이 기사는 2025년 11월 11일 08:18 thebell 에 표출된 기사입니다.

증권사의 정보보안 위험에는 외부의 정보탈취뿐 아니라 전산장애와 IT 내부통제까지 포함된다. 특히 전산장애는 직접적인 손실로 이어진다. 2020년부터 약 5년간 증권사에서 발생한 전산장애만 500건으로 증권사 스스로 산정한 피해액만 267억원이다.

하지만 여전히 증권사의 정보보호 예산과 인력, 공시 여부와 최고정보보호책임자(CISO)의 위상은 들쭉날쭉했다. 자율공시에 나선 증권사는 전체의 10분에 1에 불과했다. 지속가능경영 보고서 고지 항목도 서로 달랐다.

IT예산 대비 보안투자 비용도 일부 증권사는 국내 평균을 넘어 글로벌 기업과 견줄만 했지만 예산을 확인할 수 없는 곳도 많았다. 별도의 CISO 없이 리스크 관리자나 IT 임원이 이를 겸하는 증권사도 여럿이다.

◇토스·신한·한국·SK·NH·대신은 자율공시, 밀도 다른 ESG 보고서

금융투자협회에 따르면 협회에 소속된 국내 증권사는 60곳이다. 이중 2025년 상반기 기준 자기자본 1조원 이상의 대형사로 분류된 증권사는 20곳이다.

한국인터넷진흥원(KISA)에 따르면 2025년 정보보호 공시 종합포털에 이름을 올린 증권사는 6곳에 불과하다. 토스증권과 신한투자증권, 한국투자증권, SK증권, NH투자증권, 대신증권 등이다. 대형사로 기준을 좁히면 한국투자증권과 NH투자증권, 신한투자증권, 대신증권만 정보보호 현황을 공시했다.
그마저도 늘어난 수치다. 2021년에는 토스증권만이 유일하게 정보보호 공시에 참여했다. 이듬해 신한투자증권이 추가됐다. 2023년 4곳, 2024년 4곳에서 올해 6곳으로 더디게 늘었다.

10대 증권사는 정무위원회 국정감사 자료로 세부 수치를 볼 수 있었지만 자발적인 정보 공개는 아니었다. 일부 증권사들은 자율 공시는 내놓지 않았지만 지속가능경영 보고서 등으로 정보보호 현황을 알렸다.

공시 기준에 맞춰 작성하는 것은 아니어서 담고 있는 정보의 밀도는 달랐다. 대부분의 증권사가 정보보호 의사결정 체계에 대한 정보는 기재했지만 예산이나 인력은 적지 않았다. 정보보호 교육 시간을 공개하는 수준에 그쳤다.

미래에셋증권은 정보보호 최고책임자의 정보 등 정보보안 의사결정 체계와 IT 예산대비 정보보호 관련 예산 지출 비중 등을 상세히 고지했다. 다만 전체 임직원 중 정보통신 전담 인력과 그중 보안 인력의 비중을 확인할 수는 없었다. 메리츠증권도 ESG 보고서로 관련 내용을 확인할 수 있었지만 격년 발간으로 현황을 파악하기는 쉽지 않았다.

KB증권도 지속가능경영보고서로 정보보호 체계를 알렸지만 투자금과 인력 등 세부 숫자는 보이지 않았다. 한화투자증권은 정보보호 투자비는 확인 가능했지만 다른 수치는 포함하지 않았다. NH투자증권은 의사결정 체계는 공개했지만 역시 다른 수치를 확인하기 어려웠다.

◇IT예산 대비 보안비 '글로벌 갭' 우등생 vs 부족·미확인 양분화

자율공시를 택한 기업들은 IT 예산 대비 보안 투자 비중이 평균 이상이었다. 글로벌 기업의 IT 예산 대비 보안투자액 비중은 10~11%로 추산된다. 보안 컨설팅 기관 IANS 리서치(IANS Research)와 글로벌 사이버보험 업체 히스콕스(Hiscox) 등의 최근 리서치에 따랐다.

