한국의 경제뉴스통신사 - NSP통신.

fullscreen

(표 = 국회, 금융감독원)

(서울=NSP통신) 임성수 기자 = 10대 증권사의 총 IT(전산)투자비용 대비 한 자릿수의 낮은 정보보호 투자 비율은 자칫 보안사고로 이어질 수 있어 금융시스템 전체에 대한 신뢰를 떨어뜨릴 수 있다는 지적이 나온다.

NSP통신이 최근 입수한 ‘2023, 2024년 10대 증권사 IT투자비용 현황’(금융감독원 자료)을 분석한 결과에 따르면 이들 증권사의 3년간 정보보호 평균 투자비율은 9%수준으로 총 IT투자비용 대비 한 자릿수를 기록했다.

최근 대한민국을 대표하는 SK텔레콤, KT 등이 해킹에 무력하게 뚫린 것은 물론 10%대 초반으로 정보보호 투자비율에서 두 자릿수를 나타냈던 롯데카드 역시 해킹사고를 당하면서 막대한 사이버피해를 입기도 했다. 이는 무차별 해킹공격에 대비해 만반의 준비를 하지 않으면 정보보호의 안전지대를 기대하기 어렵다는 반증을 보여준 셈이다.

이 때문에 증권업계를 대표하는 10대 증권사의 10% 문턱도 넘지 못하는 턱없이 낮은 정보보호 투자 비율은 ‘보안사고에 대한 시한폭탄’을 껴안고 있는 것과 같다는 전문가들의 지적에서 자유로울 수 없어 보인다.

그럼에도 정작 해당 증권사들은 “정보보호 투자는 이미 충분히 이뤄지고 있고 IT투자 대비 정보보호 투자 비율의 중요성을 잘 모르겠다”라며 “향후 IT투자예산이 확정될 때 정보보호 예산도 소폭 증가할 것”이라고만 말하고 있다.

◆10대 증권사, 보안사고 위험 ‘잠재적 리스크’…금융당국 ‘징벌적 과징금’ 추진

KB·키움·신한투자·미래에셋·삼성·대신·하나·메리츠·NH투자·한국투자증권 등 10대 증권사의 최근 3개년(2022~2024년) 간 총 IT투자비용은 3조 3585억원이었다. 이중 정보보호 투자비용은 3077억원에 그치면서 평균 9%대를 나타냈다.

이는 정보보호 투자비율서 11%를 보였음에도 해킹 사고를 겪은 롯데카드 등과 견줘보더라도 보안사고 위험에 노출돼 보인다. 뿐만 아니라 국내외 투자자들이 몰려있는 증권사의 특성상 보안사고라도 나면 금융시장의 신뢰는 물론 해외 투자자 신뢰까지 하락할 가능성도 있다.

이에 국회, 경제학자, 증권가에서는 이재명 대통령의 코스피 5000 공약 달성 목표에 자칫 ‘찬물을 끼얹을 수 있다’는 의견까지 흘러 나온다.

이강일 국회 정무위원회 소속 더불어민주당 의원, 오정근 한국금융ICT융합학회장 등 정계 보안학회 경제학자 등은 “증권업계의 정보보호 투자비율이 9%대라는 것은 자본시장의 정책은 물론 현 정부의 코스피5000 달성에도 잠재적 리스크가 될 것”이라고 입을 모았다.

심지어 한 증권사 관계는 “해킹으로 인해 해당 증권사는 문을 닫을 것”이라며 “외인 투자가 정지될 수 있는 큰 문제가 될 것”이라고 따금한 경고도 했다.

특히 최근 금융당국은 금융보안 역량이 미흡한 금융사의 경우 ‘징벌적 과징금’까지 추진하겠다고 예고하기도 했다.

앞서 금융위원회는 지난 2023년 7월 19일 ‘정보보호의 날 기념 세미나’에서 금융의 디지털화와 제3자 위탁이 증가하는 상황 내 효과적인 정보수집 및 대응태세 마련의 필요성을 강조하기도 했다.

