상세 컨텐츠

본문 제목

[LS증권] 외국인 투자자 이메일 계정 해킹을 통한 부정 주문 및 자금 인출 사고_2026년 07월

본문

LS증권에서 외국인 투자자의 이메일 계정이 해킹되어 공격자가 정상 고객을 가장한 이메일 주문을 전송하면서 고객 계좌에서 수십억원 규모의 자금이 무단 인출되는 사고가 발생했다. LS증권은 금융보안원 확인 결과 회사 전산망 해킹이나 고객정보 유출은 없었다고 밝혔으며, 사고 원인을 고객 이메일 계정 탈취로 판단하고 있다. 금융감독원은 외국인 상임대리인 업무의 이메일 주문 본인확인 절차와 내부통제 적정성을 점검 중이며, 서울경찰청 사이버수사대가 사고 경위를 수사하고 있다.



  개요 

   2026년 07월 LS증권이 외국인 투자자의 해킹된 이메일 계정으로 접수된 허위 주문을 정상 주문으로 인식해 처리하면서, 고객 계좌에서 수십억원이 무단 인출된 금융사고가 확인됐다.
    피해자 A씨는 해외에 거주하며 국내 주식에 투자하는 외국인 투자자로, HTS·MTS가 아닌 전화·이메일·팩스로 주문하는 오프라인 고객이었다. LS증권은 A씨의 상임대리인 자격으로 이메일 주문을 접수·처리해 왔다.
공격자는 A씨의 이메일 계정을 탈취한 뒤 일정 기간에 걸쳐 정상 고객을 가장한 주문 지시를 발송했고, LS증권 담당 직원은 이를 실제 고객의 주문으로 인식해 주식 매수·매도와 현금 인출을 여러 차례 처리했다.
평소와 다른 주문 패턴을 이상하게 여긴 담당 직원의 내부 보고로 사고가 인지됐으며, LS증권은 금융감독원 보고 및 경찰 수사 의뢰를 진행했다. 금융보안원 점검 결과 회사 전산망 해킹이나 고객정보 유출 정황은 확인되지 않았다.
피해 규모를 두고 LS증권은 30억~40억원 수준으로 추산하는 반면, 피해 투자자 측은 투자 기회비용을 포함해 80억원 안팎이라고 주장하고 있어 향후 민사상 책임 범위를 둘러싼 공방이 예상된다. 금융감독원은 시스템 해킹 여부와 별개로 반복된 사칭 주문을 걸러내지 못한 내부통제 적정성을 검사 중이다.

 

  사고내용 요약  

    1. 회사명 : LS증권
    2. 사고유형
        - 고객(외국인 투자자) 이메일 계정 탈취 사고
        - 이메일 사칭(BEC, Business Email Compromise) 기반 허위 주문 사고
        - 상임대리인 업무 본인확인 절차 미흡에 따른 내부통제 사고
        - 사회공학적 공격에 의한 자금 무단 인출 사고
    3. 피해규모 : 30억~40억원(회사 추산) / 80억원 안팎(피해 투자자 주장)
    4. 피해내용
        - 허위 이메일 주문에 따른 주식 매수·매도 체결
        - 고객 계좌 자금의 무단 현금 인출
        - ※ 회사 전산망 해킹 및 고객 개인정보 유출은 확인되지 않음


    5. 특이사항
        - 증권사 전산망이 아닌 고객 이메일 계정이 탈취된 사고로, 국내 첫 사례로 파악
        - 단발성 사고가 아니라 일정 기간 동안 동일 수법의 주문이 반복 처리
        - 주식 매매를 넘어 현금 인출까지 이어졌으나 추가 인증·전화 확인 절차가 작동하지 않음
        - 외국인 상임대리인 제도의 이메일 의존적 업무 관행이 구조적 취약점으로 지적
        - LS증권은 "규정상 본인확인 절차를 거쳤다"는 입장이나, 선량한 관리자의 주의의무 이행 여부가 쟁점
        - 다른 증권사에서도 유사한 해킹 이메일 주문이 출금 직전 차단된 사례 존재
        - 금융감독원은 중소형 금융회사를 겨냥한 표적 공격으로 보고 업권 전반에 내부통제 강화 주문
        - 보안 강화(인증 절차 추가)와 거래 편의성 사이의 균형이 업계 과제로 부상


  사고대응 타임라인  

 - 2026년 초
     . 외국인 투자자 A씨의 이메일 계정 탈취 발생
     . 공격자, A씨를 사칭한 이메일로 주식 매수·매도 및 현금 인출 주문 지시
     . LS증권 담당 직원, 상임대리인 자격으로 해당 주문을 정상 주문으로 인식·처리(다회 반복)
 - 2026년 02월
     . 담당 직원, 평소와 다른 이상 주문 인지 후 내부 보고
     . LS증권, 사고 인지 및 사실관계 확인 착수
     . 금융감독원 사고 보고
     . 서울경찰청 사이버수사대에 신원불상자 수사 의뢰
     . 금융보안원 점검 실시 → 회사 전산망 해킹·정보유출 흔적 미발견
 - 2026년 02월 이후
     . 금융감독원 검사 착수 및 사고 경위 파악 완료
     . 상임대리인 주문 수탁 절차 강화(2채널 인증, 책임자 승인 등)
 - 2026년 06월
     . 금융감독원, 금융투자업계에 사고 유형·특징 전파
     . 상임대리인 주문 이행 전 이메일 주소·내용·투자자 정보 교차확인 절차 마련 지도
     . 금융투자업권 전반 내부통제 강화 주문
 - 2026년 07월 08일
     . 사고 사실 언론 보도
     . 피해 규모(30억~40억원 vs 80억원) 관련 회사·투자자 간 입장 차 표면화
     . 서울경찰청 사이버수사대 수사 진행 중
 - 2026년 07월 09일
     . 상임대리인 제도의 보안·편의성 딜레마 및 제도 개선 논의 확산
     . 최종 피해 규모 및 배상 책임은 수사·검사 결과에 따라 확정 예정


