증권사 IT 보안 부실…키움·KB 등 경고장

[한국금융신문 한아란 기자] 지난 4월 삼성증권에서 발생한 배당사고에 이어 증권사들의 정보기술(IT) 관련 내부통제시스템 결함이 연달아 조명되고 있다. 주식매매시스템부터 정보처리시스템까지 보안대책에 구멍이 뚫린 사례가 적발되면서 금융당국은 경고장을 날리고 있다.

◇ 키움, 다우기술 외부용역 관리 소홀

31일 기업 경영성과 평가사이트 CEO스코어에 따르면 2015년부터 올해 상반기까지 은행, 보험, 증권, 카드사 가운데 반기보고서를 제출한 56개 업체를 대상으로 금융감독원, 금융위원회, 공정거래위원회, 한국거래소 등의 제재 현황을 조사한 결과 모두 238건으로 집계됐다.
이중 증권사의 재재 건수는 125건으로 전체의 52.5%를 차지했다. 제재 금액도 209억9천400만원으로 가장 많았다. 특히 제재 건수 상위 10곳 중 9곳이 증권사로 조사된 가운데 업체별로는 KB증권이 18건으로 가장 많은 제재를 받은 것으로 나타났다. 이어 미래에셋대우(14건), 삼성증권(11건) 등이 뒤를 이었다.

최근 증권가에서는 내부통제시스템에 제대로 된 보안대책을 마련하지 않아 경영유의 및 개선사항 조치를 받는 사례가 늘고 있다. 경영유의 및 개선사항은 금융회사의 주의 또는 자율적인 개선을 요구하는 행정지도적 성격의 조치다.

금융감독원에 따르면 키움증권은 지난 16일 전산 사업계획 및 수행관리 강화 등 3건의 경영유의사항과 4건의 개선사항 조치를 받았다. 키움증권은 내규 전산운영위원회 규정에 따라 전산 관련 중요사항을 심의 및 결정하기 위해 검사대상 기간 중 전산운영위원회를 개최했다.

그러나 전산 사업계획 수립 후 별도의 검토 절차 없이 일부 사업 일정을 연기하는 등 사후 관리에 소홀했던 것으로 나타났다. 또 내규상 장단기 IT 추진 계획 수립, 전산 사업계획 대비 지연사항에 대한 검토, 전산 사업의 비용대비 효과 분석 등 의사결정이 필요한 중요사항이 전산운영위원회 안건에 포함되어 있지 않았다.

키움증권은 전자금융기반시설 취약점 분석·평가를 연 1회 이상 실시하고 미흡 사항에 대한 이행계획을 수립 시행했음에도 같은 부분에서 취약점이 다시 발견되는 등 보완조치가 제대로 이뤄지지 않은 것으로 조사됐다. 또 서버, 네트워크, 보안 등 정보처리시스템에서 일부 보안패치 적용이 누락된 사례가 발생했다.
일부 시스템에서는 기술지원이 종료된 운영체제를 사용하고 있던 것으로 파악됐다. 이에 금감원은 기능개선 등을 위한 보정작업이 어려워 신규 취약점을 이용한 해킹 및 악성코드 등에 의한 침해 우려가 있다고 지적했다.

이외에도 △IT 감사업무 운용 미흡 △ IT 업무 외부주문 관련 내부통제 미흡 △업무 연속성 확보방안 미흡 △프로그램 테스트 및 변경통제 관리 미흡 등의 미비점이 발견됐다. 금감원은 키움증권이 모든 IT 업무를 외주업체에 위탁 운영하고 있으면서 해당 업체의 IT 업무 적정성 등을 점검하는 데 어려움이 있다고 판단했다.

키움증권은 IT 업무 외부주문과 관련해 내규 IT 아웃소싱 업무 통제지침을 제정해 운영하고 있으나, 기본적인 통제절차만을 정하고 있고 중요 IT 업무 운영과 관련된 기준 등은 제정하지 않았다. 이 경우 내부 담당자의 확인이나 나 검토 없이 외주업체 책임자의 승인만으로 마스킹 해제 및 고객 정보 열람이 가능하다.

키움증권은 계열사인 다우기술로부터 IT 아웃소싱 서비스를 제공받고 있다. 앞서 지난해 5월 다우기술과 302억원 규모의 IT 아웃소싱 서비스를 제공하는 용역계약을 체결했다. 이는 역대 최고 규모이자 지난 2006년 5월 체결했던 61억원의 약 5배에 해당한다.
◇ KB·유진도 IT시스템 부실…“내부통제 강화해야”

금감원은 KB증권과 유진투자증권에도 IT시스템 관련 개선을 촉구하고 나선 바 있다. 지난 4월 금감원은 KB증권에 이용자 정보 보호 강화 등 7건의 ‘개선사항’ 조치를 내렸다. 고객 정보 유출 또는 해킹 및 악성코드에 의한 침해가 우려된다는 이유에서다.

