[정보보안 거버넌스 점검]'해킹 피소' 미래에셋증권, 톱티어 예산에도 사고[증권]보고서 공개하지만 공시 미참여…전산사고 제재·해킹 소송에 거버넌스 시험대
허인혜 기자공개 2025-11-14 08:13:45
[편집자주]
“세상엔 두 종류의 기업이 있다. 해킹을 당한 곳과, 아직 그 사실을 모르는 곳.” 세계적 보안업체 시스코의 진단이다. 완벽한 방어는 없으며 공격자는 결국 침투할 방법을 찾아낸다. 그래서 보안 전략의 근간은 기술이 아닌 프로세스에 있다. 조직 설계와 절차 개선, 꾸준한 투자가 끊임없이 순환하는 과정이다. 끝나지 않는 전쟁, 디지털 자산을 지키려는 기업들의 방패는 얼마나 견고할까. 더벨 SR(서치앤리서치)본부가 두드려봤다.
이 기사는 2025년 11월 12일 08:09 thebell 에 표출된 기사입니다.
하지만 전산사고와 해킹 피소 등 사건·사고도 잦다. 전산사고로 금융감독원에게 기관주의 등의 조치를 받았다. 배재현 전 카카오 투자총괄대표와도 해킹 관련 다툼 중이다.
다만 미래에셋증권은 정보보호 종합포털 공시에 참여하지 않는다. 자사 기준에 맞춘 보고서로 대체하는 만큼 정보보안 전담 인력의 명확한 규모 등을 파악하기 어려웠다. 미래에셋의 정보보호 관련 시스템에 대한 재점검이 필요하다는 지적도 나온다.
◇'해킹 피소·기관주의' 잇따른 보안사고 잡음
최근 배재현 전 카카오 투자총괄 대표가 제기한 민사소송으로 미래에셋증권의 정보보안 체계가 도마에 올랐다. 배 전 대표는 2023년 계좌 해킹으로 현금과 주식 등 100억원대 손실을 봤다고 주장했다. 위조 신분증이 사용됐는데 보안 시스템이 잡아내지 못했다고 전해진다.
미래에셋증권은 실제 피해 규모가 당시 시가 기준 약 15억8000만원 수준이라고 반박했다. 또 신분증 진위 확인 시스템은 정부의 소관이라는 반론도 내놨다. 또 다른 금융기관 계좌로 이체돼 모든 책임이 귀속되지는 않는다고 했다.
하지만 해킹 사고가 발생했고 일부 책임이 있다는 점은 부인하기 어려울 것으로 보인다. 여기에 금융감독원이 10일 미래에셋증권에 기관주의 및 과태료 1억2160만원 부과조치를 내리며 정보보안 리스크가 추가로 부각됐다.
이번 조치는 2021년 3월 거래소 장이 열리자마자 미래에셋증권 모바일트레이딩시스템(MTS)이 멈춰선 데에 따랐다. 서버 용량 초과로 수십분 간 주식 거래가 지연·중단돼 금융소비자 피해가 발생했다는 지적이다.
다만 두 사건의 발생 시점은 현 시점 대비 적어도 2년 전이다. 배 전 사장의 해킹 피해는 2023년 발생했다. 금감원의 기관주의 및 과태료 부과 조치는 2018~2021년 사이 전산사고와 관리를 문제 삼았다.
◇정보보호 공시 미참여, 규모 비해 아쉬운 투명성
개선해야할 점은 외부에서 볼 수 있는 정보의 밀도와 투명도다. 미래에셋증권은 통합보고서는 내지만 한국인터넷진흥원(KISA) 정보보호 종합포털에 자율공시자로는 참여하지 않는다.
60곳의 증권사 중 토스증권과 신한투자증권, 한국투자증권, SK증권, NH투자증권, 대신증권 등 6곳만 자율공시를 시행 중인 만큼 참여 기업이 많지는 않다. 하지만 톱티어를 다투는 미래에셋증권의 규모를 고려하면 아쉽다.
정보보호 공시 항목을 보면 기업의 구체적인 지표들을 확인할 수 있다. 정보보호 사전점검을 수행했는지부터 정보보호 투자와 인력 현황, CISO나 CPO 지정 여부도 공개한다. 또 정보보호 관련 인증과 평가, 점검과 함께 구체적으로 어떤 정보보호 활동을 했는지도 명시한다.