일부 증권사들은 같은 기준의 보안투자 비중이 10%를 넘어 글로벌과 견줄만 했다. 2024년을 기준으로 토스증권이 11.6%, 한국투자증권이 13.2%로 집계됐다. 신한투자증권이 9.2%, SK증권이 8.8%였다. 대신증권이 8.2%, NH투자증권이 7.6%로 나타났다.

국내 773개 기업의 평균이 6.29%인데 모두 이보다 높았다. 미래에셋증권도 통합 보고서를 통해 2024년 관련 비중이 8%라고 고지했다. 2022년부터 지난해까지 한 차례도 8% 이하로 떨어지지 않았다.


가장 우수했던 한국투자증권은 IT부문에 1261억원을 투자하고 이중 167억원을 정보보호에 투입했다. IT담당자 422.5명 중 41.7명이 정보보호 전담 인력이다. 정보보호 투자금을 어디에 집행했는 지도 공개했다. 클라우드 보호 플랫폼과 사외접속 보안 강화 등이다. 김대종 CISO 상무는 주요 보안 이슈를 대표이사에게 정기적으로 보고한다.

신한투자증권은 138억원을 투입했다. 공시에 따르면 문서반출시스템 재구축, 무선 백도어 해킹 방지 시스템 구축 등에 집행했다. 전체 증권사의 전산 운용비용은 상승했다. 2024년 기준 국내 증권사의 전산 운용비는 2404억원이다. 2020년 1264억원 대비 두배 늘었다.

한화투자증권은 2025년 지속가능경영 보고서를 기준으로 정보보호 투자비용이 51억원이었다. 메리츠증권은 2023년 지속가능경영 보고서를 기준으로 IT 예산 대비 정보보호 예산의 비중이 9.4%로 높았다. 절대 투자액은 30억원이다.

절대 금액이 크지는 않지만 보고서나 공시에서 예산이나 인력을 공개한 증권사는 선진적인 편이다. 공시 의무가 없는 대부분 증권사는 예산 규모와 투자 방향, 전담 인력 수 등 기본적인 지표조차 외부에서 확인하기 어렵다.

◇CISO 위상·이사회 관심도 격차

정보보안 책임자의 위상과 이사회의 관심도 증권사별로 격차가 있었다. 자기자본 상위 20개 증권사이면서 정보보호 최고책임자나 임원급 담당자를 배치하지 않은 곳도 있다. 리스크관리, ESG부문 임원 등으로 대체하고 있는 것으로 보인다. 현대차증권과 키움증권 등은 CISO나 CPO가 없었고 리스크관리 담당자를 뒀다.

정보보호최고책임자(CISO)가 개인정보보호책임자(CPO)가 겸직하는 경우는 부정적으로 평가하기 어렵다. 정보보안 체계를 통합하기 위한 장치일 수 있어서다. IT 총괄 임원이나 다른 직무의 임원이 겸직하는 경우에는 업무 집중도가 낮아질 수 있다는 지적이 나온다.


또 이사회에서 정보보안 관련 안건을 취급하는 빈도나 이사회 차원의 보안 전문성도 개선이 필요해 보인다. 일부 금융사는 이사회 내 리스크관리·ESG위원회에서 정보보호를 정기 안건으로 다루고 있으나 보안·정보통신 분야 경력자를 사외이사로 영입한 사례는 여전히 드물다.

실제 피해가 발생하는 상황인 만큼 증권사들의 추가적인 노력이 필요해 보인다. 최근 정무위원회 국정감사 자료에 따르면 2020년부터 올해 5월까지 증권사 전산장애 건수는 497건, 피해액은 267억원이었다. 원인은 프로그램 오휴와 시스템·설비 장애 등으로 나타났다. 시스템·설비 장애는 빈도는 높지 않았지만 발생하면 피해액이 컸다.