이러함에도 10대 증권사의 평균 정보보호 예산 비중 변화는 2024년에 8.99%로 하락했다.

◆이동통신‧금융권 연이은 해킹…정보보호 투자 최저 키움증권 등 증권사도 ‘불안’

SK텔레콤, KT, 롯데카드, SGI서울보증 등의 연이은 해킹 등 보안 사고는 증권사들이라고 해도 안전을 담보할 수 없다.

국회·전문가·업계 관계자들은 하나같이 “증권업계의 정보보호 투자 부족은 결국 코스피 5000 달성 목표에 부정적인 영향을 끼칠 가능성이 크다”며 “증권업계 내 개인정보 유출 및 거래시스템에서 해킹 사고 발생 시 국내외 투자자 신뢰가 하락해 시장 유동성 축소, 코스피 상승 모멘텀 저하, 나아가 정부 자본시장 활성화 정책 무력화로 이어질 수 있다”고 지적했다.

이에 국내 10대 증권사들은 최근 3년간 평균 정보보호 투자비율이 IT투자 대비 고작 9% 수준에 머무는 것에 대한 물음에 “IT투자 예산을 추가할 계획”이라는 무성의한 답변만 내놓고 있다.

다만 이들 중 키움증권만이 올해 안으로 IT비용에 300억원 규모의 추가 투자를 단행할 것으로 발표는 했지만 정작 해킹방지를 위한 정보보호 투자금 규모에 대해서는 정확한 수치를 밝히지 않고 있다.

입수된 10대 증권사의 IT투자비용에 따르면 2022, 2023, 2024년 3개년간의 평균 IT 총 투자비용은 1조1195억원이었으며 정보보호 투자비용은 약 1026억원이었다. 연도별 정보보호 투자비율로 보면 2022년 9.75%, 2023년 9.82%, 2024년 8.99%로 3개년 평균 9.2%였다.

10대 증권사 중 KB증권과 키움증권은 2023, 2024년 2년간 정보보호에 투자한 비율이 평균 7%대로 최하위권이었다. 특히 키움증권은 2022~2024년 3년간 정보보호 투자비율이 7% 초·중반 수준에 머물렀다.

반면 정보보호 투자비율이 2024년 가장 높았던 증권사는 한국투자증권과 NH투자증권 2곳이었다. 이중 NH투자증권은 2022년 정보보호 투자비율에서 6.8%로 가장 낮았지만 2023년 11.3%, 2024년 11.5%로 꾸준히 확대되고 있어 눈길을 모은다.

2024년 기준 10대 증권사의 정보보호 투자비율 순위를 보면 한국투자증권(11.8%)이 가장 높아 1위를 기록했다. 뒤 이어서는 ▲NH투자증권(11.5%) ▲메리츠증권(9.3%) ▲하나증권(9.1%) ▲대신증권(9.0%) ▲삼성증권(8.8%) ▲미래에셋증권(8.0%) ▲신한투자증권(7.8%) ▲키움증권(7.4%) ▲KB증권(7.2%) 순으로 정보보호 투자비율이 낮았다.

이에 대해 전문가들은 “2020년부터 약 5년간 발생한 전자금융 사고는 400건 이상으로 해마다 증가하는 추세”라며 “금융사고 피해의 약 80% 이상이 증권사에서 발생한다”고 말했다.

서은숙 상명대학교 금융경제학부 교수는 “만약 특정 증권사에서 해킹 사고가 일어나 매매 시스템이 중단되는 등의 사고가 벌어진다면 금융투자업계 전체의 ‘시스템 리스크’로 변질될 가능성이 크다”라며 “또 다른 코리아 디스카운트 요소가 추가되는 꼴”이라고 지적했다.

정세은 충남대학교 경제학과 교수는 “롯데카드의 정보보호 비중이 11%였음에도 사고가 발생한 점을 통해 증권업계에 적용되는 7% 기준에 대한 재논의가 필요하다”고 경고했다.

