지난해에 이어 올해도 증권사의 미흡한 IT보안에 대한 금융당국의 제재가 이어지고 있다. 이에 따라 각 증권사도 자체 경계 태세를 갖추는 모습이다.
2일 금융당국에 따르면, KDB대우증권은 지난달 29일 직원 조치 의뢰 1건과 기관 개선 3건의 제재를 받았다. 임의의 이용자가 직원 단말기를 무단으로 조작할 가능성이 있는데도 직원에게 보안에 취약한 프로그램을 배포한 사실이 적발됐다.
업무별 내부 통신망 접근 권한을 통제하지 않고, 분실 처리된 보안 이동식저장장치(USB)에 대해 이용 정지를 조치하지 않은 점도 포착됐다. 두 개의 시스템에 동일한 비밀번호를 사용하는 등 내부 시스템 이용자의 미흡한 비밀번호 관리 실태도 제재의 대상이 됐다.
앞서 지난달 3월20일에는 NH투자증권(구 우리투자증권)에 대한 기관 경영유의 1건과 개선 1건, 직원 조치의뢰 2건의 제재가 내려졌다. 특정 서버를 점검 대상에 포함하지 않았고, 공개용 웹서버에 기록된 이용자 정보를 암호화하지 않은 사실이 지적을 받았다.
금융당국이 지난해 하반기부터 금융사 IT보안에 대한 처벌 수위를 높이면서 증권사의 미흡한 보안 관리 실태도 집중 점검을 받고 있다. 이같은 움직임에 일부 증권사도 자체 보안 점검을 강화하고 있다. 이미 제재를 받은 증권사의 경우 정기 모니터링과 불시 점검에 더 힘을 쏟고 있다는 후문이다.
지난해 개인정보 관리 소홀로 제재를 받았던 한 증권사의 경우 한 달에 한 번 업무용 PC에 보안 프로그램을 돌리고 있다. 개인정보가 PC에 저장돼있는지 여부를 검사하는 프로그램이다. 프로그램이 점검을 완료하면, 결과는 보안팀에 보고서 형식으로 작성해 제출한다.
보안팀이 사전예고 없이 진행하는 불시 점검은 분기마다 진행되고 있다. 점검을 통해 문제점이 발견됐을 경우, 해당 직원에게 책임을 묻는다. 보안 관리 소홀 문제는 직원의 인사 평가에도 반영된다. 작업 중인 프로그램 소스에 보안 문제가 있는지 여부를 미리 확인할 수 있는 솔루션도 도입했다.
A 증권사 IT팀 대리 B씨는 "보안 점검 때문에 업무가 번거로워지는 일이 많아 불편하고, 직원 개인에게 책임을 묻는 것도 불만"이라며 "그래도 만에 하나 생길 개인정보 유출이나 보안 문제를 확실히 방지한다는 취지에는 공감한다"고 말했다.
이혜진 기자 yihj0722@etomato.com