해커는 2개의 계좌를 만들고 공격할 대상자의 HTS 아이디와 패스워드, 공인인증서, 공인인증서 비밀번호, 계좌번호 등을 APT(지능형지속위험) 공격으로 사전 탈취한 뒤 HTS 시스템에 접속했다.
주식프로그램에 로그인을 하고 주식잔고평가를 살펴보니 되면 BOB교육생 박창규 '200-01-96632'라는 계좌가 나타났다. 이 계좌를 공격자가 변조하자 분명 '에듀박스'와 '쓰리원' 2가지 종목이 있었는데 해커의 변조 후 '터보테크' 계좌가 늘어났다.
이어 해커는 타 종목을 가진 임의의 HTS 사용자의 주식종목도 변경시켰다. 매도, 환매는 오후 3시 이후라 장이 끝난 후라 직접 시연하지는 못했다. 실시간 시연이다.
14일 국회헌정기념관에서 개최된 'K-Security Forum' 창립식에서 눈길을 끄는 시연이 열렸다.
프리랜서 해커 심준보씨는 실제 A증권의 HTS 시스템 취약성을 이용해 HTS 시스템에 접속, 계좌를 변조해 주식종목을 탈취, 매입, 매도하는 시연을 직접 시행했다. 소위 메모리해킹을 이용, 계좌를 변조, 탈취하는 시연이다.
실력이 뛰어난 해커라면 금융시스템에 해킹해 이를 변조할 수도 있다는 것은 암암리에 알려진 사실이지만 공식석상에서 실제 HTS 시스템을 사용해 해킹을 시연한 것은 국내에서는 처음이다.
심 씨는 "교통흐름이나 전국 댐의 수류상황, HTS 시스템 등 우리가 상식적으로 철저히 보안되고 있다고 알고있던 시스템들에 실제로는 취약성이 존재, 해킹이 가능하다"며 "이같은 해킹 시연을 가능하게 한 HTS 시스템의 취약성은 A증권만의 문제가 아니라 국내 대부분의 HTS 시스템이 가진 문제"라고 밝혔다.
실제 심 씨가 진행한 해킹 시연은 지난 2011년 현대캐피탈이 해킹당해 약 200만건의 개인정보가 유출된 후 연이은 금융보안 문제가 지적된 후 당시 심 씨가 재직하던 터보테크 등에서 오래전부터 지적해왔던 문제였다.
HTS 시스템이 가진 종단간 데이터 비암호화 문제 때문이다.
은행거래는 공인인증서로 전자서명이 진행되고 수신자와 송신자가 일치하는지 확인하는 등 약간의 시간이 소요되지만 HTS 시스템의 경우 빠른 거래가 생명이기 때문에 실시간으로 진행될 수밖에 없다. 따라서 전자서명을 사용하지 않는 것은 물론 실시간 거래 데이터를 전부 암호화하지 않고 빨리 주고받기 때문에 종단간 암호화를 수행할 수 없는 HTS 시스템이 취약할 수밖에 없다.
이번 시연 후 행사에 참가했던 미래부 관계자는 "실제 HTS 시스템을 시연하는 것은 HTS 거래가 모두 위험하다는 말이나 마찬가지"라며 "이와같은 해킹이 너무 쉽게 가능한 것처럼 보여줘 문제가 심각하다. 특히 사상 초유의 카드사 개인정보 유출사고로 금융보안에 관심이 높은 현 시점에서 치명적인 지적"이라며 사색이 됐다.
이에 미래부는 심 씨에게 "취약성을 한국인터넷진흥원과 공유하고 문제점을 보완토록 하라"고 당부한 것으로 확인됐다.
심 씨는 "HTS 클라이언트 프로그램의 취약성을 보완하도록 A증권을 비롯한 국내 증권사에 알렸고 해킹방어 솔루션, 난독화, 증권보안프로그램 등 다수의 보안솔루션을 통해 실제 증권사 취약성을 상당 부분 보완했다"며 "실제 HTS 시스템을 해킹하는 작업이 쉬운 해킹은 아니지만 할 수 있는 해커들이 있고 그들이 국내가 아니라 해외에 있다면 치명적인 위험이다"고 말했다.
이어 그는 "실력있는 해커를 키우고 관리해 독이 아닌 약으로 쓸 수 있게 하는 정책적인 보완이 필요하다"고 강조했다.
이번 해킹 시연을 본 업계의 전문가들은 "실시간 거래의 중요성만 생각해 보안시스템 적용을 미뤄온 증권사 프로그램의 취약성을 적나라하게 지적했다"며 "수익성만을 생각할 것이 아니라 고객의 자산을 보안하지 않으면 나라 전체를 혼란에 빠뜨릴 수 있다는 것을 이번 카드사 개인정보 유출사고로 체감했으니, 이번 계기로 증권 등 전반적인 금융권 보안의 체제를 새로운 패러다임으로 정비해야할 것"이라고 말했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지