HTS 해킹해 주식 무작위 주문…

◆ 1년… 여전히 뻥뚫린 보안코리아 / ② 24시간 해킹 가능한 스마트폰 ◆

A종합금융증권 투자상담사 이 모씨(35)는 `주식 고수`로 불리는 개인투자자 정씨의 B증권사 계정을 해킹했다. B증권사 HTS(홈트레이딩시스템)에 불법 접속한 이씨는 정씨의 투자패턴을 똑같이 따라해 특정 종목에 250억원가량 매매를 발생시켜 1억5000만원 상당의 부당 이득을 취했다.

지난 3월 25일 경찰청 사이버테러대응센터는 이씨를 전자금융거래법 위반 등 혐의로 구속영장을 신청하고 증거물과 사건 개요를 일반에 공개했다. 이씨의 범죄는 집요했지만 별다른 기법을 필요로 하지 않았다. 4년간 사무실 인터넷선을 통해 508차례에 걸쳐 정씨의 계정을 해킹했는데, B증권사 HTS가 공인인증서 방식이 아닌 아이디와 패스워드만 입력하면 됐기 때문에 가능했다.

HTS는 투자자가 증권회사에 가거나 전화를 이용하지 않고 가정이나 직장에서 컴퓨터를 이용해 주식매매 주문을 할 수 있는 시스템을 말한다.

HTS는 개인투자자 증권거래의 80% 비중을 차지하고 하루 평균 9조원대의 거래 규모를 형성하고 있는 데 반해, 보안 대책이 완벽하지 않아 해킹 위험에 노출돼 있다.

증권ㆍ선물회사들은 일종의 `보험` 성격을 지닌 보안에 투자하는 것을 머뭇거리고 금융감독원이 강제하면 마지못해 따라가는 수준이다.

전문가들은 HTS가 여러 가지 신종 `리버스엔지니어링(프로그램 역해독)`에 취약하다고 입을 모은다. 한 방송사는 해커가 리버스엔지니어링 기법을 통해 증권사 HTS를 뚫고 고객 자산을 이체하고 주식 주문을 무작위로 하는 실험을 해 보이기도 했다.

리버스엔지니어링은 실행 중인 프로그램을 반대로 돌려서 원소스코드를 알아낸 후 소스코드를 수정해서 프로그램을 재배포한다. 지금까지는 일어나지 않았지만, 한번 성공할 경우 개인 정보는 물론 시세를 조작하는 것도 가능해 대형 사고로 번질 가능성이 다분하다.

금융감독원은 이씨 사건 이후 `칼`을 뽑아들었다. 금감원은 지난 5월 HTS 안정성을 제고하기 위해 증권사와 선물회사가 연 1회 이상 HTS에 대한 모의 해킹을 실시, HTS 보안의 취약점을 지속적으로 개선할 것을 의무화했다.

원칙적으로 금융회사에서 제공하는 PC용 보안프로그램이 가동된 상태에서만 HTS 이용이 가능하도록 제한하도록 했다. 이용자 PC에서 HTS 로그인 ID, 로그인 비밀번호, 공인인증서비밀번호, 계좌비밀번호, 자금이체 시 입금계좌번호 및 보안카드번호 등이 유출 또는 변조되지 않도록 PC용 보안프로그램 등으로 보호하도록 한 것이다.

6개월 후인 11월 금감원은 증권사들의 보안수준 개선 실태 등을 일제 점검할 예정이다.

이 같은 금감원 규제에 따라 증권사들은 HTS 해킹을 100% 완벽하게는 아니지만 부분적으로 제어할 수 있는 `난독화 솔루션` 등 보안 소프트웨어를 도입했거나 적극 검토하는 것으로 알려졌다.

국내에서 난독화 솔루션을 취급하는 해킹 및 애플리케이션 보안업체는 3곳으로 터보테크, 안철수연구소, 비젯 등이다.

난독화 솔루션은 쉽게 말해 해킹 시도 시 프로그램 읽는 것을 최대한 어렵게 만들어 해킹하는 데 많은 시간이 걸리도록 해 해커로 하여금 포기하게 만드는 방식이다. 한국증권전산(코스콤) 관계자는 "난독화 솔루션을 보급하는 회사가 더 많아지고 솔루션 가격이 더 떨어져야 한다"며 "비용 문제가 있으므로 강제성을 띨 수밖에 없겠지만 증권ㆍ선물회사들이 적극적으로 솔루션을 도입해야 한다"고 전했다.

[매일경제 황시영 기자 @shinyandloose]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]