  사고 관련 주요 쟁점 및 당국 입장   

□ 핵심 쟁점 : "해킹을 막지 못한 사고"가 아니라 "해킹 이후 피해 확산을 막지 못한 사고"

1. 회사 시스템 해킹 여부
    LS증권은 금융보안원 점검 결과 자사 전산시스템·신용정보시스템 해킹이나 고객정보 유출 사실이 없다는 입장이다. 고객 이메일 계정이 탈취된 것으로 추정하고 있으며, 이메일 접수와 본인확인 모두 규정대로 진행했다고 밝혔다.

2. 내부통제 작동 여부(선량한 관리자의 주의의무)
    회사 시스템이 해킹되지 않았더라도 위조된 주문을 걸러내는 업무 절차가 충분했는지는 별개의 문제다. 상임대리인은 고객에게 선량한 관리자의 의무를 부담하는데, 동일 수법의 주문이 일정 기간 여러 차례 반복되는 동안 투자자 본인에게 직접 확인하거나 추가 인증을 요구하는 절차가 작동하지 않았다는 점이 핵심 쟁점이다. 특히 주식 매매를 넘어 현금 인출까지 이어진 만큼 이중 확인 절차의 필요성이 더 컸다는 지적이 나온다.

3. 금융감독원 입장
    금융감독원은 이번 사고를 증권사 시스템 해킹에 따른 전자금융사고로 보기는 어렵다고 판단하면서도, 사고 인지 즉시 검사에 착수해 상임대리인 업무의 이메일 주문 본인확인 절차와 내부통제 전반을 점검했다. 이메일 해킹으로 증권사에 허위 주문이 제출돼 고객 피해가 발생한 것은 국내 첫 사례이며, 중소형 금융회사가 해킹 사고의 표적이 되고 있는 만큼 금융투자업권 전반의 철저한 내부통제가 필요하다는 입장이다.

4. 보안 강화와 거래 편의성의 딜레마
    인증 절차를 강화하면 상임대리인 제도를 이용하는 외국인 투자자 전체의 불편이 커지고, 편의성을 유지하면 보안 취약성이 커진다. 특히 단기매매 투자자의 경우 인증 절차 추가가 수익률에 직접적인 영향을 줄 수 있어, 안정성과 편의성 사이의 균형점을 찾는 것이 업계 공통 과제로 지적된다.

5. 피해 규모 및 배상
    LS증권은 직접적인 금전 피해를 30억~40억원 수준으로 추산하고 있으나, 피해 투자자 측은 투자 기회비용을 포함해 80억원 안팎의 손실을 주장하고 있다. 실제 피해와 보상 규모는 경찰 수사 및 향후 민사 절차를 통해 확정될 전망이다.


  대응내역  

    - 담당 직원의 이상 주문 인지 및 내부 보고를 통한 사고 조기 발견
    - 사고 인지 즉시 금융감독원 보고
    - 서울경찰청 사이버수사대에 신원불상자 수사 의뢰(회사 직접 수사 의뢰)
    - 금융보안원을 통한 자사 전산시스템 해킹·정보유출 여부 점검
    - 상임대리인 주문 수탁 시 예외 없는 2채널 인증 절차 도입
    - 주문 처리 부서 책임자 승인 필수화
    - 해외 송금 요청 시 담당 부서와 처리 부서 책임자 이중 승인 절차 예외 없이 적용
    - 금융감독원 검사 및 경찰 수사 협조
    - 금융감독원, 금융투자업계 대상 사고 유형 전파 및 내부통제 강화 주문(2026.06)

 재발방지대책(권고사항)   

    1. 기술적 조치
       - 이메일 주문 접수 시 발신 도메인·헤더 위변조 검증(SPF, DKIM, DMARC) 적용
       - 유사 도메인(Look-alike Domain) 및 사칭 메일 탐지 솔루션 도입
       - 주문·출금 지시에 대한 2채널 인증(Out-of-Band) 시스템 구축
       - 이상거래탐지시스템(FDS)에 비대면 주문·출금 시나리오 룰 반영
       - 평소와 다른 계좌·금액·빈도의 출금 요청 자동 차단 및 알림 기능 적용
       - 이메일 주문 원문 및 처리 이력의 무결성 로그 보관·감사 추적 강화
       - 고객 대상 이메일 계정 보안 강화 안내(MFA 적용 권고) 및 전용 보안 채널 제공

    2. 관리적 조치
       - 상임대리인 업무 매뉴얼 재정비 및 이메일 주문 처리 기준 명문화
       - 출금·해외송금 등 고위험 거래에 대한 유선 콜백(Call-back) 확인 의무화
       - 처리 부서 책임자 승인 및 부서 간 이중 승인 절차 상시 운영
       - 반복·연속 주문에 대한 주기적 이상 여부 점검 절차 마련
       - 임직원 대상 BEC(이메일 사칭) 및 사회공학적 공격 대응 교육 정례화
       - 비대면 주문 채널 전반의 본인확인 절차 적정성 정기 점검
       - 보안성과 거래 편의성의 균형을 고려한 고객 등급별 인증 정책 수립
       - 사고 발생 시 즉시 거래 중단·고객 통지·당국 보고로 이어지는 대응 체계 정비


  관련기사(출처)  

 

감사합니다.

관련글 더보기