KB증권은 고객 관련 자료 분석 및 이벤트 지원 등을 위해 온라인 분석시스템(OLAP)을 구축·운영하고 임직원 등 내부 사용자가 시스템에서 고객명과 생일, 주소 등 이용자 정보를 조회하여 고객 홍보 등에 활용하고 있다.

금감원은 이에 대해 이용자 정보 조회에 대한 모니터링 절차가 없는 점을 지적하며 이용자 정보 보호를 강화할 것을 촉구했다. 이용자 정보 보호의 적정성, 과다조회 등을 모니터링하는 절차가 마련되어 있지 않아 업무에 필요하지 않은 이용자 정보 조회 등으로 이용자 정보가 외부에 유출될 우려가 있다는 판단에서다.

금감원은 KB증권이 서버 보안패치와 관련한 체계적인 관리가 미흡하고 일부 시스템에서 기술지원이 종료된 운영체제를 사용하고 있다는 점도 지적했다. 또한 재해복구시스템이나 방화벽 등 정보 보호 시스템에 직접 접속하는 단말기 등에 대해 강화된 보호 대책을 적용하고 주요 단말기를 통해 사내 메신저 접속할 수 없도록 통제를 강화할 것을 요구했다.

이 외에도 △전산 자료 백업데이터에 대한 검증 강화 △외부 PC의 가상사설망(VPN)을 통한 내부망 접속 시 해킹 방지 대책 마련 △인터넷망 통제 강화 △서버 접근통제 강화 및 비밀번호 정책 개선 등의 조치를 명령했다.

같은 달 유진투자증권에는 임직원의 개인 PC 사용에 대한 내부통제를 강화하라며 경영유의사항 1건의 조치를 부과했다. 유진투자증권의 지점 직원들이 회사의 사전승인 없이 무선전자통신망을 설치한 개인 PC를 사용해 주식을 매매한 데 따른 경고 조치다.

유진투자증권의 내부통제 세부업무지침에 따르면 임직원이 업무와 관련해 무선전자통신망을 설치하거나 개인 PC를 사내 네트워크(IP)에 연결해 사용하고자 하는 경우 구체적인 사용 목적 및 기간 등을 기재해 사전승인을 거쳐야 한다.

금감원은 “향후 임직원의 금융투자상품 위법매매거래 및 위법일임매매 등의 이해 상충을 방지하기 위해 사전승인 없는 무선통신망 설치 및 개인 PC 사용에 대한 주의를 환기해야 한다”며 “교육 및 점검을 주기적으로 실시하는 등 내부통제를 강화할 필요가 있다”고 밝혔다.

◇ 금감원 “예탁원, 전산 장애 여부 발견 어려워”

유관기관도 내부통제 미흡 문제에서 벗어나지 못했다. 한국예탁결제원은 지난 6월 전산시스템의 비정상 동작 확인을 위한 모니터링이 제대로 이행되고 있지 않다며 금감원으로부터 개선사항 조치를 받았다.

예탁원은 전산시스템 운영에 있어 업무별 담당 부서에서 서버·네트워크 등 인프라 장비의 서비스 중단 여부, 대외계 어플리케이션 서버의 프로세스별 전송처리 건수 및 오류 현황 등을 모니터링하고 있다.

그러나 전산시스템 통제·관리 업무를 부산 본사 IT센터와 서울 본사에서 분산 수행하고 있어 모니터링 화면 등이 실시간으로 공유되지 않는 등 종합적인 관리체계가 미흡한 것으로 조사됐다.

현재 전산시스템으로는 평상시보다 서비스 처리량이 급격히 감소하는 등의 비정상 동작에 대해 인지하기 어렵고 장애 발생 여부를 발견하지 못하는 문제점이 대두된다.

앞서 금감원이 지난 5월 증권사의 내부통제시스템을 점검한 결과 일부 시스템에서 심각한 미비점이 드러난 바 있다. 특히 전산시스템상 총 발행주식수를 초과하는 수량도 입고가 가능한 것으로 나타나는 등 부실한 시스템 관리가 여실히 드러났다.

일부 증권사에서는 담당 부서 또는 준법감시부서의 별도 승인을 받지 않고 타 부서에 전산시스템 화면 접근 권한을 부여하는 것으로 나타났다. 전산원장(데이터베이스 등) 정정 시에도 준법감시부서의 사전승인을 거치지 않는 경우도 발견됐다.

금감원은 증권사와 유관기관의 내부통제 및 사고대응 체계의 개선을 위해 금융투자검사국의 주도로 내년 1분기 중 전 증권사에 대한 주식매매 내부통제시스템 개선결과를 재점검한다.

아울러 금투협은 내부통제가 미흡한 증권사가 자체적으로 규정 개정과 전산시스템 개선을 연내에 마무리할 수 있도록 해당 증권사를 지원한다.

한아란 기자 aran@fntimes.com