옛 애인에게 복수하기 위해 그녀는 컴퓨터 전문가가 됐다. 기회만 노리던 그녀는 주식에 빠져 있던 옛 애인의 컴퓨터프로그램에 접속, 대량주문을 낸다. 우량주식은 팔아버리고, 폭락하는 주식에 투자한다. 계좌에 남아 있던 돈도 다른 계좌로 이체시켰다. 천문학적 주식부자였던 남자는 불과 몇 시간 만에 파멸의 길로 접어들었다.
영화에나 나올법한 이 스토리가 현실이 될 수도 있는 상황. 증권사들이 인터넷으로 편리하게 주식거래를 할 수 있도록 개발한 홈트레이딩시스템(HTS)이 해커들에겐 '놀이터'나 다름 없었다. 해커 A씨와 B씨가 들려준 HTS 해킹에 얽힌 이야기는 충격적이었다.
HTS 해킹, 어떻게 이뤄지나
HTS 해킹 과정은 간단했다. 먼저 어느 증권사든 인터넷에서 무상으로 제공하는 HTS 소프트웨어를 내려 받은 다음 '디버거 툴'로 HTS의 구조를 분석한다. 디버거 툴이란 소프트웨어 개발자들이 문제점을 파악하기 위해 소프트웨어 구성 내용을 분석하는 도구다. 인터넷에 떠도는 무료 프로그램이어서 누구나 손쉽게 구할 수 있다. 해커들은 이를 HTS의 허점을 찾는 도구로 이용한다.
문제는 여기에 있다. 대부분의 주요 보안 프로그램들은 디버거 툴로 들여다 볼 수 없도록 제작된다. 그러나 HTS는 그런 보안 프로그램이 태생적으로 취약하다. 디버거 툴로 볼 수 없도록 2중, 3중의 보안장치를 해놓으면 그만큼 주식 거래 시 시간이 지연되기 때문이다.
지연 시간이 비록 0.001초도 걸리지 않아 체감할 수 없는 정도지만 초단타 전문매매자들에게는 영원보다 긴 시간일 수도 있다. 권석철 큐브피아 사장은 "HTS 구조를 볼 수 없도록 보안조치를 해야 한다고 강조했으나 증권사들은 영업에 지장을 줄 수 있어서 곤란하다는 이야기를 했다"고 말했다.
해커들은 디버거 툴로 분석한 HTS허점에 맞춰 이를 뚫고 들어갈 조작 프로그램을 만든다. 해커 B씨는 "대형 증권사 동의아래 컨설팅 차원에서 HTS 분석 후 조작 프로그램을 만드는 데까지 4,5일 걸렸다"며 "이 정도면 초보 해커들도 만들 수 있다"고 설명했다.
공인인증서 무용지물
물론 HTS에 보안장치가 없는 건 아니다. HTS에 로그인을 하려면 공인인증서와 보안카드절차를 거쳐야 하는데, 문제는 이 자체가 해커들에겐 무용지물이란 점이다.
해커들은 악성코드를 이용해 이용자의 PC를 좀비PC로 감염시킨 뒤 HTS 조작 프로그램으로 이용자번호(ID)와 비밀번호, 공인인증서 암호와 보안카드 암호를 빼낸다. 그리고 공인인증서와 보안카드 암호를 처음 접속할 때만 사용하고 폐기해 버린다.
이렇게 해킹당한 HTS에서 일어나는 일은 차라리 모르는 게 좋을 정도로 끔찍할 수 있다. HTS의 계좌이체 한도를 해킹으로 풀어버린 뒤 돈을 몽땅 다른 계좌로 옮겨 잔고를 0원으로 만들 수도 있다. 해커 B씨는 "모 증권사 직원이 반신반의하며 자신의 계좌를 이용해 시연하라고 해서 HTS 해킹으로 계좌를 이체해 0원으로 만들어 놀라게 한 적이 있다"며 웃었다. HTS에 은행 계좌까지 연동해 놓으면 피해는 더 커질 수 있다.
그래프 조작도 가능하다. 만약 평소에 '손봐주고' 싶은 사람의 HTS에 들어가서 주가그래프를 맘대로 그려 버린다면 이 사람은 잘못된 그래프를 참조해 전혀 엉뚱한 주문을 낼 수도 있다. 시장교란 목적으로, 아예 엉뚱한 방향으로 대량주식매매주문을 낼 지도 모를 일이다.
만약 해킹 대상이 기관이나 펀드매니저가 운영하는 HTS라면 피해는 눈덩이처럼 커진다. 해커들에 따르면 펀드매니저들 중에는 시간을 다퉈 매매하기 위해 아예 공인인증서는 물론이고 비밀번호 조차 입력하지 않도록 설정해 놓은 경우가 있다. 해커 A씨는 "일부 펀드매니저의 HTS를 분석해 본 적이 있는데 시간단축을 위해 비밀번호, 공인인증서 입력이 필요 없도록 해 놓았고 구조도 개인용 HTS와 똑같이 되어 있어 보안이 전무한 셈"이라고 강조했다.
문제는 HTS 해킹이 손쉽다는 사실이 해커들 사이에 알려져 있어서 사고가 일어날 가능성이 다분하다는 점이다. 해커 B씨는 "HTS 해킹은 고난도 해킹 기술이 아니어서 중국 해커들이 이용할 가능성이 높다"며 "실제로 HTS 해킹이 일어나고 있는데 모를 수도 있다"고 주장했다.
HTS 재설계 필요
방법은 HTS의 보안대책을 다시 세우는 것 뿐. 다시 말해 HTS 프로그램을 디버거 툴로 들여다 볼 수 없도록 새로 만드는 것이다. 권 사장은 "구조 분석이 어렵도록 보안조치를 강화한 HTS를 새로 만들어 배포하는 것이 가장 좋은 방법"이라고 설명했다. 하지만 이 경우 이미 많은 사람들이 사용 중인 HTS를 폐기하고 새로 교체해야 하고 증권사 서버도 여기 맞춰 개편해야 하므로 만만한 작업이 아니다.
차선책은 기존에 사용하는 HTS에 보안조치를 추가하는 방법이다. 이는 소프트웨어 업데이트로 4洑構?이뤄질 수 있으나 보안조치가 추가될 경우 거래 시간이 지연될 수 있다. 권 사장은 "증권사들은 내키지 않겠지만 그래도 속도보다는 보안이 더 중요한 것 아닌가"라고 반문했다.
최연진기자 wolfpack@hk.co.kr
기사 URL이 복사되었습니다.
댓글0