한경 로앤비즈의 ‘Law Street’ 칼럼은 기업과 개인에게 실용적인 법률 지식을 제공합니다. 전문 변호사들이 조세, 상속, 노동, 공정거래, M&A, 금융 등 다양한 분야의 법률 이슈를 다루며, 주요 판결 분석도 제공합니다.
지난 2025년 9월 26일 발생한 국가정보자원관리원 화재로 정부가 운영하던 행정업무 시스템이 중단되었다. 이로 인하여, 민원서류를 발급받거나, 온라인으로 행정처리를 하고자 하였던 많은 국민들이 불편을 겪었으며, 현재까지도 완전히 복구가 이루어지지 못하고 있다. 그런데 당시 발생한 행정업무 시스템 장애는 정부가 제공하는 행정 서비스를 넘어, 행정 서비스 시스템을 활용하여 제공되던 다양한 서비스 분야에도 영향을 미쳤다.금융업권의 경우에도 비대면 신분확인이 어려워지면서 비대면 대출이나 계좌개설 서비스에 한동안 장애가 발생하기도 하였는데, 이는 서비스를 제공하던 금융회사 관점에서는 일종의 제3자 리스크가 현실화된 것으로 볼 수 있을 것으로 생각된다.제3자 리스크는 조직 내부가 아닌, 주변 환경에서 발생할 수 있는 예기치 못한 위험을 의미하지만, 전자금융서비스의 안전성과 관련해서는 통상 비금융 부문에서 발생한 장애, 정보유출 등의 사고가 금융 부문으로 전이되는 리스크를 의미한다.
클라우드 등 IT 기술이 지속적으로 발전하고, 금융회사가 다른 업권과의 업무 제휴 등을 통하여 보다 복합적인 서비스를 제공하기 시작하면서, 금융회사가 업무위탁, 제휴 등 여러 방식으로 다른 업체와 협력하에 서비스를 제공하는 것이 흔한 일이 됐다.
이러한 구조는 고객 편의성, 확정성 등 측면에서 여러 장점이 있으나, 제3자에게 발생한 문제가 금융 부문으로 전이될 가능성이 높아진다는 단점이 있다. 예컨대, 한 외부 위탁업체의 시스템이 해킹당하거나, 장애가 발생하는 경우, 그 여파가 해당 위탁업체의 시스템을 이용하는 금융회사에도 확산될 수 있다. 특히, 클라우드 서비스와 같이 소수의 업체가 여러 금융회사에 서비스를 제공하는 분야의 경우, 한 회사의 장애가 광범위한 서비스 마비를 초래하게 될 여지도 있을 것이다.
지난 2025년 3월, 금융감독원은 금융기관의 업무위탁으로 인한 제3자 리스크의 자체적인 관리능력 강화를 위하여 각 업권별로 ‘업무위탁에 따른 금융기관의 제3자 리스크관리 가이드라인’ 마련을 추진하겠다고 발표한 바 있다.
당시 보도자료에 따르면, 금융기관은 위탁계약별로 제3자 리스크를 측정하여 리스크가 높은 위탁계약을 중점관리대상으로 선정하고, 이에 대하여 강화된 리스크관리 활동을 수행해야 하며, 예기치 못한 재난 발생, 수탁자의 갑작스러운 업무중단 등에 대비하여 제3자 리스크관리 체계와 연계된 업무연속성 계획을 마련하고, 정기적으로 그 적정성을 점검하여야 한다. 또한, (i) 위탁계약 체결 전 현장실사 등을 통해 제3자 리스크 평가를 실시하고, (ii) 위탁계약서에 제3자 리스크 관리에 필요한 핵심 내용을 명확히 규정하고, (iii) 위탁계약의 제3자 리스크 수준을 주기적으로 모니터링하고 중대한 리스크 징후를 발견하는 경우 필요한 조치를 취하여야 하며, (iv) 위탁계약 종료에 대비한 출구전략을 마련하는 등 위탁계약 단계별로 리스크를 관리하여야 한다.
위 가이드라인은 각 업권별로 협회 모범규준 형식으로 마련될 예정이며, 생명, 손해보험협회는 지난 달 이미 보험회사의 제3자 리스크관리 가이드라인을 발표한 바 있다.
다만, 현재와 같은 시스템 하에서는 제3자 리스크관리는 선택이 아닌 필수라는 점에서, 조속히 제3자 리스크관리 체계가 정착되기를 기대해본다.
태평양의 미래금융전략센터(센터장: 한준성 고문)는 2024년 5월 출범하여, 금융권 디지털 혁신 가속화와 금융 기술 발전에 발맞춰 가상자산·전자금융·규제 대응·정보보호 등 금융 및 IT 분야 최정예 전문가들로 진용을 구축하고 있다.
댓글목록
등록된 댓글이 없습니다.