미래에셋증권은 자사 보고서를 통해 정보보호 활동의 일부를 공개한다. 공개할 정보를 취사선택할 수 있다는 의미다. 취약점은 숨기고 장점만 내세우거나 세세한 정보를 알리지 않을 수 있다. 미래에셋증권은 전체 임직원 중 정보통신 전담 인력과 그중 보안 인력의 비중은 명시하지 않았다.
미래에셋증권 역시 KISA 공시 체계에 맞춰 정량 데이터를 보다 체계적으로 공개해야 할 필요성이 커졌다는 지적이다. 이르면 내년 상반기부터 상장사 전체로 정보보호 공시 의무가 확대될 예정이다.
◇거버넌스·인증·예산 선진화 노력 지속
공시 기준에 100% 맞추지는 못했지만 통합보고서로 공개한 정보도 상당한 만큼 개선여지가 충분하다. 미래에셋증권은 이사회에서 대표이사, CISO로 이어지는 정보보호 거버넌스 체계를 공개했다. 산하에 사이버침해대응팀과 정보보안팀, 개인정보 보호팀 등을 뒀다.
이사회 산하 위원회의 체계도 잘 마련해 뒀다. 전사 정보보호 전략을 담당하는 정보보호본부를 뒀다. 이 본부가 심의·의결 기구인 정보보호위원회 안건을 상정하는 구조를 운영하고 있다.
인증서와 평가 결과도 공개했다. 미래에셋증권은 2010년 정보보호 관리 국제표준 ISO 27001을 취득한 데 이어 2024년 10월 글로벌 인증기관 DNV 심사를 통해 개인정보보호 국제표준 ISO 27701 인증을 추가로 확보했다. 국내 정보보호 관리체계(ISMS)와 통합 개인정보보호·정보보호 관리체계(ISMS-P)도 취득 후 유지했다.
한편 미래에셋증권의 정보보호 예산은 업계 최고수준이다. 국정감사 자료를 통해 확인한 미래에셋의 정보보호예산은 3년 연속 최고 수준이었다. 국회 정무위원회 소속 김재섭 국민의힘 의원실에 따르면 미래에셋증권의 정보보호 예산은 2023년 174억원, 2024년 191억원, 2025년 245억원 등으로 나타났다. 전체 증권사 중 정보보호 예산에 200억원을 넘게 편성한 곳은 미래에셋증권이 유일하다.
< 저작권자 ⓒ 자본시장 미디어 'thebell', 무단 전재, 재배포 및 AI학습 이용 금지 >
best clicks
최신뉴스 in 전체기사
-
- SK넥실리스-SKC 대표, 첫 '겸직 체제'
- 김종화 SK에너지 사장, 지오센트릭 겸임
- 장재훈 부회장 “수소, 더 이상 꿈과 상상 아니다”
- [World Hydrogen Expo 2025]코오롱인더 사장 “ENP 합병, 업황 타개보다 시너지 제고 목적”
- [World Hydrogen Expo 2025]양희원 현대차 사장 “배터리 내재화, 직접생산 의미 아냐”
- [World Hydrogen Expo 2025]이용배 현대로템 사장 “수소 투자, 현대차와 협의 중”
- [World Hydrogen Expo 2025]장재훈 현대차 부회장 “수소 경제, 주도권 지킬 것”
- [현장 스토리]한울소재과학 "철저한 품질관리로 소재 시장 안착"
- 큐리어스, 이도 재무·사업구조 개선 위한 구조화 투자 추진
- 스틱인베스트먼트, 크린토피아 인수 SPA 체결 목전
허인혜 기자의 다른 기사 보기
-
- [D&O 재설계]'90년대 미국 약관' 그대로…한국 약관 변화 필요
- [D&O 재설계]'주주 충실의무'가 불러올 소송의 시대
- [영상]'폭약에서 누리호로' 화끈보다 따끈해진 한화
- [정보보안 거버넌스 점검]우등생 삼성SDS, 투자 많고 체계 구축 완비
- [지배구조 분석/포시마크]'수수료 장사'에서 광고로, 지배구조가 바꾼 수익모델
- [지배구조 분석/포시마크]나스닥 성장주에서 네이버 커머스 엔진으로
- [지배구조 분석/포시마크]VC 중심 이사회에서 전략가 중심 보드로
- [지배구조 분석/포시마크]눈치볼 곳 많았던 '미국의 당근'
- [영상]'깐부 회동' 젠슨 황, GPU는 선물일까 숙제일까
- [지배구조 분석/솔리다임]흑자전환 시장호황보다 중요했던 '거버넌스'