상임대리인 이메일 거래 관행···확인 절차 허점 노출LS證 "시스템 해킹 아니다"···운영 방식 전면 보완대형사는 기관 중심 시스템 거래···중소형사와 대비
LS증권에서 발생한 외국인 투자자 해킹 사고를 계기로 중소형 증권사의 상임대리인 거래 방식이 도마 위에 올랐다. 이메일 주문 자체는 중소형 증권사들이 일반적으로 활용하는 방식이지만 고객 확인 과정에서 편의상 예외를 둔 것이 사고를 키웠다는 지적이다. 이번 사고를 계기로 상임대리인 거래의 인증 절차를 손봐야 한다는 목소리에 힘이 실리고 있다.
8일 금융투자업계에 따르면 서울경찰청 사이버수사대는 올해 초 발생한 외국인 투자자 A씨의 이메일 계정 탈취에 따른 무단 주식 매매 및 자금 인출 사건을 수사 중이다.
LS증권은 해외 거주 외국인의 국내 주식 거래와 계좌 개설 등을 대행하는 상임대리인 자격으로 A씨의 주문을 처리해왔다. 사건은 해킹된 A씨의 이메일을 통해 주식 매매와 현금 인출 지시가 접수되면서 발생했다. LS증권은 고객의 이메일 계정이 탈취된 사실을 확인하고 금융감독원에 신고한 데 이어 경찰에 수사를 의뢰했다.
LS증권은 이번 사고를 회사의 시스템 해킹이나 내부통제 부실과 선을 그었다. 등록된 이메일을 통해 접수된 주문을 현행 본인확인 절차에 따라 처리했고, 평소와 다른 거래 패턴을 이상 거래로 판단해 신고했다는 설명이다. 금융보안원 등을 통한 점검에서도 내부 시스템 침해 정황은 확인되지 않은 것으로 알려졌다.
이메일 통한 업무처리 통용···"출금 단계선 추가 검증 했어야"
LS증권은 기존에도 비거주 외국인의 주문 수탁시 이메일 주문 접수 후 전화로 재차 확인하는 '2채널 인증'을 운영해왔다. 다만 해외 거주 고객의 시차 등을 고려해 고객이 취침 중인 시간에는 전화 확인을 생략하는 등 일부 예외적으로 이메일만으로 주문을 처리한 사례가 있었던 것으로 파악됐다.
LS증권 관계자는 "기존에도 전화 확인 절차는 운영하고 있었지만 시차 등을 고려해 일부 상황에서는 고객 편의를 고려했던 것이 사실"이라며 "앞으로는 시간과 관계없이 반드시 전화 확인을 실시하는 등 예외 없이 2채널 인증을 적용할 계획"이라고 말했다.
금융투자업계에서는 이번 사고가 이메일에 의존한 상임대리인 업무의 한계를 드러낸 사례라는 지적이 나온다. 계약과 규정에 따라 이메일 주문을 받을 수 있더라도 출금 단계에서는 복수의 인증 절차를 통해 사고를 차단할 수 있었다는 의견이다.
이번 사고를 내부통제 실패의 관점에서 봐야 한다는 시각도 제기됐다. 한 대형 증권사 관계자는 "고객이 해킹을 당할 수도 있고 직원이 속을 수도 있다는 전제를 두고 2중, 3중 안전장치를 만드는 것이 내부통제"라며 "이상 거래가 발생하면 고객에게 즉시 연락하고 거래를 일시 중단하는 등 추가 검증 절차가 있어야 한다"고 지적했다.
이어 "최소한의 규정을 지켰다는 것과 충분한 내부통제를 갖췄다는 것은 전혀 다른 문제"라며 "법적 책임 여부는 사법기관이 판단할 사안이지만 고객 보호를 위해 어떤 추가적인 노력을 했는지는 별개의 문제"라고 부연했다.
이메일만으론 안전망 확보 한계···"복수의 인증절차 필요"
이번 사고를 LS증권만의 문제로 보기 어렵다는 의견도 적지 않다. 중소형 증권사는 상임대리인 제도를 통한 비거주 외국인 개인 고객 거래 비중이 상대적으로 높아 이메일을 활용한 주문 접수와 본인확인 업무가 일반적으로 이뤄지고 있다. 반면 대형 증권사는 해외 기관·법인 거래 비중이 높아 DMA(Direct Market Access·직접시장접속) 등 시스템 기반 주문이 대부분이어서 이메일 주문이 거의 없는 것으로 알려졌다.
또 다른 대형 증권사 관계자는 "예전에는 이메일 주문도 있었지만 지금은 시스템 기반 거래가 일반적"이라며 "이번 사고는 이메일 해킹에서 비롯됐다는 점에서 현재 대형 증권사의 일반적인 거래 방식과는 결이 다르다"고 설명했다.
학계에선 이번 사고가 제도와 내부통제 모두에서 개선이 필요한 사례라고 진단했다. 서지용 상명대학교 경영학부 교수는 "이메일 인증은 해외에서도 널리 활용돼 왔지만 해킹 위험이 높은 수단인 만큼 허점이 드러난 것"이라며 "이메일이 인증과 거래 수단이라면 해킹 위험과 사고 가능성을 고객에게 충분히 안내하고 관리했어야 한다"고 지적했다.
이어 "이메일 해킹은 어제오늘 일이 아닌데 중요한 금융거래를 이메일과 연동한 만큼 대고객 안전망 확보 측면에서 미흡한 부분이 있었던 것으로 볼 수 있다"며 "외국인은 휴대전화 인증이 어려운 현실이 있지만 이메일 하나로 금융거래를 처리하는 것은 위험성이 크고, 전화나 여권 기반 인증 등 복수의 인증수단을 마련하는 방향으로 개선할 필요가 있다"고 제언했다.
LS증권 관계자는 "당사도 DMA가 있지만 이번 고객은 상임대리인 제도를 이용한 고객"이라며 "투자자와 이메일로 본인인증을 할 때는 기존 거래내역으로 본인을 확인했다"고 말했다.
이어 "사고 재발 방지를 위해 상임대리인 주문 수탁시 예외없이 2채널 인증과 책임자 승인을 거치는 것은 물론이고 계약 시에도 해외 송금 계좌를 특정하는 등 계약 절차를 강화할 것"이라며 "해외송금 요청 시 담당부서 및 처리부서 책임자 승인 등 관련 절차도 강화하겠다"고 덧붙였다.
관련기사
뉴스웨이 박경보 기자
pkb@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지







댓글