SK텔레콤의 유심 해킹으로 온 나라가 떠들썩한 가운데, 키움증권 등 일부 증권사가 보안 및 정보보호 업무를 전담할 최고정보보호책임자(CISO, Chief Information Security Officer)를 두지 않은 것으로 나타났다.

증권업계에서도 최근 모바일트레이딩시스템(MTS) 매매 정지 등 각종 전산사고가 터지면서 경각심이 높아지고 있는 상황. 보안 공백에 대한 우려가 적지 않은 가운데 믿고 투자해도 되는 지, 의심의 눈초리가 적지 않다.  

금융감독원 전자공시시스템에서 자기자본 상위 20개 증권사의 사업보고서를 확인한 결과, 작년 말 기준 주요 6개 증권사(키움·신영·현대차·IBK·iM·유진)은 최고정보보호책임자(CISO) 전담 임원을 선임하지 않았다. / 키움증권
금융감독원 전자공시시스템에서 자기자본 상위 20개 증권사의 사업보고서를 확인한 결과, 작년 말 기준 주요 6개 증권사(키움·신영·현대차·IBK·iM·유진)은 최고정보보호책임자(CISO) 전담 임원을 선임하지 않았다. / 키움증권

2일 금융감독원 전자공시시스템에 따르면 사업보고서를 제출한 자기자본 상위 20개 증권사 중 키움증권과 신영증권, 현대차증권, IBK투자증권, iM증권, 유진투자증권 등 6개 증권사는 CISO 또는 정보보호본부장(담당자) 전담 임원을 선임하지 않은 것으로 확인됐다. 키움증권은 ICT 부문장이, 신영증권은 IT센터 본부장이, IBK·iM·유진투자증권은 각각 IT본부장이, 현대차증권은 준법감시인이 CISO 역할까지 겸임하고 있다. 

CISO는 기업의 정보보안을 총괄하는 직책으로 개인정보, 기업기밀, 고객정보를 보호하고 금융사고나 평판 리스크 등을 예방하는 역할을 한다. 금융회사의 경우 전자금융거래법 규정상 총자산이 2조원 이상이고 상시 종업원 수가 300명 이상이면 CISO를 임원으로 선임해야 한다. 

하지만 의무 규정이 다소 느슨하다보니 IT 관련 임원들이 겸임하고 있는 경우가 허다하다. CISO의 겸임 금지 조건은 ‘총자산 10조원 및 종업원 1000명 이상’이다. 조건에 해당하는 금융사는 증권사의 경우, 상위 10곳이 채 안된다. 

나머지 회사는 전담 CISO를 선임할지 말지 알아서 결정한다는 얘기다. 이에 임직원 994명(금융투자협회 기준)인 키움증권은 ICT 부문에 IT 기획팀과 정보보안팀을 뒀고 ICT 부문장이 CISO까지 겸직하고 있다. 

하지만 해당 조건에 속하지 않지만 자체적으로 임원급 CISO를 둔 증권사도 적지 않다. 임직원 1000명 미만 중소형사 중에선 교보증권과 BNK투자증권, 우리투자증권, SK증권, 토스증권 등이 보안 전담 임원을 보유하고 있다.  

자기자본 상위 20개 증권사 CISO(최고정보보호책임자) 현황. / 윤승준 기자
자기자본 상위 20개 증권사 CISO(최고정보보호책임자) 현황. / 윤승준 기자

다른 임원이 CISO를 겸직할 경우, 보안 분야의 독립성이 훼손될 수 있다는 점이 문제로 꼽힌다. 서비스 출시 일정에 맞추기 위해 보안 점검을 생략하거나 완화할 수 있기 때문이다. 자신이 만든 시스템을 스스로 점검하고 승인해 감시·통제 기능이 무력화되는 점도 문제다. 보안 사고 시 책임소재도 불분명하다.

2014년 발생한 카드 3사 개인정보 유출 사건이 대표적이다. 당시 KB국민카드와 롯데카드, NH농협카드의 CISO는 CIO(최고정보관리책임자)를 겸직해 운영 편의를 우선하다보니 내부 시스템 점검, 정보 반출 통제에 소홀했다는 평가를 받았다.

최근엔 SK텔레콤 유심 해킹 사건에 따른 증권사 앱 피해 우려도 커지고 있다. 유심이 탈취될 경우 스마트폰 기반의 본인 인증 체계가 무력화될 수 있어서다. 해커가 본인인증 절차를 우회해 계좌에 접근할 수 있고 MTS 앱을 재설치하거나 다른 기기에서 설치하는 게 가능하다. 금융사고 발생 시 키움증권 등 브로커리지 고객을 대거 보유한 대형사 피해가 클 것으로 예상된다.

특히 키움증권의 경우 최근 고객 피해가 잦아 정보보호에 더 민감하다. 4월 3~4일 이틀 연속 키움증권 모바일트레이딩시스템(MTS)·홈트레이딩시스템(HTS)에서 오류가 1시간 이상 발생해 고객들은 주식 주문을 체결하는 데 불편을 겪었다. IT 기획과 정보보호를 겸임하고 있는 CISO 역할이 제대로 굴러가는지 의심이 되는 대목이다. 

회사측은 별 문제 없다는 입장이다. 키움증권 관계자는 “ICT 부문 밑에 IT기획팀과 정보보호본부가 있어 책임자는 겸직하고 있지만 그 일을 하는 사람은 달라 겸직해도 (정보보호 문제에) 큰 문제가 없다”고 말했다.

이에 대해 김상봉 한성대 경제학과 교수는 “IT라고 해서 정보보호를 다 아는 게 아니고 정보보호를 안다고 해서 IT를 전부 아는 것도 아니라서 CISO 겸직은 바람직하다고 볼 수 없다”며 “면피할 수 없도록 CISO 겸직 금지 조건을 금융사 일괄적으로 적용하기보다는 업권별로 달리해야 한다”고 말했다. 

윤승준 기자
sjyoon@chosunbiz.com

관련기사
키워드