금융감독원이 증권·선물회사의 홈트레이딩시스템(HTS)에서 해킹 방지를 위해 PC용 보안 프로그램 이용을 사실상 의무화하는 특단의 조치를 취했다.
하루 평균 거래량이 9조원대에 달하는 HTS가 메모리 등의 해킹에 취약, 계좌번호와 비밀번호 유출과 같은 대형 금융 사고 가능성이 있다는 판단이다.
금융감독원은 6일 고객이 PC용 보안 프로그램을 임의 해제할 경우 HTS 이용을 제한하도록 금융사들에 권고했다고 밝혔다.
금감원은 원칙적으로 PC용 보안 프로그램이 가동된 상태에서만 HTS를 이용할 수 있도록 했다. 다만 고객이 타당한 이유를 들어 PC용 보안 프로그램 해제를 요청할 경우 일정한 절차를 거쳐 HTS 이용이 가능하도록 제한하기로 했다.
HTS를 이용하는 고객들은 프로그램 속도 저하 등을 이유로 보안 프로그램을 해제하는 경우가 많았다. 주식 매매 속도에 민감한 증권사도 이를 묵인했다. 보안조치를 취하면 매출이 떨어지기 때문이다.
금감원은 메모리 해킹·신규 해킹기법(디버깅·리버스)에 대응한 HTS 프로그램 보호 대책 강화 등을 담은 ‘HTS 안정성 제고 개선방안’도 마련했다. 메모리 해킹 방지를 위해 공인인증서·비밀번호 등 고객 정보는 원칙적으로 이용자 PC에 보관을 금지하도록 했다. 리버싱 공격으로부터 HTS를 보호하기 위해 접속할 때마다 변조 여부를 자동 점검하도록 했다. 금감원은 증권사가 이를 도입하도록 하고 6개월 후 전면 실사할 예정이다.
금감원 측은 “HTS를 이용해 주식을 거래하는 투자자들에게 보안문제의 중요성 인식을 제고하는 한편, 고객정보가 유출되는 것을 막아 해킹 등에 따른 투자자 피해를 예방, 온라인 증권거래의 신뢰성이 한층 제고될 것”으로 기대했다.
김준배·장윤정기자 joon@etnews.co.kr
◇ 권석철 터보테크 부사장 인터뷰
-금감원 HTS 보안 강화 조치의 평가는.
▲대부분의 증권사 HTS 프로그램이 시중에서 판매되는 각종 보안 솔루션이 작동 중인 상태에서도 해킹이 가능하다는 것은 매우 심각한 문제다. HTS 보안 강화 대책의 일환으로 HTS 프로그램에 대한 리버싱 공격 방지 대책이 추가된 것은 안전한 온라인 금융 환경 확보 필요성과 중요성을 인식하는 계기가 될 것이다.
-기대효과는.
▲메모리 해킹을 100% 차단할 수 없겠지만 최소한 알려진 공격을 방어하고 공격받을 가능성을 사전 차단한다는 측면에서 상당한 효과를 거둘 것으로 기대된다. 그간 증권사는 보안보다 수익을 앞세워 보안조치를 외면해왔다. HTS 자체의 보안을 강화하고 사용자 보안의식도 높여 증권 관련 보안 사고가 대폭 줄어들 것으로 예측된다.
-향후 어떤 솔루션이 필요할 것으로 보이는지.
▲증권사마다 HTS의 보안을 강화하기 위해 각기 다른 대응방안을 적용할 것이다. 하지만 이름만 보안인 기능 미달의 제품을 가져다 요식행위로 구축해두던 그간의 관행에서 벗어나 최소한 진짜 보안이 되는 제품을 도입, 적용할 것으로 본다.