거래내역 조회시 대부분 공인인증서 필요없어...증권업계 '쉬쉬'
최근 홈트레이딩시스템(HTS) 보안 취약성에 대한 논란이 끊이질 않고 있다.
지난달 온라인 주식투자 계정을 해킹한 증권사 직원이 구속되는 사건이 벌어졌지만 증권사들과 금융당국은 보안 대책에 뒷짐만 지고 있다.
이와 관련, 증권사 HTS를 이용하는 투자자들은 자신의 신상이나 계좌정보가 공개되거나 범죄에 악용당해 피해를 입지 않을가 노심초사 하고 있다.
◇HTS해킹, 억대수익 올린 증권사 직원
지난 달 25일 한 증권사 투자상담사 이모씨는 주식투자 고수의 HTS에 몰래 접속한 후 같은 종목을 매매하는 방식으로 억대의 부당이득을 챙긴 혐의로 구속됐다.
이씨는 소속 증권사 사무실에 사설 인터넷선을 통해 4년 동안 508차례에 걸쳐 개인투자자 정모씨가 사용하는 B증권사 계정을 해킹했다.
정씨의 거래내역을 알아낸 이씨는 정씨가 투자한 470여개 종목을 대상으로 약 250억원의 매매를 통해 1억5000만원을 벌어들였다.
해킹을 당한 정씨는 증권사 수익률 대회에서 수차례 입상한 경력이 있고 B증권사의 전체 고객 중에서도 수익률이 상위 0.01%에 드는 거액의 개인투자자로 알려졌다.
이씨는 B증권사의 HTS가 공인인증서 인증방식이 아닌 아이디와 패스워드만 입력하면 거래내역 조회가 이뤄지는 점을 악용해 정씨의 계좌에 접근한 것으로 조사됐다.
◇대부분 증권사 거래내역 조회시 공인인증서 요구 안해
증권업계에 따르면 현재 온라인 주식계좌의 거래내역 조회시 공인인증서를 요구하지 않는 증권사는 B사를 포함해 상당수에 이른다.
경찰은 특정 컴퓨터에서 로그인하면 그 전에 로그인한 컴퓨터는 자동 로그아웃되는 이중 로그인 방지기능이 없었던 것도 문제점으로 지적했다.
따라서 경찰은 주식계좌 거래내역 조회시 공인인증서 첨부와 이중 로그인의 필요성과 관련, 금융위원회와 금융감독원 등 관계기간에 법적·제도적 보완책 마련을 요청하기로 했다.
경찰청 사이버테러대응센터의 한 관계자는 "증권사 직원의 불법행위와 함께 증권사들의 느슨한 보안 시스템이 범죄로 연결된 것으로 보인다"며 "타인의 계정으로 몰래 접속한 사례가 더 있을 가능성이 높아 수사를 확대할 방침"이라
고 말했다.
◇증권업계 “보안 자신”…전문가 “해킹 쉽다”
증권사들은 해킹보안툴과 보안카드, 방화벽 등으로 개인 보안에 자신하고 있다.
증권사들은 해킹보안툴인 마이파이어월과 보안카드, 방화벽 설치등으로 투자자들에게 투자 상담시 쉽게 해킹되지 않는다고 밝히고 있다.
하지만 보안업계 관계자에 따르면 이러한 부분은 쉽게 뚫릴 수 있다는 지적이다. 특히 투자자 개인 PC에 깔리는 HTS 클라이언트 프로그램 자체가 취약하다.
또한 프로그램을 역으로 분석해 침입할 수 있으며 네트워크 통신 중에 데이터를 가로채거나 조작할 수도 있다.
보안카드의 실효성도 문제다. 보안카드는 주로 30개의 보안비밀번호를 조합해 사용하는 카드다. 이체 비밀번호, 인증서 및 인증서 비밀번호와 함께 사용되는 보안장치다.
최초에는 30개 비밀번호 중 하나를 입력하는 방식에서 해킹사고 이후, 두 개의 비밀번호 앞뒤 두 자리씩 입력하는 방식으로 변경되어 보안을 강화하고 있다.
사용자가 스캔해 그림파일로 저장해 둔 경우, 이 이미지가 탈취될 수 있다. 업계관계자에 따르면 실제 사고사례에는 엑셀이나 그림파일로 저장 후 해킹을 당해 피해를 본 사례도 있는 것으로 알려졌다.
이밖에 악성코드가 이미지파일을 PC에서 찾아서 서버로 전송하는 경우도 있다. HTS는 주식거래 정보 등을 화면에 표현하기 위해 PC의 메모리에 그 값들이 존재하게 된다. 해당 메모리는 HTS를 디버깅툴을 이용해 그 메모리의 위치를 확인해 값을 변조할 수 있다.
지난 1월 금감원을 HTS 해킹 가능성에 대비 테스크포스(TF)를 구성해 운영 중이라고 밝힌 바 있다. 하지만 금융감독원의 해킹 대비 은완책과 가시적인 성과는 나오고 있지 않다.
한 보안관련 전문가는 “사고 사례는 지속적으로 나오고 있지만 증권사들이 쉬쉬하는 통에 공론화되고 있지는 않고 있다”며 “해킹등 보완에 대한 의식과 대처에 미흡하다”고 지적했다.
