NSP통신

(그래프 = 임성수 기자)

(서울=NSP통신) 임성수 기자 = 국내 10대 증권사의 정보보호 투자비율이 2022년부터 2024년까지 3개년간 평균 9% 수준인 것으로 나타났다. 이는 최근 해킹 사고를 겪은 롯데카드의 11%보다도 2%p 낮은 것은 ‘위험수치’를 보여주고 있는 것이라는 보안 전문가들의 평가다.

지난 23일 권대영 금융위원회 부위원장은 KT, 롯데카드 등 대형 해킹사고가 연이어 발생하자 전 금융권 정보보호최고책임자(CISO) 등을 한자리에 불러 모아 긴급회의를 주재한 바 있다.

이번 회의는 최근 금융권을 겨냥한 사이버 위협(해킹)에 대해 최고 수준의 경각심을 갖고 전사적 차원에서 금융보안 역량을 강화하자는 취지로 마련됐다.

권 부위원장은 이 자리에서 “보안체계를 부적정하게 운영하는 등 금융회사의 부주의로 침해사고가 발생할 경우 철저히 조사해 엄정 제재할 것”이라며 “업무 연속성 계획을 최신상태로 유지하며 반드시 실제적인 복구 훈련 등을 통해 실효성을 확보하라”고 지시했다.

이러한 분위기 속에서 10대 증권사들의 정보보호 투자비율 9%대는 KT, 롯데카드 사태로 인한 고객들의 해킹에 대한 불안감을 더 키울 수 있어 만약 투자 위축으로 이어진다면 코스피 5000을 제시했던 이재명 대통령의 대선공약에 악재로 작용할 가능성도 배제하기는 어려워 보인다.

국회·전문가·업계 관계자는 “해킹사고 발생시 국내외 투자자 신뢰 하락이 시장 유동성 축소로 이어지고 이는 코스피 상승 모멘텀을 저하시키게 될 것”이라며 “정부의 자본시장 활성화 정책이 무력화될 수도 있다”고 지적했다. 즉 ‘정보보호 투자부족’으로 인해 ‘보안사고가 발생’하게 되면 ‘금융시장의 신뢰 붕괴’로 이어지기 때문이다.

(표 = 국회, 금융감독원)

이와 관련해 10대 증권사들은 최근 3년간 평균 정보보호 투자가 IT(전산)투자 대비 고작 9% 수준에 머물고 있는 것에 대한 물음에 “IT투자 예산을 추가할 계획”이라고 원론적인 답변만 내놓았다.

다만 이들 중 키움증권만이 올해 안으로 IT비용에 300억원 규모의 추가 투자를 단행할 것으로 전해졌지만 정작 고객 정보 탈취를 목적으로 하는 해킹방지를 위한 정보보호 투자금 규모에 대해서는 밝히지 않아 얼마나 비율이 늘어날지 예견이 어려운 상황이다.

NSP통신이 최근 입수한 자료의 10대 증권사는 ▲KB증권 ▲키움증권 ▲신한투자증권 ▲미래에셋증권 ▲삼성증권 ▲대신증권 ▲하나증권 ▲메리츠증권 ▲NH투자증권 ▲한국투자증권 등이다.

이들 증권사의 2022, 2023, 2024년 3개년간의 평균 IT 총 투자비용은 1조 1195억원이다. 이중 정보보호 투자비용은 약 1026억원으로 9.2% 수준이다. 연도별 정보보호 투자비율은 2022년 9.75%, 2023년 9.82%, 2024년 8.99%다.

이중 KB증권과 키움증권은 2023, 2024년 2년간 정보보호에 투자한 비율이 평균 7%대로 최하위권을 보였다. 키움증권의 경우는 2022~2024년 3년간 정보보호 투자비율이 7% 초·중반 수준에 머물고 있다.

정보보호에 가장 많이 투자한 증권사는 2024년 한국투자증권과 NH투자증권으로 나타났다. 특히 NH투자증권은 2022년 정보보호 투자비율에서 가장 낮은 6.8%였지만 2023년 11.3%, 2024년 11.5%로 꾸준한 증가세를 보여주고 있다.

또한 얼마 전 해킹사고를 겪은 롯데카드의 정보보호 투자비율인 11%에도 못 미친 10대 증권사는 2024년 기준 KB증권(7.2%), 키움증권(7.4%), 신한투자증권(7.8%), 미래에셋증권(8.0%), 삼성증권(8.8%), 대신증권(9.0%), 하나증권(9.1%), 메리츠증권(9.3%) 등 8곳이었다.

반면 11% 이상 투자비율을 넘어선 증권사는 한국투자증권(11.8%)과 NH투자증권(11.5%)이었다.

정보보호 전문가, 교수, 기관, 국회 등에서는 10대 증권사들의 IT투자대비 정보보호 투자비율이 한 자릿수인 9%대에 그치고 있는 것에 대해 한결같이 해킹사고를 당한 SK텔레콤, KT, 롯데카드 등과 견줘보면 턱 없이 부족해 보인다고 지적한다. 이는 결국 이들 증권사들이 해킹에 쉽게 노출될 수도 있다는 것이어서 정보보호에 대한 수준이 ‘위험’일 수 있다는 경고로 받아들여진다.

오정근 한국금융ICT융합학회 학회장은 “증권업계 정보보호 비율 평균 9%는 현 정부의 ‘코스피 5000 달성’ 공약과 자본시장 활성화 정책에 잠재적 리스크가 될 것”이라며 “또 다른 롯데카드 해킹 사고와 같은 사이버 침해사고를 예방하기 위해서는 정보보호 투자를 강화해야 한다”고 말했다.

또한 이강일 국회 정무위원회 소속 더불어민주당 의원은 “증권업계 정보보호 투자비율 평균 9%대에 대한 사이버 침해 가능성 우려는 충분히 이해할 만한 사항”이라며 “정보보호 투자 미흡은 자본시장 활성화 정책에 잠재적 리스크”라고 말했다.

하지만 상황이 이런데도 이들 증권사들이 정보보호 투자비율 9% 수준에도 경각심을 갖지 않는데는 사전 제재를 가할 수 있는 규제 방안이 마련돼 있지 않기 때문으로 풀이된다.

실제 전산투자비용 공시는 법적 제재가 없는 자율공시 사항이다. 여기에 금융보안원을 통해 권고된 전산 투자비용 대비 정보보호 투자 비율 7%만 유지한다면 법적 책임에서 자유로울 수 있는 것. 이 때문에 전문가들은 사후 해킹 사고 등이 발생하면 그때마다 개인정보 노출 등으로 인한 피해 보상만 하면 된다는 생각들이 그들의 안일한 대처로 인한 책임에 면죄부를 주고 있는 것은 아닌지 들여다봐야 할 때라고 지적한다.

한 증권업계 관계자는 “증권사 전산에서 개인정보 유출을 포함한 거래 시스템으로까지 해킹이 이뤄진다면 해당 증권사는 망할 것”이라며 “정보보호 문제의 경중에 따라 외인 투자가 정지될 가능성 역시 매우 높다”고 말했다.

금융보안원 관계자는 “금융업계의 정보보호 관련 투자가 글로벌 기준에 맞춰 보다 적극적인 정보보호 투자로 거듭날 필요가 있다”고 조언했다.

NSP통신 임성수 기자(forest@nspna.com)

ⓒ한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 및 AI학습 이용 금지.