22일 서울시내의 한 사무실에서 2명의 해커와 만났다. 이들은 "HTS 해킹은 너무 쉽고 간단해서 고난도의 기법도 필요 없다"고 말했다.
홈트레이딩시스템(HTS). 증권사들이 개발한 인터넷주식거래 프로그램이다. 데이트레이딩이 보편화된 요즘 주식투자를 하는 사람이라면 거의 대부분 HTS를 이용하고 있다. 해커들은 이날 일부 증권사의 HTS 보안이 얼마나 허술하고, 해킹에 또 얼마나 무방비 상태인지 보여줬다.
이들은 해킹 시연 동영상을 보여줬다. 직접 시연을 하지 않은 이유는 HTS 해킹에 사용된 컴퓨터(PC)의 인터넷주소(IP)가 증권사 서버에 기록으로 남아 나중에 문제가 될 수 있어서였다. 그래서 해커들은 보통 '좀비PC'를 활용한다.
해커 A씨와 해커 B씨는 악성코드로 다른 사람의 컴퓨터(PC)를 좀비PC로 만든 뒤, 직접 개발한 HTS 조작프로그램을 통해 손쉽게 관련 정보를 빼냈다. 이들이 빼낸 정보는 HTS 접속에 필요한 이용자번호(ID), 비밀번호, 공인인증서 암호와 증권사에서 별도 배포하는 보안카드 암호 등이었다. 남의 계좌에서 주식 및 선물옵션 거래, 계좌이체까지 할 수 있는 모든 권한이 해커 손에 들어간 것이다. 해커 A씨는 "어느 정도 해킹 경험이 있다면 이 정도는 누워서 떡 먹기나 다름없다"고 말했다.
그 다음부터 해커들의 움직임은 일사천리였다. 좀비PC의 HTS를 마치 내 것처럼 활용하며 원하는 주식을 자유롭게 매매하고 증권계좌에 들어 있던 돈을 다른 계좌로 이체했다. 심지어 HTS 조작 프로그램의 '차트 조작'메뉴에 들어가, 마우스로 주가 그래프를 찍어 움직이자 오르던 주가가 곤두박질 친 것으로 표시됐다. 이렇게 되면 좀비PC의 HTS이용자는 가짜 주가 그래프를 보고 잘못된 매매 주문을 할 수도 있다. 해커 B씨는 "HTS를 자유롭게 조작하거나 데이터 가운데 상당수를 변조할 수 있다"며 "나쁜 마음만 먹으면 큰 돈을 벌 수 있다"고 설명했다.
이들이 HTS 조작 프로그램을 만들게 된 것은 증권사들에게 HTS 보안의 취약성을 경고하기 위해서. 실제로 이들은 한 증권사의 동의를 얻어 HTS를 해킹한 다음 주식매매 및 계좌이체 등을 실행하기도 했다.
해커 B씨는 "증권사들도 HTS보안의 취약성을 알고 있다"면서 "하지만 주식매매가 촌각을 다투는 것인데 2중, 3중의 보안장치를 설치하면 그만큼 시간이 걸리기 때문에 (증권사들도) 별다른 조치를 취하지 않고 있는 것으로 안다"고 말했다.
IT보안 전문업체인 큐브피아의 권석철 사장은 "아직까지 드러난 사례는 없지만 만에 하나 HTS가 해킹을 당하면 그 피해는 상상을 초월할 것"이라면서 "지금이라도 증권사나 금융감독기관에서 대책마련이 시급하다"고 지적했다.
최연진기자 wolfpack@hk.co.kr
기사 URL이 복사되었습니다.
댓글0