또한 증권업계의 정보보호 활동에 대해 박기웅 세종대학교 정보보호학과 교수는 “투자자들의 기업 시스템에 대한 눈높이가 높아진 만큼 기업이 전산 시스템을 꾸리는데 외부의 도움을 받는 것은 이미 진행된 사안”이라며 “정보보호 예산 확대와 함께 기업이 복잡해진 전산시스템의 가시성을 획득해 취약 지점을 명확히 파악해야 할 것”이라고 설명했다.

◆증권사 정보보호 공시 소홀…“공시 후 얻는 이익 적기 때문”

현재 증권사가 정보보호 공시를 소홀히 하는 이유는 공시 후 얻는 이익보다 손해가 크다는 인식 때문이라는 게 정계, 경제학자들의 대다수 의견이다.

이들에 따르면 증권사들이 정보보호 공시를 진행했을 때 자칫 이에 대한 투자비용이 적을 경우 예민한 투자자의 이탈이나 경쟁사들의 공격형 마케팅 수단으로 활용될 가능성이 있다. 이 때문에 쉽게 공시를 하지 않으려 한다는 것이다.

실제로 10대 증권사 중 한국인터넷진흥원 정보보호 공시 종합 포털을 통해 IT투자 공시를 실시한 기업(2025년 10월 1일 기준)은 ▲신한투자증권 ▲한국투자증권 ▲NH투자증권 ▲대신증권 등 4개사에 불과했다.

이러한 정보보호 공시 현황은 증권업계 내 개인정보·고객자산 유출과 같은 개별 증권사 사고가 연쇄 불안 심리 요인으로 금융시스템 전반에 대한 연쇄 불안 요소 및 투자자 신뢰 하락으로 이어질 가능성을 보여주는 것이다.

한국인터넷진흥원 관계자는 이러한 공시 의무에 대해 “금융분야의 정보보호 투자 현황의 경우 금융위원회 통한 ‘정보기술부문 계획서’로 제출돼 중복 규제 등으로 정보보호 공시제도의 자율 대상이다”라며 “한국인터넷진흥원이 현재 유일한 금융투자업계 내의 전산투자관련 공시 종합 포털인 만큼 업계의 자율공시 참여가 확대될 수 있도록 지속적으로 협력 및 지원할 예정이다”고 말했다.

이에 대해 전문가들은 자본시장은 투자자의 신뢰를 바탕으로 작동하는 만큼 사이버 침해사고 발생 이후 명확한 공개 자료가 없을 시 단기 주가 하락과 더불어 투자자들의 시장 이탈로 이어져 자본시장의 핵심 인프라인 안전한 거래 환경 구축에 차질이 생길 수 있다고 경고했다.

서은숙 상명대학교 교수는 “증권사가 정보보호 공시를 진행하는 것으로 얻는 편익이 적어 적극적인 참여 기대가 어려운 실정이나 금투업계 정보보호 중요성이 커지는 만큼 수면 위로 드러날 필요가 있다”며 “세제 혜택, 정보보호 우수 기업 인증제도 도입, 보안사고 관련 CEO 책임 강화 등을 통해 증권업계의 정보보호가 단순 비용이 아닌 ‘자본시장의 인프라’로 인식되도록 변화가 필요하다”고 정보보호 공시의 중요성을 강조했다.

박기웅 세종대학교 교수는 “증권업계가 투자자 보호 차원에서 정보보호 공시에 대한 적극적인 태도를 보이는 것은 매우 바람직한 방향성”이라며 “증권업계가 정보보호에 대한 투자와 활동 공개를 하나의 가치로 세워 브랜드화시키는 흐름이 존재할 필요가 있다”라고 설명했다.

박상혁 국회 정무위원회 소속 더불어민주당 의원은 “디지털 금융의 규모가 점점 커지는 지금, 증권업계의 IT투자 대비 정보보호 투자 부족은 보안사고 발생으로 이어져 금융시장의 신뢰를 붕괴시킬 수 있다”라며 “이는 현 정부의 ‘코스피 5000 달성 공약’의 필수 선결 조건이자 분명한 잠재적 리스크다”라고 지적했다.

NSP통신 임성수 기자(forest@nspna.com)

ⓒ한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 및 AI학습 이용 금지.