증권사의 보안 불감증이 심각한 수준이다. 최소한의 보안장비를 전혀 갖추지 않은 업체도 있어 제2, 제3의 ‘대형 해킹 사고’가 우려된다.
전자신문이 23일 47개 국내 증권사의 침입탐지장비(IDS), 침입방지장비(IPS), DDoS 공격 대응장비 3종의 해킹·DDoS 공격 방지 장비 도입현황을 조사한 결과, 3개 장비를 모두 갖춘 증권사는 5곳에 불과하고 5개 증권사는 관련 장비를 전혀 갖추지 않은 것으로 나타났다. 나머지는 2종 또는 1종만 도입한 것으로 파악됐다.
관련 장비를 갖추지 않은 5곳 가운데 4곳은 코스콤에 홈트레이딩시스템(HTS) 운영을 위탁한다는 이유로 해당 장비를 보유하지 않았다. B증권사 관계자는 “HTS 가입자 수가 적으므로 비용절감 차원에서 코스콤에 위탁하고 있다”며 “본사 홈페이지는 거래 계좌, 거래 금액, 개인 정보 등의 고객 정보를 저장하지 않으므로 보안장비 도입을 고려하지 않고 있다”고 말했다.
그러나 10여개 증권사의 HTS를 위탁, 관리하는 코스콤 역시 보안장비를 제대로 갖추지 않은 것으로 알려졌다. 코스콤은 I사 IDS를 사용해왔으나, 지난해 여름께 계약이 종료됐다. 코스콤은 이후 IDS를 새로 도입하거나 계약 연장을 하지 않았다. 이에 대해 코스콤 관계자는 “IDS 대신 TMS(Threat Management System)라는 위협관리시스템을 도입했다”고 말했다.
금융감독원은 각 금융기관의 해킹 방지를 위해 침입차단시스템과 탐지시스템을 설치하도록 권고하고 있다. 이를 따르지 않으면 제재를 받지만 대다수 증권사가 이행하지 않는 것으로 조사됐다.
최근 해킹 피해를 입은 리딩투자증권, 한국전자금융 등은 ‘구조화질의어(SQL) 인젝션’ 공격을 당한 것으로 밝혀졌다. 해커들은 SQL 인젝션으로 홈페이지를 공격, 홈페이지에 연결된 개인정보를 탈취했다. 권석철 큐브피아 사장은 “SQL 인젝션에 대한 보안 툴은 기본적인 공격 툴로 인터넷에서도 쉽게 구할 수 있다”고 설명했다.
장윤정 기자·박창규 기자 linda@etnews.co.kr
<용어설명> SQL 인젝션(SQL Injection):SQL인젝션 공격은 웹페이지 로그인 창 등에 SQL 구문을 넣어 데이터베이스 정보를 빼내거나 홈페이지를 변조해 악성코드를 유포하는 해킹 수법이다. 이 공격은 기초적인 해킹 공격이지만 공격에 노출될 경우 사이트 정보 유출, 숙주서버 변조를 통한 악성코드 유포 등 큰 피해를 줄 수 있다.
<표> 국내 47개 증권사 해킹·DDoS 공격 방지 장비 도입 현황
(자료:업계 취합)
관련 통계자료 다운로드 국내 47개 증권사 해킹·DDoS 공격 방지 장비 도입 현황