NSP통신

fullscreen

(이미지 = 임성수 기자)

(서울=NSP통신) 임성수 기자 = 증권사의 정보보호 자율공시가 ‘의무공시’로 강화돼야 한다는 목소리가 나오고 있다.

국회, 증권업계, 학회 등에서는 한국인터넷진흥원(KISA)을 통한 증권사 정보보호 공시를 자율에 맡기지 말고 문제의 책임 소재를 명확히 할 수 있도록 ‘의무’화해야 한다고 입을 모은다.

이를 위해 투자자 정보 불균형 개선 및 업계 평균 정보보호 경쟁력 약화 방지를 도모할 입법이 필요하다는 지적이다.

fullscreen

(표 = 임성수 기자)

국내 10대 증권사(KB·키움·신한투자·미래에셋·삼성·대신·하나·메리츠·NH투자·한국투자증권) 중 올해 정보보호 활동을 공시한 증권사는 대신증권, 한국투자증권, 신한투자증권, NH투자증권 4곳으로 나타났다. 앞서 지난 2024년에는 대신증권과 신한투자증권 2곳만 공시를 진행한 바 있다.

2024, 2025년 정보보호 공시를 두 해 동안 여전히 하지 않은 증권사는 ▲KB증권 ▲키움증권 ▲미래에셋증권 ▲삼성증권 ▲하나증권 ▲메리츠증권 등 6곳이다.

금융감독원이 제공한 국내 10대 증권사의 2025년 정보보호 투자 비율에 따르면 지난 2023년(9.75%)과 2024년(9.82%) 평균에 못 미치는 8.99%로 하락해 업계 평균 정보보호 경쟁력이 약화됐음을 보여주고 있다.

이러함에도 “관계 법령에 따라 진행할 뿐”이라며 이들 증권사가 정보보호 공시에 적극적이지 않은 것은 이를 규제할 마땅한 법령이 없고, 공개시 받게 될 담당부서 및 담당자의 문책성 책임론이 불거질 수도 있다는 인식 때문으로 풀이된다.

증권업계 정보보호 공시가 강제되지 않고 자율에 맡겨지고 있는 것은 ‘정보보호산업의 진흥에 관한 법률 제13조’에 따라 의무대상서 제외된데다 ‘전자금융거래법 제21조제4항’에 의거해 금융위원회에만 별도로 매년 정보기술부문 계획을 보고하게 돼 있어서다.

증권사들은 이들 조항을 근거로 내세우고 있는 것이다.

또 한 증권업계 관계자의 말대로 “금융권 내 비교되는 공시가 발표될 시 증권사 내 인사 개편이 이뤄질 수 있어 정보 공개를 꺼리고 있다”는 토로는 업계의 민낯을 엿보게 만든다.

이러한 현실 속에서 국회·전문가·업계 관계자들은 “디지털 금융이 점점 고도화되고 있으나 증권업계 정보보호 공시 제도가 이에 적절히 대응하고 있지 못하다”며 “증권업계 정보보호 공시를 의무화해 사이버 침해 사고를 사전 예방해야 한다”고 경고했다.

김상훈 국회 정무위 소속 국민의 힘 의원은 “현재의 자율공시 체제는 기업의 정보보호 역량을 키우고 책임을 강화하는 문제, 업계의 공시내용 표준화와 데이터 신뢰성이 떨어진다는 점에서 개선이 필요하다”며 “투자자의 권리보호, 글로벌 추세를 아울러 고려한 의무공시가 바람직하다”는 입장을 밝혔다.

또한 “다양한 금융투자환경을 고려한 준비과정을 통한 입법화의 필요성이 인정된다”고 말해 입법화 가능성을 열어뒀다.

민병덕 국회 정무위 소속 더불어민주당 의원 역시 “해외의 공시 구조가 ‘사이버 리스크 거버넌스 체계’ 등을 구축해 보안 사고가 발생한 기업에 대해 사고 배경과 조치 과정, 기업의 대책 마련 구조를 면밀히 보고·공시하도록 의무화하기도 하는 만큼 현재 국내 증권업계 공시 제도에 사이버 침해 예방을 위한 추가적 제도 확립이 필요하다”고 역설했다.

개인정보위원회 관계자도 “개인정보 보호 차원의 증권업계 정보보호 공시 의무화에 동의한다”고 말해 입법화에 대한 공감을 나타냈다.

이유식 순천향대학교 정보보호학과 교수는 “기업의 정보보호 차원의 인식이 비용에 국한되어 이뤄져 업계의 정보보호 체질 개선이 어려울 것”이라며 “투자자와 증권사의 정보비대칭 해소와 업계 표준 정보보호 경쟁력 약화 방지를 위해 증권업계 정보보호 공시와 정보보호 투자에 대한 법적 강제성이 필요하다”고 지적했다.

한 증권업계 관계자 역시 “해외에서는 백서 형식의 사이버 리스크 거버넌스 체계가 구축돼 공시가 의무 사항으로 확립된 것으로 알지만 국내는 감독기관 자료 제출 외에는 기업의 자율 사항으로 이뤄진다”며 “증권사가 보안사고 피해 책임을 짊어져 고객에게 무조건적 보상을 우선 실시하는 법적 강제성이 없다면 실질적인 정보보호 체질 개선은 어려울 것”이라고 말했다.

그러나 정작 관리감독기관인 금융위원회와 과학기술정보통신부는 금융업계 정보보호 공시 의무화 필요성을 인식하지 못하고 있는 듯 해 보였다.

금융위 관계자는 “최근 롯데카드를 비롯해 기존 금융회사의 정보보호 체계의 한계가 목격되어 각 관계 부처와 개선 지점을 논의 중”이라며 “정보보호 활동과 보안사고 침해 사례 분석 내용 등의 발표 의무화에 대해서는 아직 확정된 내용이 없어 설명할 부분이 없다”고 말했다.

과학기술정보통신부 관계자도 “금융분야 정보보호 공시 개선 지점에 대해 주목한 바 있으나 증권업계 정보보호 공시 규정은 금융위 소관으로 알고 있다”고 한 발 뺐다.

이렇듯 현재의 증권업계 정보보호 자율 공시 제도의 ‘법적 공백’은 실제 ‘보안 공백’으로 이어질 가능성이 큰 만큼 국회·전문가·업계 관계자들이 주장하는 의무공시에 대한 입법화 추진에 무게가 실려가고 있다.

NSP통신 임성수 기자(forest@nspna.com)

ⓒ한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 및 AI학습 이용 금지.