최근 산업계 전반에서 고객 정보 유출 등 해킹 우려가 커지면서 증권사 주식계좌에 대한 고객 불안도 커지고 있다. /사진=클립아트코리아

최근 쿠팡을 비롯, 산업계 곳곳에서 고객 정보 유출 경고음이 켜지며 불안감이 확대됐지만 최소 수천억원 이상의 투자금을 관리하는 증권업계의 노력은 인색한 모습이다.

3370만개의 고객 정보 유출로 사실상 전 국민의 정보가 털렸다고 해도 과언이 아닌 쿠팡 사태를 거울삼아 고객 정보보호 강화를 위한 투자 확대와 시스템 재점검 등 철저한 대비가 필요하다는 지적이다.

고객정보 보호 위해 어떤 노력 했나

8일 한국인터넷진흥원(KISA)의 정보보호 공시 종합포털에 따르면 정보보호 관련 자율공시에 참여하는 증권사는 대신증권·신한투자증권·토스증권·한국투자증권·NH투자증권·SK증권 등 단 6곳이다.


자율공시인 만큼 강제성을 띄진 않지만 대형증권사 다수가 고객 투자금과 정보보호를 위해 어떤 노력을 하고 있는지 투명하게 공개하지 않은 점은 아쉬운 대목이다. 자율공시를 통해 공개된 고객 정보보호 노력도 최근 연이어 터진 유출 사태와 비교하면 부족해 보인다.

업체별로 정보보호 공시현황(2025년 6월 기준)을 살펴보면 대신증권의 정보보호기술 총 투자액은 약 687억원이고 정보보호부문에는 8.2%인 약 56억원을 썼다.

신한투자증권은 6개 증권사 가운데 가장 많은 약 1497억원을 정보보호기술에 투자했고 이 가운데 정보보호에는 9.2%인 약 138억원이 투입됐다.


토스증권은 약 708억원 가운데 11.6%(약 82억원)를 제3전산센터 인프라 구축을 위해 투자했고 한국투자증권은 약 1261억원의 총 투자금액 가운데 정보보호부문에 13.2%(약 167억원)를 썼다.

NH투자증권은 약 1321억원 가운데 7.6%(약 100억원)를 정보보호에 투자했고 SK증권은 약 425억원의 정보보호기술 총 투자액 가운데 8.8%(약 37억원)를 집행했다.

6개 증권사의 정보보호기술 평균 투자금액은 약 983억원, 정보보호부문에는 약 97억원이 집행됐다. 수천억원 이상의 고객 투자금 관리 규모를 감안 할 때 10%에 못 미친 평균 9.8%의 정보보호 투자 비율은 부족하다는 지적이다.

최근 금융감독원이 발표한 올 3분기(7~9월) 기준 국내 60개 증권사의 합산 순이익(잠정)은 2조4923억원으로 전분기(2조8502억원) 대비 12.6%(3579억원↓) 줄었지만 전년 동기(1조8109억원) 보다는 37.6%(6814억원↑) 증가했다.

60개 증권사가 거둔 조 단위 순이익에도 불구하고 고객 정보보호를 위한 자율공시 의지는 일부 증권사에만 치우쳐 있고 투자 규모 역시 이에 훨친 미치지 못하는 모습이다.

고객 정보보호 전담 인력 비율 불과 1%

자율 공시에 나선 6개 증권사는 각 사별로 고객 정보보호 노력을 위해 다양한 투자와 관련 활동에 나섰지만 전담 인력은 부족하다.

대신증권의 정보보호 주요 투자항목은 ▲웹병화벽 고도화 ▲권한관리시스템 재구축 ▲생활보안 점검 고도화 등이다. 정보통신서비스를 이용하는 자의 정보보호를 위한 주요 활동은 신용정보 손해배상책임 이행 준비금 적립(10억원) 등 13건이다.

신한투자증권은 문서반출시스템 재구축, 무선 백도어 해킹방지시스템 등에 신규 투자했고 침해사고 대응 모의훈련 실시 등 31건의 정보보호 활동을 했다.

