국내 유명 증권사들의 홈트레이딩시스템(HTS)이 해킹에 무방비로 노출, 충격을 안겨주고 있다.
홈페이지로부터 다운받은 각 증권사의 HTS를 다양한 디버거(Debugger)툴을 이용해 분석해 본 결과 ID도용·주문조작·데이터 조작·타인 계좌로 자금이체 조작 등이 손쉽게 가능하다는 사실이 입증됐기 때문이다.
모의해킹 서비스전문 업체인 권석철 터보테크 부사장은 “HTS 이용자의 PC를 바이러스에 감염시킨 후 ID를 도용하거나 데이터를 조작하는 방법과 정상 PC에서 HTS 취약점을 이용해 프로그램을 변조, 데이터를 조작하는 방법이 모두 가능한 것으로 나타났다”고 15일 밝혔다.
특히, 그는 국내 유명 증권사의 HTS 대부분에서 이같은 취약점을 발견, HTS 이용자가 해킹에 따른 금적적 피해를 입을 수 있다고 지적했다.
터보테크의 해킹시나리오에 따르면 해커는 좀비 PC에서 사용자 정보를 훔친 후 다른 계좌번호에서 해킹한 사용자 정보로 원격 조회·거래·계좌이체 등의 인터넷뱅킹을 할수 있다. 사용자 본인도 모르는 사이에 엉뚱한 주식을 사고 팔고 본인 금융계좌에서 돈이 새어나갈 수 있다.
특히, 충격적인 사실은 감염되지 않은 정상 PC에서도 해커가 HTS 취약성을 이용해 공격해 올 경우 사용자는 피해를 입을 수밖에 없다는 점이다. 즉, 00증권의 계좌번호가 123456789라는 형태로 시작한다면 디버깅툴에 123456799, 123456999 등 임의의 계좌번호를 처넣어가면서 거액의 돈이 들어있는 계좌를 찾아내 금액을 빼내갈 경우 이를 막을 방법이 없다.
이러한 공격이 가능한 이유는 HTS가 설계 자체부터 취약성을 내포하고 있기 때문이다. 증권사 HTS는 빠른 금융 거래를 위해 개별 PC에 클라이언트 프로그램을 내려받는다. 이 때문에 해커는 클라이언트 프로그램을 통해 쉽게 사용자 PC에 접근할 수 있고 소스코드를 변형, 데이터를 조작할 수 있다.
또 해커들의 공격이 갈수록 지능화돼 HTS를 무력화시키는 공격툴을 속속 선보이고 있다. 증권사 특성상 속도경쟁 때문에 HTS의 속도가 느려지는 것을 우려해 클라이언트 프로그램을 암호화하지 않고 서비스하는 등 관리상의 안전 불감증도 큰 요인인 것으로 지적됐다.
권 부사장은 “해커는 다양한 기법을 이용해 HTS를 비롯한 HTS 보안 솔루션을 무력화시킨다”며 “증권사들은 해커들이 분석하지 못하도록 바이너리 코드 프로텍션을 활용한 난독화 보안 기술로, SW 코드를 암호화해 관리자 외에는 코드를 확인하지 못하도록 해야 한다고 말했다. 즉, 자물쇠도 언젠간 침입자에 의해 뚫릴 수 있지만 복잡한 자물쇠를 여러개 채우면 풀려고 시도하는 사이 경비원이나 주인에게 발각되니 엄중한 방어체계를 구축하는 정책이 시급하다는 지적이다.
디버거(Debugger)란
프로그램이 논리적으로 잘못돼 의도된대로 실행되지않을 때, 예를 들어 버그가 있을 때 오류를 찾아내는 툴이다. 즉 프로그램에 문제가 있으면 실행을 멈추고 그 값을 본 뒤 수정할 수 있게 하는 수정용도의 툴. 하지만 문제가 없을 때 프로그램을 멈추고 디버거툴을 사용해 메모리값을 보고 악의적으로 프로그램을 수정하면 해킹툴이 된다.
안수민기자 smahn@etnews.co.kr