금융기관의 IT 아웃소싱 리스크 관리 강화를 위한 국제적 움직임 | 자본시장포커스 | 발간물 | 자본시장연구원
ENG

발간물

자본시장포커스

금융기관의 IT 아웃소싱 리스크 관리 강화를 위한 국제적 움직임
2020 11/23
금융기관의 IT 아웃소싱 리스크 관리 강화를 위한 국제적 움직임 2020-25호 PDF
요약
□ 금융기관의 IT 아웃소싱이 증가하면서 국제적으로 제3자 리스크(Third party risk) 문제가 대두됨
□ 최근 FSB는 아웃소싱 및 제3자와의 관계에 관한 규제 및 감독 문제를 다룬 보고서에서 회원국의 금융기관 IT 아웃소싱 관련 관리ㆍ감독 방법을 제시하며 향후 리스크 관리 강화를 위한 방안을 모색하고자 함
□ 국내의 경우 최근 금융기관의 업무 위탁 범위를 확대하는 내용의 자본시장법 개정이 이루어졌고 제3자 리스크 감독을 강화하는 법 개정이 추진 중으로 IT 아웃소싱 관련 국제적 논의를 참조할 필요가 있음
□ 국제적으로 금융기관의 IT 아웃소싱이 증가하면서 최근들어 아웃소싱 업체를 경유한 사이버 공격과 보안 문제가 중요 리스크로 대두됨
─ IT 아웃소싱은 전문적인 기술로 특화된 제3자(third party)에게 업무를 위탁함으로써 맞춤형 서비스 제공 및 비용 절감, 내부 프로세스 개선 등의 이점이 있지만, 제3자에게 위탁하는데서 오는 리스크 발생 가능성의 문제가 있음
─ 특히, 올해 COVID-19의 확산으로 원격업무 증가와 정보통신기술((Information and Communications Technology: ICT) 서비스 제공이 늘어나면서 금융기관의 제3자 업체에 대한 의존도가 높아짐에 따라 제3자 리스크(third party risk) 발생 가능성이 확대됨
• IT 부문에 대한 아웃소싱에 의존하는 금융기관이 증가하면서 아웃소싱 업체의 리스크 전가 문제가 있으며, 소수의 제3자 업체가 여러 금융기관의 IT 아웃소싱을 담당하는데서 나타나는 집중리스크 문제(concentration risk)가 우려됨
─ 2020년 6월 영국 금융감독청(Financial Conduct Authority: FCA)은 독일의 Wirecard AG에게 회계부정을 이유로 서비스 중단조치를 내려 이용 고객들이 피해를 입는 사례가 발생함1)
• 1999년 설립된 Wirecard는 이케아, FedEx, 싱가포르항공 등과 제휴하여 전자결제서비스를 제공하며 급속도로 성장하던 핀테크 기업 중 하나였으나, 지난 6월 19억유로의 자산을 허위 계상하는 분식회계가 밝혀지면서 파산함
• Wirecard의 영업 중단은 제3자의 결제 서비스에 의존하는 핀테크 인프라의 약점을 대변하는 사건으로 서비스를 받는 여러 고객이 피해를 입게 되는 집중리스크(concentration risk) 우려가 예상됨2)
  
□ 최근 금융안정위원회(Financial Stability Board, 이하 FSB)는 금융기관의 아웃소싱 및 제3자와의 관계에 관한 규제 및 감독 문제를 다룬 보고서를 발표함3)
─ FSB 보고서에서는 회원국을 대상으로 2020년초 실시한 설문조사에서 금융기관의 IT 아웃소싱 및 제3자와의 관계에 대한 현행 규제와 관리ㆍ감독 방법에 대한 문제점을 제시함
─ 조사 결과, 현재 대상 국가들이 공통적으로 직면하고 있는 문제점으로는 금융기관의 아웃소싱 리스크 관리 역량 부족, 제3자가 해외 업체인 경우 국가 간 적용하는 규제가 상이한 문제 및 소수의 제3자 서비스 제공에 집중되는 문제 등이 있음
  
 
 