토스증권은 ▲시나리오 기반 침투 테스트 ▲공개 취약점(CVE) 스캔 ▲전자금융 기반시설 취약점 분석평가 등 18개의 정보보호 활동을 진행했다.
/그래픽=강지호 기자

한국투자증권은 ▲클라우드 보호 플랫폼 구축 ▲클라우드 기반 사외접속 보안 강화 등에 투자했고 ▲악성 이메일 대응 훈련(연 3회) ▲금융보안원 주관 DDoS 공격 대응 모의훈련 실시(연 1회) ▲서버 해킹 대응 훈련(연 1회) 등 25건의 정보보호 활동을 실시했다.

NH투자증권은 ▲서버·DDoS 모의해킹 훈련 ▲개인신용정보 유출 대응 훈련 ▲정보보호 담당자 업무 관련 자격증 취득 등의 정보보호활동을 진행했지만 정보보호 주요 투자항목은 유일하게 공개하지 않았다.

SK증권은 ▲데이터 암호화 장비 교체 ▲WebOCR 솔루션 증설(신분증 인식) 등에 썼다. 개인정보 책임배상보험 가입을 비롯해 ▲생활보안 점검 ▲침해사고 대응 훈련 등의 정보보호 활동을 진행했다.

고객 정보보호 노력을 위한 다양한 활동을 진행했지만 전담 인력은 상대적으로 부족하다.

신한투자증권은 총 2700명의 임직원 가운데 정보보호 부문 전담인력은 내부 22.3명, 외주 28.4명 등 총 50.7명으로 가장 많지만 비율은 1.9%에 불과하다.

한국투자증권의 총 임직원은 2938.7명, 정보보호 부문 전담인력은 내부(15명)와 외주(26.7명)를 포함해 1.4%(41.7명) 뿐이다. 총 임직원이 3095.4명인 NH투자증권은 1.1%인 32.8명(내부 27.8명, 외주 5명)이 고객 정보를 지킨다.

대신증권과 SK증권은 고객 정보보호 전담 인력이 전체의 1%도 되지 않는다. 대신증권은 총 1453.4명의 임직원 가운데 정보보호 부문 전담인력은 내부 10명, 외주 4.3명 등 총 14.3명(0.9%)이고 SK증권은 864.3명의 임직원 가운데 내부 5명, 외주 3명 등 총 8명(0.9%)이 고객 정보보호 업무를 맡고 있다.

토스증권은 354.5명의 총 임직원 가운데 내부 19.5명, 외주 2.2명 등 총 21.7명이 고객 정보보호 업무를 담당해 비율(6.1%)로는 가장 높지만 비대면 주식거래가 일상화 된 상황에서 다수가 이용하는 모바일 앱(애플리케이션) 특성을 감안할 때 인력 보강이 필요해 보인다.

최근 지속해서 고객 정보보호에 대한 불안감이 커진 만큼 금융당국에서도 생태계 발전과 시장 안정화를 위한 방향성에 총력을 기울일 방침이다.

이억원 금융위원회 위원장은 "최근의 보안 위협이 과거보다 훨씬 교묘해지고 그에 따른 피해 범위도 넓어지는 만큼 작은 보안상 허점이 막대한 소비자 피해와 금융 신뢰도 저하로 이어질 수 있다는 경각심을 갖어야 한다"며 "이를 방지하기 위한 선제적이고 체계적인 대응·관리체계를 갖춰야 한다"고 강조했다.

정부는 '전자금융거래법' 개정을 통해 ▲징벌적 과징금 도입 ▲보안수준 비교 공시 ▲CISO(최고정보보호책임자) 권한 강화 등을 추진할 계획이다.

이밖에 금융권의 초연결 시대로의 전환에 선제 대응할 수 있도록 금융보안에 특화된 별도의 총괄법제인 '디지털금융보안법'(가칭)도 제정해 국내 금융보안 체계를 근본적으로 개편할 방침이다.