메리츠증권의 정보보안 투자가 자본규모 대비 상대적으로 적은 것으로 나타났다. 상반기 기준 자본 7조원을 넘기며 5위에 오른 대형 증권사지만 정보보호 예산은 10대 증권사 가운데 가장 적었다.

정보보호 체계·예산·인력에 대한 공시가 이뤄지지 않고 있다는 점, 이사회에서 관련 내용이 다뤄지지 않았다는 점 등도 아쉽다. 카이스트 출신의 IT전문가가 정보보호최고책임자(CISO)를 맡고 있는데다 지난해 중기 보안 관련 계획을 수립한 것은 긍정적 대목으로 평가된다.

◇정보보호 투자 10대 증권사 중 가장 적어, "확대 계획"

메리츠그룹의 지속가능경영보고서에 따르면 메리츠증권은 정보보호최고책임자(CISO)를 위원장으로 하는 정보보호위원회를 설치, 운영하고 있다. 위원회에는 주요 부문장이 참여해 부서별 개인정보 이슈를 관리한다. 위원회에서 다뤄진 사항들은 최종적으로 대표에게 보고된다.

보안 투자 규모 자본규모 대비 적다. 김재섭 국민의힘 의원실에 따르면 메리츠증권의 정보보호 예산 규모는 10대 증권사(미래에셋증권, 한국투자증권, KB증권, NH투자증권, 메리츠증권, 삼성증권, 하나증권, 신한투자증권, 키움증권, 대신증권) 중 최하위다.

메리츠증권의 해당 예산 편성액 규모는 2022년 37억500만원에서 2023년 30억5100만원으로 줄었다 2024년 36억4400만원, 2025년 43억3100만원으로 다시 증가했다. 실제 집행액 규모는 2022년 34억3400만원, 2023년 39억8700만원, 2024년 25억5700만원이다. 올해는 상반기 기준 19억7100만원이 쓰였다. 메리츠증권의 정보보호 예산 규모는 10대 증권사의 평균 142억8200만원과 비교하면 3분의 1 규모다. 올 상반기 기준 메리츠증권의 정보보호 인력은 9명, 10개 증권사 평균인 23.6명의 38.1% 수준이다.

메리츠증권의 정보보안 투자 금액이 적은 데는 개인고객 비중이 크지 않은 점, 전체 직원수가 적은 점 등이 영향을 미쳤다. 게다가 메리츠증권은 보안 관련 업무를 외주가 아닌 내부직원으로 충당하면서 관련 비용 일부가 판관비로 편입되기도 했다.

이사회의 정보보안 관련 활동은 아쉬운 대목이다. 사외이사 가운데 IT, 보안 관련 전문가는 없다. 지난해 연간, 올해 상반기 기준 이사회에서 정보보호 관련 내용이 보고되거나 안건으로 다뤄진 사례는 없다. 메리츠증권 관계자는 "앞으로 정보보안 관련 투자와 인력을 꾸준히 확대할 계획"이라고 설명했다.

◇CISO 카이스트 출신 전문가, 2028년까지 목표도 수립

정보보호최고책임자(CISO)가 전문성을 갖춘 인물이라는 점은 긍정적이다. 메리츠증권의 CISO는 김근영 상무다. 그는 한국과학기술원(카이스트)에서 전산학을 전공하고 메리츠화재 IT팀에서 부장부터 상무까지 승진한 IT 전문가다. 현재는 메리츠금융지주 IT담당, 메리츠캐피탈 CISO까지 함께 맡고 있다.

메리츠는 그룹차원에서 정보보호 및 개인정보보호 중장기 목표를 수립했다. 2024년 지속가능경영보고서에 따르면 2026년까지 시스템 인프라와 대응능력 강화를 추진한다. 세부적으로 정보보호조직 확대, 통합인증시스템 업그레이드, 정보처리시스템 관리자 통제방안 개선, 침해사고 대비 포렌식 절차 마련, 자독 백업/복구 솔루션 구축을 목표로 세웠다.

2028년 목표는 유출 사고 및 침해사고 제로 달성이다. 이를 위해 문서 중앙관리시스템 및 정보처리시스템용 권한 관리 시스템 구축, 클라우드 전환 등을 통한 정보보안 개선방향 도출 등 현황 분석에 공을 들이겠다는 계획을 세웠다.

메리츠증권이 정보보호 공시(KISA 정보보호 종합포털)에 참여하지 않고 있다는 점은 아쉬운 대목이다. 한국투자증권, NH투자증권, 대신증권, 신한투자증권, 토스증권 6곳은 한국인터넷진흥원(KISA)에 정보보호 현황을 공시하고 있다. 그룹 지속가능경영보고서에 일부 정보가 포함돼 있긴 하지만 인력·사고발생 이력·세부 예산 등 핵심 지표는 확인이 어렵다.