□ FSB는 보고서에서 금융기관의 IT 아웃소싱 리스크 관리ㆍ감독을 위한 각국의 감독당국이 기대하는 사항을 고려하여 효과적인 감독 요건을 제시함
─ 금융기관은 아웃소싱 및 제3자와의 관계에 의한 리스크를 관리하는 정책을 마련하고 역량을 강화해야 함
• 금융기관은 아웃소싱 서비스를 받는 제3자 업체 선정 시 실사(due diligence)를 실시하고, 이에 대한 감독의 의무를 이행해야 하며, 이사회는 아웃소싱 관리ㆍ감독 정책을 면밀히 검토해야 함
• 금융기관 및 감독당국이 제3자에 대해 감사를 실시할 수 있고, 감독의 권리가 법률에 의해 보장되어야 함
• 제3자 업체의 공급망이 복잡할수록 금융기관 및 감독당국의 리스크 관리가 어려워지기 때문에 아웃소싱 계약 시 금융기관의 관리ㆍ감독권리가 공급망 전체에 보장될 수 있도록 하는 것이 중요함
─ 국가별로 금융기관의 아웃소싱 및 제3자와의 관계에 대한 규제가 상이한 문제에 대해서는 그 차이를 완화시키기 위한 방안에 대해 지속적인 논의가 이루어져야 함
─ 마지막으로 소수의 아웃소싱 업체가 공급하는 IT서비스를 여러 금융기관이 공유하는 경우 발생하는 집중리스크에 대한 대응을 강화해야 함
• 중요한 IT 서비스를 여러 금융기관에 제공하는 제3자 업체에서 영업 중단이 발생하는 경우 관련 금융기관의 금융안정, 건전성 등에 잠재적인 악영향을 미칠 수 있음
• 따라서 금융기관은 영업 중단으로 인해 특정한 제3자 서비스의 대체가 어려운 경우를 대비한 전략을 수립하고, 금융기관이 제3자의 리스크에 크게 영향받지 않도록 공급업체에 대한 리스크 관리가 필요함
  
□ 국내의 경우 그동안 금지되었던 금융기관의 핵심업무에 대한 아웃소싱을 허용할 계획이며, 아웃소싱 관련 리스크 관리ㆍ감독을 강화하는 방안도 추진 중임
─ 올해 4월 자본시장법이 개정되면서 금융기관의 자율성과 책임성을 높이는 방향으로 내부통제 업무를 제외한 본질적 업무에 대해서는 위탁 규제가 완화됨4)
• 우리나라는 지금까지 핀테크 활성화 추세에도 불구하고 금융기관의 업무 위탁과 관련하여 필수업무 중 상당한 부분에 대하여 제3자 위탁이 전면적으로 금지되어 있었고 재위탁도 원칙적으로 금지됨
• 하지만 법개정을 통해 금융기관이 제3자에게 위탁 가능한 업무 범위를 확대하여 매매주문의 접수, 전달, 집행 및 확인 업무를 IT 기업에 위탁할 수 있도록 하고, 재위탁도 원칙적으로 허용함5)6)
─ 또한 지난 7월에는 금융위원회가 디지털 금융 활성화 및 금융보안 강화 추진을 위해 ‘디지털금융 종합혁신방안’으로 금융기관의 IT아웃소싱에 따른 제3자 리스크 관리 감독를 강화하겠다고 발표함7)
• 클라우드 컴퓨팅과 같은 금융기관의 IT 아웃소싱이 확대됨에 따라 클라우드 사업자 등 주요 전자금융보조업자(third party)에 대한 직접적인 모니터링을 할 수 있는 법적 근거를 마련할 계획임
• 또한 금융기관과 제3자 간 책임 분담을 위한 아웃소싱 관련 규제를 정비하고자 함
─ 이와 같이 최근 금융기관의 업무 위탁 가능 범위가 확대되고 리스크 관리 감독을 위한 방안이 마련되고 있는 가운데, 발생가능한 리스크 문제를 파악하고 관리ㆍ감독을 하는데 있어 국제적 논의를 참조할 필요가 있음
 
1) Wirecard AG는 독일의 전자결제업체로 2004년 말 독일 IT 업체에 인수된 뒤 디지털 금융의 선두 기업으로 급부상하였고, 2017년 미국 시티은행의 선불카드 사업을 인수하였으며 2018년엔 주가가 200유로를 웃돌면서 한때 독일 금융 산업을 상징하는 도이체방크의 시가총액을 넘어설 정도로 대표적인 핀테크 기업으로 성장함
2) Financial times, 2020. 9. 30, Wirecard’s collapse exposes gap in payments regulation.
3) FSB, 2020, Regulatory and Supervisory Issues Relating to Outsourcing and Third-Party Relationships.
4) 금융위원회, 2020. 4. 29, 금융투자업자의 정보교류차단(차이니즈월) 규제체계 개편 등「자본시장법」개정안 국회 본회의 통과, 보도참고자료.
5) 금융위원회, 2019. 5. 27, 금융투자업 영업행위 규제 개선방안, 보도자료.
6) 자본시장과 금융투자업에 관한 법률 제42조(2021년 3월 25일부터 시행)
7) 금융위원회, 2020. 7. 26, 디지털금융 종합혁신방안, 보도자료.