[뉴스토마토 김세연기자] 최근 일부 금융기관과 언론사를 대상으로 한 동시다발적 해킹 공격이 나타난 가운데 증권업계도 혹여 피해를 입지않을까 하는 우려에 휩싸이고 있다.
정보기술(IT) 특성상 완벽한 보안이 어려운 상황에서 매년 수차례의 증권사 들의 전산사고가 끊이지않고 있어 투자 피해에 대한 보상 절차가에 대한 관심이 높아지고 있다.
◇증권가, 대규모 해킹 없어..IT보안 개정안 통과 절실
22일 금융투자업계에 따르면 대부분 증권사들의 자체 전산사고를 제외하고는 최근과 같은 대규모 해킹 사건이나 업계 전반에 걸친 사이버 테러는 없었다.
대규모 사고 발생시에는 시장 기능이 마비되면서 시세에 변동이 없기 때문이다.
하지만, 매년 증권사들의 홈트레이딩시스템(HTS)나 모바일트레이딩시스템(MTS)상 서버관리 부실이나 거래 체결, 송수신상 오류 등 개별적 접속장애가 반독되고 있어 마냥 안심하기는 어려운 상황이다.
지난 2011년 이후 주요 전산 장애 유형은 시스템의 비정상적인 종료, 지연, 주문장애와 오류 등으로 나타났다.
실제 지난 2011년 한 증권사는 HTS의 버전 업그레이드 과정에서 시스템이 비정상적으로 종료되는 장애가 발생하며 가장 많은 민원이 발생했고, 모의 투자대회를 병행해 진행하던 B 증권사는 시스템 과부화로 실제 주문이 지연되기도 했다.
또 다른 C증권사의 경우 주식워런트증권(ELW)의 유동성공급자(LP) 시스템의 장애로 호가가 제출되지 않는 장애가 발생했고, D 증권사의 경우 주문번호 체번 프로그램 오류로 주문이 집행되지 않는 전산사고가 발생한 바 있다.
금윰당국은 지난해 7월 국무회의를 통과한 '전자금융거래법 일부개정법률안'을 통해 증권사를 비롯한 모든 금융기관의 보안분야 관리 감독을 강화했다.
개정안에는 모든 금융기관은 IT보안 예산을 전체 IT 예산의 7% 이상으로 확보하고, 총 임직원의 5%이상으로 구성된 IT인력중 보안인력이 5%를 넘도록 규정하고 있다.
전자금융거래 안정성 확보와 내부통제를 위해 각 사마다 정보보호 최고 책임자(CISO)도 지정하고 보안이 취약한 위험구간(DMZ)와 내부망(BD)을 분리해 데이터베이스의 안정성도 강화시켰다.
하지만, 이 개정안은 지난 18대 국회에 제출됐으나 임기만료로 자동 폐기된후 재 상정돼 19대 국회를 통한 통과를 앞두고 있다.
◇전산오류시 '온라인 안되면 전화주문 해야'
증권사들의 전산시스템 장애로 인해 보상을 받을 수 있는 요건은 대부분 시스템 오류에 따라 매도 타이밍을 놓치는 경우로 한정된다.
매수의 경우, 실제 계약 체결의 당위성을 인정하기 어렵기 때문이다.
대부분 증권업계의 온라인 장애 보상 절차에 따르면, 전산사고에 따라 보상을 받기 위해서는 온라인상 오류 발생시 주문자가 전화나 직접 내방 등의 비상주문이 불가한 상황에 한해 이뤄진다.
특히, 온라인상 주문을 위한 접속기록과 전화 녹취기록 등으로 고객의 주문내역을 객관적으로 입증되는 경우에 해당일, 해당 증권사의 시스템상 장애가 명백한 경우에 한해 보상신청이 인정된다.
피해를 본 투자자가 보상을 신청하면 해당 증권사는 주문 수행 가능 여부를 확인하고, 매도시점과 실제주문 정상화 시점간의 가격차이에 대해 보상하게 된다.
보상 규모는 기본적으로 고객이 매도에 나선 시점에 접속장애가 발생한 인지시점과 정상화된 시점의 시가간의 차이에 대해 이뤄진다.
단, 정상화 이후 접속했음에도 매도를 하지않고 있다가 이후 시세 변동에 따라 보상을 요구할 경우는 피해를 보상받지 못한다.
한 증권사 IT관계자는 "권고사항이긴 하지만 대부분 증권사들이 개정안에 따른 5%룰을 시행하고 있다"며 "내부 전산시스템 장애에 대한 보상은 가능하지만, 이번과 같은 외부 공격에 따른 피해는 따로 사례가 없어 협의에 따른 보상결정에 나서야 할 것"이라고 설명했다.
또 다른 증권업계 관계자는 "대규모 해킹공격 가능성을 배제할 순 없지만, 대부분의 증권사가 공격을 받는 경우는 이번 은행권과 달리 시장마비 상태에 따른 자연스런 거래정지가 이뤄지기 때문에 개인들이 피해를 입는 경우는 드물 것"이라고 분석했다.
◇증권사 전산장애 분쟁 해결 법리
<자료 = 각 증권사>