키움증권이 해킹·악성코드에 공격당할 위험에 노출됐던 것으로 드러났다.

27일 금융당국에 따르면 이달 16일 금융감독원은 키움증권에 경영유의사항 3건을 조치했다. 경영유의사항은 회사 스스로 개선하도록 권고하는 상대적으로 가벼운 제재다. 

키움증권은 전자금융거래에 직접 이용하지 않는 전산시스템을 취약점 평가 대상에 넣지 않았다. 대상에서 빠진 시스템은 악성코드에 감염될 수 있다는 지적을 받았다. 일부 전산시스템은 기술지원을 종료한 운영체제를 그대로 사용하는 바람에 해킹이나 악성코드에 취약했다.

금감원 관계자는 "보안패치 적용을 누락한 사례도 있었다"라며 "기술지원이 끝난 운영체제도 구체적인 교체 계획을 세워야 한다"고 지적했다. 이 관계자는 "운영체제를 바꿀 때까지 보안대책을 마련해 사고 가능성을 최소화해야 한다"고 덧붙였다.

키움증권은 전산운영위원회를 정기적으로 열어왔지만, 여기서 세운 전산사업 계획을 일정대로 이행하지 않았다. 전산운영위 의결이 필요한 중요사항을 안건에 넣지 않았던 사실도 확인됐다. 전산운영위는 주요 전산사업을 심의·의결하는 기구다.

금감원 관계자는 "전산사업 계획을 적절하게 수립하고, 제대로 이행할 수 있게 전산운영위 심의 대상을 확대해야 한다"며 "사후관리도 강화해야 할 것"이라고 지적했다.

키움증권은 해마다 전자금융기반시설 취약점 분석·평가를 1차례 이상 실시했지만, 보완조치를 제대로 하지 않았다. 한 번 드러났던 취약점이 다시 발견되기도 했다.

금감원은 개선사항 4건도 키움증권에 통보했다. 정보기술(IT) 감사업무가 제대로 운영되지 않아서다. 외부주문에 대한 내부통제도 미흡했다. 프로그램 시험·변경 관리도 문제로 지적됐다.