키움증권이 일부 시스템에서 기술지원이 종료된 운영체제를 사용하거나 취약점 보안조치가 적절하게 이루어지지 않아 '해킹과 악성코드 위험'에 노출된 사실이 확인됐다.

금융감독원은 지난 16일 키움증권에 ‘경영유의사항 3건·개선사항 4건’을 조치하며 관리 시스템의 미흡한 점을 지적했다.

금감원, 경영유의 사항 3건 지적

‘경영유의사항’은 3건으로 ▲전산사업계획 및 수행 관리 미흡 ▲취약점 분석 및 절차 관리 강화 ▲정보처리시스템 운영체제 관리 강화 내용이 포함됐다.

키움증권은 정기적으로 전산운영위원회를 열긴했지만, ‘전산사업 계획’에 따라 사업을 운영하지 않고 일부 일정을 연기하는 등 사후관리가 소홀했다는 지적을 받았다.

또한 내규상 중요한 사항인 '전산사업 계획 대비', '지연사항에 대한 검토' 등의 내용도 안건에 포함하지 않았던 것으로 드러났다.

금감원 관계자는 “전산사업계획의 수립 및 이행 관리가 제대로 될 수 있도록 심의 대상과 안건을 확대하고 전산사업계획에 따라 사후관리가 필요하다”고 말했다.

키움증권은 해마다 전자금융기반시설 취약점을 분석하고 평가를 실시하고 보완조치를 시행했다. 그러나 금감원은 동일한 취약점이 다시 발견돼 보완조치가 적정하게 이뤄지지 않았다고 평가했다.

전자금융거래에 직접적으로 이용되지 않는 시스템을 취약점 분석·평가에 포함하지 않으면 시스템에 취약점을 남길 수 있는 위험과 악성코드에 감염될 우려가 있기 때문이다.

이에 대해 금감원 관계자는 “취약점 분석·평가시 직접적으로 이용되지 않는 시스템 등도 점검할 수 있어야 한다”며 “취약점 영향도를 제대로 분석해 중대 취약점에 즉시 조치할 수 있게 관련 절차를 강화할 것”이라고 전했다.

또 일부 전산시스템에 기술지원을 종료한 운영체제를 그대로 사용해 해킹이나 악성코드에 취약한 점이 드러났다.

금감원 관계자는 "기술지원이 끝난 운영체제도 구체적인 교체 계획을 세워야 한다"며 “일부 보안패치 적용이 누락된 사례도 있다”고 함께 지적했다.

또 이 관계자는 "운영체제를 바꿀 때까지 보안대책을 마련해 침해사고가 발생할 수 있는 가능성을 최소화해야 한다"고 덧붙였다. 

금감원 IT감사업무 불량 등 개선사항 4건 통보

금감원은 개선사항 4건도 키움증권에 통보했다.

'정보기술(IT) 감사업무'가 제대로 운영되지 않았고, '외부주문에 대한 내부통제'도 미흡했다. 따라서 IT감사업무 운용과 외부주문에 대한 통제 강화를 주문받았다.

'업무 연속성 확보'와 '프로그램 시험·변경 관리'도 문제였다. 일부 핵심업무에 대해 재해복구센터 서버만 구축하고 네트워크 통신망을 구축하지 않았다.

업무 연속성 확보가 중요한 이유는 주전산센터에 재해가 발생했을 때 재해복구센터에서 정상적인 서비스 수행이 어려울 수있기 때문이다.

또 프로그램을 실제 운영환경에 적용하기 위해 충분한 테스트 과정을 거치지 않은 사례가 발견되기도 했다.

이에 금감원 관계자는 “테스트 환경을 구축해 운영환경에 실제 적용 전에 충분한 테스트를 수행하고 프로그램 오류로 인한 장애발생을 최소화하는 예방대책을 마련할 필요가 있다”고 지적했다.