 발생하는 등의 리스크를 막는 것은 중요한 과제로 떠오르고 있다.

지난해 12월에는 우체국·저축은행을 활용한 은행대리업 서비스가 혁신금융서비스로 지정됐고 이후 은행대리업 도입 논의가 본격화하면서 그에 따른 내부통제 및 리스크 관리 이슈가 발생할 여지도 있다.

은행연 관계자는 “금감원이 협회별로 제3자 리스크관리 자율규제를 순차 시행하겠다고 밝힌 이후 금감원, 은행들과 세부 사안에 대한 의견을 조율해 왔고 그 결과 모범규준을 만들었다”며 “4월부터 본격적으로 적용한다”고 했다.

모범규준은 모든 은행이 전사적인 리스크관리 프로세스와 통합된 제3자 리스크관리 체계를 구축·시행·유지하는 것을 골자로 한다.

일단 이사회와 경영진의 책임을 분명히 했으며 이사회와 경영진, 1·2·3차 통제체계로 이어지는 리스크 관리 구조를 제시했다. 단위사업 부문의 위험 식별과 독립적인 제3자 리스크 관리 부문의 감시·통제, 내부 감사 차원의 검토가 상호 보완적으로 이뤄지는 방식이다.

계약 단계별 리스크 관리를 위해 수행해야 하는 세부 조항도 명확화했다. 리스크 및 업무중요도가 높은 위탁계약의 경우 중점관리 대상으로 선정해 강화된 리스크 관리 프로세스를 운영하도록 했다.

이번 모범규준 제정을 계기로 주요 은행은 제3자 리스크 관리와 관련한 내부 업무 지침을 재점검했다.

특히 참고자료로 제공된 모범사례를 바탕으로 보완 작업도 진행한 것으로 전해진다.

우리은행 관계자는 “외부 위탁 업무가 워낙 다양하다 보니 리스크를 관리하는 게 중요하다”며 “기존에도 업무 위탁계약 등에 관한 지침이 있었지만 모범규준 내용을 충실히 반영한 보완책을 마련했고 최종 검토 후 4월 1일에 맞춰 시행한다”고 했다.

하나은행 관계자도 “위탁계약에 대해 계약 체결 전 사전위험평가와 계약 체결 후 사후 모니터링 체계를 운영하고 있다”면서 “모범규준상 추가적으로 요구되는 사항은 현재 전산 시스템 구축을 통해 반영하고 있으며 구축 완료 후 시행한다”고 설명했다.

신한은행의 경우 은행연과 모범규준을 제정하는 과정에서 논의 내용을 내부 지침에 미리 반영했다. 신한은행 관계자는 “지난해 12월 말 운영리스크 관리지침에 제3자 리스크 관리 부문을 신설해 반영했고 책무구조도에도 포함했다”며 “향후 지침을 잘 수행할 계획”이라고 강조했다.

KB국민은행도 제3자 리스크 관리 프로세스를 바탕으로 대응을 강화한다. 국민은행 관계자는 “업무 위탁에 따른 리스크를 계약의 수명주기에 맞춰 관리하고 있다”면서 “중점 관리 대상을 선정해 사전 리스크를 평가하고 주기적으로 모니터링하는 등 체계적인 관리를 통해 대응하겠다”고 했다. 김은희 기자