‘KB·삼성·유진투자’ 내부관리 수준 미흡
[한국증권신문 정치사회부-오혁진 기자] 증권업계의 소비자보호가 미흡한 것으로 나타났다. 주인공은 ‘대신·삼성·키움·한국투자’다.
지난 2일 금융감독원은 66개 금융회사(은행 13·생보 18·손보 11·카드 7·저축은행 7·증권 10)를 상대로 지난 2017년 소비자 보호 실태를 평가했다고 밝혔다.
금감원이 평가한 ‘2017년 소비자 보호 실태’ 보고서에는 은행·카드사들은 비교적 좋은 평가를 받은 반면 보험·저축은행들은 소비자 보호가 미흡하다는 지적을 많이 받았다.
금감원은 금융사고(사고건수·금액), 민원처리 기간 등 계량평가가 가능한 5개 부문과 소비자 보호 조직 같은 비계량평가 부문 5개를 합쳐 총 10개 항목을 우수·양호·보통·미흡 4단계로 평가했다. 이 중 ‘미흡’은 소비자 보호 모범규준에서 요구하는 내용을 따르지 않은 경우다.
증권사 3곳(대신증권, 키움증권, 한국투자증권)은 각각 1개 분야에서 미흡 등급을 받은 것으로 확인됐다. 아울러 지난 4월 유령주식 사태가 발생해 투자자들로부터 억대의 손해배상 소송이 제기된 바 있는 삼성증권의 경우 '소비자보호조직 및 제도', '민원관리시스템구축 및 운영' 등 2개 분야에서 각각 미흡하다는 평가를 받았다.
증권업계는 소비자 보호뿐만이 아니라 내부관리 문제도 심각한 것으로 나타났다.
금융감독원에 따르면 키움증권은 지난달 16일 전산 사업계획 및 수행관리 강화 등 3건의 경영유의사항과 4건의 개선사항 조치를 받았다. 키움증권은 내규 전산운영위원회 규정에 따라 전산 관련 중요사항을 심의 및 결정하기 위해 검사대상 기간 중 전산운영위원회를 개최했다. 전산 사업계획 수립 후 별도의 검토 절차 없이 일부 사업 일정을 연기하는 등 사후 관리에 소홀했던 것으로 나타났다. 또 내규상 장단기 IT 추진 계획 수립, 전산 사업계획 대비 지연사항에 대한 검토, 전산 사업의 비용대비 효과 분석 등 의사결정이 필요한 중요사항이 전산운영위원회 안건에 포함되어 있지 않았다.
키움증권은 전자금융기반시설 취약점 분석·평가를 연 1회 이상 실시하고 미흡 사항에 대한 이행계획을 수립 시행했음에도 같은 부분에서 취약점이 다시 발견되는 등 보완조치가 제대로 이뤄지지 않은 것으로 조사됐다. 또 서버, 네트워크, 보안 등 정보처리시스템에서 일부 보안패치 적용이 누락된 사례가 발생했다.
일부 시스템에서는 기술지원이 종료된 운영체제를 사용하고 있던 것으로 파악됐다. 이에 금감원은 기능개선 등을 위한 보정작업이 어려워 신규 취약점을 이용한 해킹 및 악성코드 등에 의한 침해 우려가 있다고 지적했다.
이외에도 △IT 감사업무 운용 미흡 △ IT 업무 외부주문 관련 내부통제 미흡 △업무 연속성 확보방안 미흡 △프로그램 테스트 및 변경통제 관리 미흡 등의 미비점이 발견됐다. 금감원은 키움증권이 모든 IT 업무를 외주업체에 위탁 운영하고 있으면서 해당 업체의 IT 업무 적정성 등을 점검하는 데 어려움이 있다고 판단했다.
금감원은 KB증권과 유진투자증권에도 IT시스템 관련 개선을 촉구하고 나선 바 있다. 지난 4월 금감원은 KB증권에 이용자 정보 보호 강화 등 7건의 ‘개선사항’ 조치를 내렸다. 고객 정보 유출 또는 해킹 및 악성코드에 의한 침해가 우려된다는 이유에서다.
KB증권은 고객 관련 자료 분석 및 이벤트 지원 등을 위해 온라인 분석시스템(OLAP)을 구축·운영하고 임직원 등 내부 사용자가 시스템에서 고객명과 생일, 주소 등 이용자 정보를 조회하여 고객 홍보 등에 활용하고 있다.
금감원은 이용자 정보 조회에 대한 모니터링 절차가 없는 점을 지적하며 이용자 정보 보호를 강화할 것을 촉구했다. 이용자 정보 보호의 적정성, 과다조회 등을 모니터링하는 절차가 마련되어 있지 않아 업무에 필요하지 않은 이용자 정보 조회 등으로 이용자 정보가 외부에 유출될 우려가 있다는 판단에서다.
금감원은 KB증권이 서버 보안패치와 관련한 체계적인 관리가 미흡하고 일부 시스템에서 기술지원이 종료된 운영체제를 사용하고 있다는 점도 지적했다. 또 재해복구시스템이나 방화벽 등 정보 보호 시스템에 직접 접속하는 단말기 등에 대해 강화된 보호 대책을 적용하고 주요 단말기를 통해 사내 메신저 접속할 수 없도록 통제를 강화할 것을 요구했다.
이 외에도 △전산 자료 백업데이터에 대한 검증 강화 △외부 PC의 가상사설망(VPN)을 통한 내부망 접속 시 해킹 방지 대책 마련 △인터넷망 통제 강화 △서버 접근통제 강화 및 비밀번호 정책 개선 등의 조치를 명령했다.
같은 달 유진투자증권에는 임직원의 개인 PC 사용에 대한 내부통제를 강화하라며 경영유의사항 1건의 조치를 부과했다. 유진투자증권의 지점 직원들이 회사의 사전승인 없이 무선전자통신망을 설치한 개인 PC를 사용해 주식을 매매한 데 따른 경고 조치다.
