지면보기 구독신청 기사제보

"맘먹으면 돈도 인출"..증권사 HTS 해킹당한 사연은?

기자정보, 기사등록일
입력 2014-02-14 17:21
    도구모음
  • 글자크기 설정
아주경제 장윤정 기자 =  # 해커가 A증권의 HTS(홈트레이딩시스템)를 열었다.

해커는 2개의 계좌를 만들고 공격할 대상자의 HTS 아이디와 패스워드, 공인인증서, 공인인증서 비밀번호, 계좌번호 등을 APT(지능형지속위험) 공격으로 사전 탈취한 뒤 HTS 시스템에 접속했다.

주식프로그램에 로그인을 하고 주식잔고평가를 살펴보니 되면 BOB교육생 박창규 '200-01-96632'라는 계좌가 나타났다. 이 계좌를 공격자가 변조하자 분명 '에듀박스'와 '쓰리원' 2가지 종목이 있었는데 해커의 변조 후 '터보테크' 계좌가 늘어났다.

이어 해커는 타 종목을 가진 임의의 HTS 사용자의 주식종목도 변경시켰다.  매도, 환매는 오후 3시 이후라 장이 끝난 후라 직접 시연하지는 못했다. 실시간 시연이다.  

14일 국회헌정기념관에서 개최된 'K-Security Forum' 창립식에서 눈길을 끄는 시연이 열렸다.

프리랜서 해커 심준보씨는 실제 A증권의 HTS 시스템 취약성을 이용해 HTS 시스템에 접속, 계좌를 변조해 주식종목을 탈취, 매입, 매도하는 시연을 직접 시행했다. 소위 메모리해킹을 이용, 계좌를 변조, 탈취하는 시연이다. 

실력이 뛰어난 해커라면 금융시스템에 해킹해 이를 변조할 수도 있다는 것은 암암리에 알려진 사실이지만 공식석상에서 실제 HTS 시스템을 사용해 해킹을 시연한 것은 국내에서는 처음이다. 

심 씨는 "교통흐름이나 전국 댐의 수류상황, HTS 시스템 등 우리가 상식적으로 철저히 보안되고 있다고 알고있던 시스템들에 실제로는 취약성이 존재, 해킹이 가능하다"며 "이같은 해킹 시연을 가능하게 한 HTS 시스템의 취약성은 A증권만의 문제가 아니라 국내 대부분의 HTS 시스템이 가진 문제"라고 밝혔다.
 

심준보 해커는 한 증권사의 이트레이딩시스템을 이용해 계좌를 탈취, 변조하는 시연을 보여줬다


실제 심 씨가 진행한 해킹 시연은 지난 2011년 현대캐피탈이 해킹당해 약 200만건의 개인정보가 유출된 후 연이은 금융보안 문제가 지적된 후 당시 심 씨가 재직하던 터보테크 등에서 오래전부터 지적해왔던 문제였다. 

HTS 시스템이 가진 종단간 데이터 비암호화 문제 때문이다. 

은행거래는 공인인증서로 전자서명이 진행되고 수신자와 송신자가 일치하는지 확인하는 등 약간의 시간이 소요되지만 HTS 시스템의 경우 빠른 거래가 생명이기 때문에 실시간으로 진행될 수밖에 없다. 따라서 전자서명을 사용하지 않는 것은 물론 실시간 거래 데이터를 전부 암호화하지 않고 빨리 주고받기 때문에 종단간 암호화를 수행할 수 없는 HTS 시스템이 취약할 수밖에 없다. 

이번 시연 후 행사에 참가했던 미래부 관계자는 "실제 HTS 시스템을 시연하는 것은 HTS 거래가 모두 위험하다는 말이나 마찬가지"라며 "이와같은 해킹이 너무 쉽게 가능한 것처럼 보여줘 문제가 심각하다. 특히 사상 초유의 카드사 개인정보 유출사고로 금융보안에 관심이 높은 현 시점에서 치명적인 지적"이라며 사색이 됐다. 

이에 미래부는 심 씨에게 "취약성을 한국인터넷진흥원과 공유하고 문제점을 보완토록 하라"고 당부한 것으로 확인됐다.

심 씨는 "HTS 클라이언트 프로그램의 취약성을 보완하도록 A증권을 비롯한 국내 증권사에 알렸고 해킹방어 솔루션, 난독화, 증권보안프로그램 등 다수의 보안솔루션을 통해 실제 증권사 취약성을 상당 부분 보완했다"며 "실제 HTS 시스템을 해킹하는 작업이 쉬운 해킹은 아니지만 할 수 있는 해커들이 있고 그들이 국내가 아니라 해외에 있다면 치명적인 위험이다"고 말했다.

이어 그는 "실력있는 해커를 키우고 관리해 독이 아닌 약으로 쓸 수 있게 하는 정책적인 보완이 필요하다"고 강조했다.

이번 해킹 시연을 본 업계의 전문가들은 "실시간 거래의 중요성만 생각해 보안시스템 적용을 미뤄온 증권사 프로그램의 취약성을 적나라하게 지적했다"며 "수익성만을 생각할 것이 아니라 고객의 자산을 보안하지 않으면 나라 전체를 혼란에 빠뜨릴 수 있다는 것을 이번 카드사 개인정보 유출사고로 체감했으니, 이번 계기로 증권 등 전반적인 금융권 보안의 체제를 새로운 패러다임으로 정비해야할 것"이라고 말했다.

 

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

컴패션_PC
0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
실시간 인기
오늘의 1분 뉴스
포토뉴스
  • [포토] 윤석열 대통령, 4·19혁명기념탑 분향
  • [슬라이드 포토] 넷플릭스 시리즈 종말의 바보 제작발표회
  • [포토] 눈길 끄는 눈물의 여왕 김수현 벤츠
  • [포토] 제60회 한국보도사진전 개막
[포토] 윤석열 대통령, 4·19혁명기념탑 분향 윤석열 대통령, 4·19혁명기념탑 분향
[슬라이드 포토] 넷플릭스 시리즈 종말의 바보 제작발표회 넷플릭스 시리즈 '종말의 바보' 제작발표회
[포토] 눈길 끄는 눈물의 여왕 김수현 벤츠 눈길 끄는 '눈물의 여왕' 김수현 벤츠
[포토] 제60회 한국보도사진전 개막 제60회 한국보도사진전 개막
아주 글로벌
기사 이미지 확대 보기
닫기