- 일본정부는 ‘24년 봄을 목표로 금융기관의 기간계 시스템을 사전심사하는 제도를 시작할 방침. 빈번하게 발생하는 인프라 기업을 노린 국외의 사이버 공격을 막기 위해 시스템 도입과 갱신 시 정부가 리스크를 파악. 금융청은 최근 심사제도 대상 금융기관 기준안을 마련했으며, 메가뱅크 등 60여 금융기관이 대상이 될 것으로 보임.
- 사전심사제도는 '22년 5월 통과된 경제안전보장추진법에서 도입이 결정됐으며, '24년 봄을 목표로 운용을 시작. 사이버 공격을 받았을 때 대체가 불가능하며 영향이 큰 14개 업종이 대상임. 전기, 가스, 철도, 철도, 항공, 통신 등 14개 업종에서 총 200개사가 대상이 될 전망이며, 그 중 금융이 약 30%를 차지함.
- 미국에도 러시아나 북한 등의 영향력 하에 있는 인물이 개발한 시스템을 설치할 경우 관계 부처가 심사하는 제도가 존재. 금융을 포함한 중요 인프라 기업이 사용하는 시스템 등이 심사 대상이나, 일본과 달리 사전 신고 의무는 없음.
- 일본에서는 도입 전에 꼼꼼히 심사해 대규모 트러블 등의 리스크가 없는지를 파악하겠다는 생각. 신고를 바탕으로 금융청과 정부 관계기관이 심사하며, 심사 기간은 원칙적으로 30일 이내로, 단축 또는 연장될 수 있음. 사이버 공격 등에 이용될 가능성 여부 등 심사 결과에 따라 도입이 중단될 수도 있음.
- 대상기업의 기준은 올 여름에 정성령(政省令)으로 정식으로 제시할 방침. 금융청의 기준안에 따르면 은행업, 자금이동업, 보험업, 제1종 금융상품거래업 등 14개 업태가 대상이 됨.
- 업태별 규모와 대체성이 기준이 되며, 은행의 경우 ‘예금잔액 10조엔 이상’, ‘계좌 수 1000만개 이상’, ‘ATM 1만대 이상’ 중 하나에 해당하면 대상. 3대 메가뱅크 외에도 요코하마은행, 후쿠오카은행 등 대형 지방은행, 세븐일레븐, 로손은행 등이 대상에 포함됨. 올 가을 경에 기업명이 공개될 전망.
- 심사대상은 업무에서 핵심적인 역할을 하는 시스템으로, 은행의 경우 예금·외환거래를 하는 기간계 시스템, 거래소의 경우 매매시스템이 됨.
- 금융기관은 중요 시스템을 도입하거나 유지관리를 외부에 위탁할 때 미리 금융청에 계획서와 방어책의 유무 등을 신고. 계획서에는 시스템 제조국, 시스템을 만드는 회사명과 설립국, 의결권의 5% 이상을 직접 보유한 주주정보 등을 기재하도록 할 방침임. 유지관리를 타사에 위탁하는 경우 위탁처 정보도 요구하며, 신고없이 도입할 경우 처벌 규정도 있음.
- 기간계 시스템을 여러 시중은행에서 공동 운영할 경우, 예금 규모 등 기준에 해당하는 은행을 대상으로 시스템을 사전 심사. 또한 시스템에 클라우드 서비스를 도입하는 경우도 있어, 정부가 보안요건을 충족하는 클라우드를 평가·등록하는 제도인 'ISMAP'을 취득한 것에 대해서는 기업 부담 경감을 위해 신고를 생략하는 방안도 검토하고 있음.
- 시스템 유지보수점검 등 유지관리와 업무용 프로그램, 기간계 시스템 주변기기 등을 심사 대상으로 삼을지 여부는 검토 중이며 올 가을에 정하는 정성령 등을 통해 밝힐 전망. 금융청은 시스템이나 금융 전문지식을 갖춘 인력을 확보해 심사 체계를 확충하겠다는 생각임.