27일 금융당국에 따르면 이달 16일 금융감독원은 키움증권에 경영유의사항 3건을 조치했다. 경영유의사항은 회사 스스로 개선하도록 권고하는 상대적으로 가벼운 제재다.
키움증권은 전자금융거래에 직접 이용하지 않는 전산시스템을 취약점 평가 대상에 넣지 않았다. 대상에서 빠진 시스템은 악성코드에 감염될 수 있다는 지적을 받았다. 일부 전산시스템은 기술지원을 종료한 운영체제를 그대로 사용하는 바람에 해킹이나 악성코드에 취약했다.
금감원 관계자는 "보안패치 적용을 누락한 사례도 있었다"라며 "기술지원이 끝난 운영체제도 구체적인 교체 계획을 세워야 한다"고 지적했다. 이 관계자는 "운영체제를 바꿀 때까지 보안대책을 마련해 사고 가능성을 최소화해야 한다"고 덧붙였다.
금감원 관계자는 "전산사업 계획을 적절하게 수립하고, 제대로 이행할 수 있게 전산운영위 심의 대상을 확대해야 한다"며 "사후관리도 강화해야 할 것"이라고 지적했다.
키움증권은 해마다 전자금융기반시설 취약점 분석·평가를 1차례 이상 실시했지만, 보완조치를 제대로 하지 않았다. 한 번 드러났던 취약점이 다시 발견되기도 했다.
금감원은 개선사항 4건도 키움증권에 통보했다. 정보기술(IT) 감사업무가 제대로 운영되지 않아서다. 외부주문에 대한 내부통제도 미흡했다. 프로그램 시험·변경 관리도 문제로 지적됐다.