금융보안원, 3000개 금융사 대상 ‘2026 정보보호 상시평가’ 가동

접근권한 및 암호화 등 8개 취약 항목 대상 실제 이행 여부 검증
현장점검 시범 실시 및 대부업권 정밀 평가... 보안 사각지대 차단

[보안뉴스 조재호 기자] 금융보안원은 금융권 개인신용정보 보호 실태를 점검하기 위해 3000여개 금융사를 대상으로 ‘2026년도 정보보호 상시평가’를 실시한다고 28일 밝혔다.

▲정보보호 상시평가 주요 변경 사항 [출처: 금융보안원]

정보보호 상시평가는 금융사가 신용정보법에 따라 자체 실시한 점검 결과를 금융보안원이 검토해 금융위원회에 송부하는 체계다. 평가 결과는 금융당국의 검사와 감독 업무에 활용되며, 금융권 전반의 개인정보 보호 수준을 높이는 법적 요구사항으로 자리매김해 왔다.

올해 평가의 핵심은 깐깐해진 점검 기준과 현장 밀착형 검증이다. 금융보안원은 최근 연이어 발생한 보안 사고와 직결된 8개 평가 항목인 △접근권한 및 접속기록 △개인정보 암호화 △이상행위 감독 △출력 최소화 △취약점 점검 △침입탐지 및 차단 △백신 관리 △수집 및 동의 등에 대한 실제 이행 여부와 사후 조치를 중점 점검한다.

서면 제출 자료에만 의존하던 기존 관행을 보완하기 위해 일부 금융사를 대상으로 현장 점검도 시범 실시한다. 보안 사고가 발생하면 엄격한 감점 기준을 적용하고 현장 교육도 확대해 실무 부서의 경각심을 높일 방침이다.

방대한 개인신용정보를 보유했지만, 상대적으로 보안 투자가 미흡한 대부업권에 대한 정밀 평가도 추진된다.

금융보안원은 내년부터 ‘모의해킹’ 평가항목을 신설해 상시평가 결과에 비중 있게 반영할 계획이다. 금융보안원은 올해 안으로 모의해킹 실시 대상과 요건 등 세부 기준을 마련해 설명회를 개최할 예정이다.

박상원 금융보안원장은 “개인신용정보 보호는 금융사 핵심 비즈니스 영역이자 금융소비자 보호의 출발점”이라며 “정보보호 상시평가의 내실을 강화해 금융사의 자율적 역량을 확보하고, 금융권의 보호 수준을 높일 수 있도록 조직 확대 및 인력 확충 등 지원을 지속하겠다”고 말했다.