메리츠증권 모바일트레이딩시스템(MTS)에서 다른 고객의 미국주식 주문 체결 내역이 실명을 포함해 앱푸시로 노출되는 IT 오류 사고가 발생했다. 수수료 무료를 앞세운 공격적 마케팅 전략이 정작 기본 IT·보안 역량의 공백을 가릴 수 없다는 비판이 커지고 있다.
2일 온라인 커뮤니티 블라인드(Blind)에는 이날 오전 8시 전후로 메리츠증권 MTS 앱에서 한 이용자의 휴대폰 알림창에 다른 고객의 미국주식 체결 내역 앱푸시 알림이 송출됐다는 게시글이 올라왔다. 알림에는 체결 고객의 실명과 함께 체결 종목, 체결 시간, 수량, 매수가 등이 포함됐다.
해당 알림을 클릭하면 앱 내 거래체결 페이지로 직접 이동해 '프로셰어즈 비트코인 2X(ProShares Bitcoin 2X Strategy ETF) 50주 전량매수 체결, USD ○○.○○'와 같은 상세 체결 메시지가 그대로 표기됐다. 체결 시점은 2일 새벽 시간대로, 다수의 미국주식 체결 알림이 출근 시간대에 한꺼번에 수신된 것으로 파악된다.
블라인드에 게시된 이용자 화면 캡처에는 프로셰어즈 비트코인 2X 외에도 DEFIANCE BMHR ETF, VOLATILITY Shares 비트코인 관련 상품, 디렉시온 반도체 3X 레버리지 ETF(Direxion Daily Semiconductor Bull 3X Shares) 등 타인의 고위험 미국 상장지수펀드(ETF) 체결 내역이 담겼다.
올해 디지털 금융 환경은 통신 3사를 비롯해 롯데카드, 업비트, 쿠팡 등 IT 리스크 관리가 고도화되는 국면에 있다. 이찬진 금융감독원장은 전일 취임 첫 기자간담회를 열고 금융권 전반의 보안 투자 수준이 '형편없는 수준'이라는 강한 비판과 함께 금융사들을 향해 소비자 보호와 IT 리스크 관리 강화를 주문하기도 했다.
이런 가운데 증권사의 고객 실거래 체결 정보가 실명 기반으로 외부에 노출된 것은 개인정보 유출 사고로 금융투자업계의 신뢰 훼손을 피하기 어렵게 됐다는 평가다. 서학개미(미국 주식에 투자하는 개인투자자) 고객이 급증한 가운데 미국 주식 거래 안전성이 흔들린 점도 신뢰 리스크다.
메리츠증권은 지난해부터 MTS에서 미국주식 거래 수수료를 ‘0원’으로 내세운 대규모 광고 캠페인에 집중해 왔다. 업계 최저비용 경쟁을 유도하며 신규 고객 유입을 늘렸지만, 증권사 MTS가 타인 실명 체결내역을 클릭 한 번으로 열람 가능한 구조로 송출됐다는 것은 비용 경쟁 이전에 IT 리스크 통제의 공백을 드러내고 있다.
메리츠증권 관계자는 "현재 자세하게 확인은 어렵지만, 푸시 알림 오류 때문에 매매내역이 잘못 송출됐다"며 "해킹 또는 개인정보 유출과는 관계없는 알림 오류"라고 말했다.
