유안타증권 로고

2022년 사모펀드 불완전 판매 등으로 금융감독원으로부터 무더기 경영유의 조치를 받은 유안타증권이 이번에 또 무더기 조치(16건)를 요구받았다. 

경영유의사항 3건에서는 대체투자 업무를 하며 리스크관리가 제대로 되지 않거나 자금관리와 감사 부실로, 개선사항 13건에서는 승인 없는 수의계약, 통신회선 끊김, 해킹, 보안, 개인정보보호 등이 문제가 됐는데 전자금융사고 위험이 두드러졌다.   

먼저, 경영유의사항을 살펴 보면, 회사는 대체투자를 하며 각 회사에 미칠 리스크 요인을 확인하고 기준에 맞게 반영해야 하는데, 이를 단순하게 구분해 평가한 것이 확인됐다. 

SPC 자금관리도 엉망이었다. 회사 메일 대신 개인 메일을 사용하거나 상급자 확인도 없이 SPC에 자금 집행을 요청하는가 하면, 자금을 집행했다는 증빙자료도 제대로 보관하지 않았다. 일부 계약에서는 절차도 없이 자금을 내주기도 했다. 

IT부문 감사는 더욱 무책임했다. 규정에 따라 수시감사를 해야 하는데도 하지 않았고, 수시감사 기준도 마련하지 않았다. 게다가 정보보호업무 관련해서는 감사도 하지 않았고, 감사할 사람도 지정하지 않았다.  

개선사항은 이루 말할 수 없을 정도로 다양하다. IT업무 관련 억대 수의계약을 할 때는 IT운영위원회의 승인을 받아야 하는데, 회사는 2020년 1월부터 2023년 8월 1일까지 수십건을 승인 없이 계약했다. 

같은 기간 IT운영위원회의 심의 기준을 넘어가는 사업 등에는 외부 감리를 해야 함에도 내부 직원 1명이 수십건의 감리를 일괄로 하기도 했다. 

프로그램 개발과 운용에서는 테스트가 잘 됐는지 결과화면을 보고 확인해야 하는데, 이를 첨부하지 않았고, 프로그램 변경 시에는 사후결재 기한이 마련되지 않은 것이 드러났다.

야간에 일괄작업을 할 때는 평균 수행시간이 위험 기준을 넘지 않도록 승인을 받아야 하는데, 검토결과서를 누락해 사후관리가 제대로 되지 않기도 했다.

전자금융거래 관련 프로그램 변경 시 보안성 검증 요청을 누락할 우려가 있었고, 통신회선을 일원화해 회선이 끊기면 전자금융거래 서비스가 중단될 위험도 있었다.    

이밖에 이상금융거래탐지시스템 운영, 기술지원 종료 운영체제 사용에 따른 보안통제, 전자금융기반기설 안전성 관리, 해킹 등 전자적 침해행위 방지대책, 자체 보안성 심의 절차, 이용자 정보 관리 등에서 미흡하다고 판단했다.

증권사에 투자를 맡길 때는 안전하다는 믿음이 있어서다. 전산사고나 불완전 매매로 손실이 발생하거나 내부 직원의 주가 조작, 내부 통제 부실 등 여러 요인이 소비자를 불안하게 한다. 이러한 요인들이 반복되면 '내 돈이 안전한가'를 생각하게 된다. 한 번 걸리면 실수라 생각하지만, 두 번 걸리면 의도가 있다고 생각하게 된다.