삼성증권이 개발자 PC에 대한 보안통제를 제대로 하지 않아 금융감독원(이하 ‘금융감독원’)으로부터 경영유의‧개선조치를 받았다.

지난 9일 금감원은 삼성증권에 대해 경영유의‧개선 조치를 각각 4건, 7건 내렸다.

금감원에 따르면 삼성증권은 경영위원회 결의사항 중 일부 중요 결의 건을 이사회에 보고하지 않은 것으로 드러났다.

또 유동성 위기상황분석(Stress Test)을 실시하면서 유동성 위기상황분석 시나리오에 매입보장약정‧기관RP 등의 현금유출 부분과 유동성자산 매각시 금리상승 등으로 인한 채권가치 하락 부분 등을 반영하지 않았다.

이와함께 삼성증권 리스크관리부서는 위험평가(RAMS : Risk Analysis Management System)를 수행하면서 평가결과를 등급 위주로 담당임원에게만 보고해 경영진의 위험관리 의사결정에 활용되지 않았다.

이에 금감원은 위험평가 결과에 대한 자체분석을 강화하고 해당 결과를 위험관리집행위원회에 보고하는 등 위험평가 결과 활용도 제고방안을 마련‧시행하도록 삼성증권에 요구했다.

삼성증권 소속 개발자들의 PC에 대한 보안통제 강화도 필요한 것으로 조사됐다.

금감원 조사결과 동사 모바일 프로그램 개발 외주업체의 디자인 개발자가 본인이 사용하는 Mac OS PC(1대)에 설치된 보안 프로그램을 임의로 삭제하고 USB테더링 기능을 사용해 웹하드, 디자인 관련 웹사이트 등에 접속한 것으로 밝혀졌다. 

또한 개발자 PC 중 아이폰용 OS인 IOS기반의 앱 개발‧배포할 경우 개발 PC와 배포 PC를 분리 운영하지 않고 있어 중요자료가 외부에 유출되거나 악성코드 등에 감염될 가능성도 큰 것으로 나타났다.

삼성증권 조사 결과 드러난 이상 4건에 대해 금감원은 경영유의 조치를 내렸으며 다음 7건에 대해서는 개선할 것을 요구했다.

금감원은 먼저 조사분석자료 내용이 사실상 확정되는 시점과 외부로 조사분석자료가 공표되는 시점 간 차이가 발생한 사례가 있으므로 조사분석자료에 대한 내부 결재 시점과 외부 공표 시점 간 시간차이가 발생하지 않도록 관련 업무 시스템을 개선할 필요가 있다고 밝혔다.

또 투자일임보고서를 작성해 3개월마다 1회 이상 투자일임계약을 체결한 일반투자자에게 교부하면서 일임투자자 정보 등을 주기적으로 갱신하지 않아 일부 투자일임보고서가 전달되지 못한 사례가 존재해 투자일임보고서가 정확히 교부되도록 관련 업무를 개선해 줄 것을 요구했다.

삼성증권은 유동성비율 산정시 산정근거가 되는 회계계정별 상세내역 등을 검증하는 절차가 체계적으로 구축되어 있지 않아 유동성비율을 과소산정한 사례도 적발됐다.

이에 금감원은 유동성비율 관련 시스템 보완과 유동성비율 산정 근거에 대한 정확한 검증절차 등 관련 업무 개선을 권고했다.

사외이사에 대한 정보제공절차 개선도 필요한 것으로 나타났다.

삼성증권은 사외이사에게 회의자료를 사전에 발송하되 필요시 생략할 수 있다고 ‘사외이사에 관한 규정’을 정하고 회의 개최 직전 사외이사에게 회의자료를 제공한 사례가 있던 것으로 조사됐다.

따라서 금감원은 사외이사의 원활한 직무수행과 안건을 충분히 검토할 수 있도록 사외이사에 대한 정보제공절차에 대한 개선 조치를 내렸다.

앞서 경영유의 조치를 받았던 보안 관련 사항이 추가로 발견돼 금감원은 삼성증권이 이에 대한 개선을 해줄 것을 요구했다.

조사결과 삼성증권이 외주를 맡긴 IT업체의 개발자 PC 1대에서 변환된 이용자 정보 데이터가 삭제되지 않고 저장돼 있는 것으로 드러났다.

이에 금감원은 업무수행을 위해 개발자 PC에서 테스트 데이터를 사용하고 보관할 경우 일정기간 내(예 : 1개월) 해당 데이터를 삭제토록 했다.

아울러 보안 점검시 테스트 데이터 삭제 여부를 수시로 점검하는 등 외주업체 관리체계 상 미비점을 보완하도록 했다.

금감원은 파일 공유서버에 대한 통제방안 개선책 마련도 삼성증권에 지시했다.

삼성증권은 프로젝트별 또는 부서별로 파일 공유서버를 사용해 업무자료 또는 업무 진행상황 등을 공유하고 있었다.

뿐만아니라 이와 관련해 외주업체에서 사용하는 파일 공유서버에 테스트 데이터, 거래 관련 등 일부 중요 정보가 보관돼 있어 향후 자료 공유를 위해 사용하는 파일 공유서버에는 중요 데이터를 보관하지 않도록 하고 공유서버에 대한 보안 강화도 주문했다.

금감원 검사착수일 현재 삼성증권 8개 영업점에서는 사용기한이 초과한 UPS(Uninterruptible Power Supply) 배터리를 사용하고 있어 갑작스런 정전, UPS 장애 등 긴급 상황 발생시 영업점 운영 차질 및 금융소비자 불편이 크게 우려됐다.

이에따라 금감원은 삼성증권에 사용기한이 초과된 UPS 배터리에 대해 교체를 추진하는 등 영업점 UPS 관리방안을 개시하라고 지시했다.
 
한편 금감원은 작년 2월경 삼성증권이 지난 2015년 1월 국내 특정 주식 6개 종목을 고객에게 추천하면서 해당 추천 행사를 전후해 삼성증권 임직원이 해당 주식을 사들인 사실을 적발한 바 있다.

당시 삼성증권 한 임원은 종목 추천행사가 진행된다는 사실이 외부에 공개되지 않은 상황에서 추천 종목을 매수했으며 또 다른 직원들도 자기매매 계좌‧고객 일임 계정을 이용해 해당 주식을 매수한 것으로 드러났다.

이에 금감원은 해당 임원에 대해 ‘주의’ 조치를 내렸고 직원들에 대해서는 삼성증권이 자율조치를 내리도록 지시했다.