시스템트레이딩 HTS 보안 허점..증권사 주말 긴급수리

(서울=뉴스1) 강현창 기자 = A씨는 "다시 솔로가 될 수는 없다"며 투덜거렸지만 사실, 문제는 이게 아니다. 지난 14일 대부분의 국내 증권사 IT직원들은 대부분 회사에 남아야 했다. 국내 증권사들의 HTS에서 심각한 보안오류가 발견됐기 때문이다.

이날 서울 여의도 국회헌정기념관에서는 증권가의 눈길을 끄는 해킹시연이 있었다. 'K-Security Forum' 창립식으로 열린 행사에서 심준보 한국정보기술연구원 K-BOB(Korea Best of the Best) 멘토가 모 증권사 HTS(홈트레이딩시스템)을 실시간으로 해킹해 타인의 계좌를 가로채는 장면을 선보였다.

심 씨는 국내 모 증권사 HTS에 개인 아이디로 로그인한 뒤 간단한 데이터 조작을 통해 타인의 계좌를 열람했다.

또 본인의 계좌로 로그인한 뒤 타인의 계좌에 있는 주식을 사고파는 모습을 선보였다. 시연이 장 마감 뒤라 시연은 녹화비디오로 대체했다.

일반적으로 HTS에 로그인해 거래하려면 계좌주의 HTS의 아이디와 패스워드, 공인인증서, 공인인증서 비밀번호, 계좌번호, 계좌비밀번호의 5~6개의 보안장치가 필요하다.

그러나 심 씨는 이번 해킹을 위해 이 중 피해자의 계좌번호만 사용했다.

심 씨는 시연이 끝난 뒤 "이번 해킹에 사용된 보안 취약점은 시연된 증권사 HTS만의 문제가 아닌 전 증권사가 가지고 있다"고 말했다.

이어 "이번 공격은 누구나 손쉽게 시도할 수 있는 공격이 아니지만 공격방법을 해외의 악의적 해커가 알게 되면 우리나라 주식시장은 마비될 수 있다"며 "이번 취약점과 관련해 자세한 기술정보는 공개하지 않고 필요한 기관에만 공유하도록 하겠다"고 설명했다.

시연에 사용된 HTS의 해당 증권사는 필요한 조치를 주말 동안 완료했다고 설명했다.

해당 증권사 관계자는 "해당 프로그램은 일반적인 HTS가 아니라 시스템트레이딩에 사용되는 전용 프로그램으로 약 1000여명의 사용자가 있다"며 주식의 매수와 매도는 가능하나 입출금은 안된다"고 설명했다.

이어 "주말 동안 작업을 통해 이번 시연에 사용된 취약점을 모두 해결했다"며 "심 씨의 말처럼 우리 회사만 가지고 있는 문제는 아니다"고 말했다.

khc@news1.kr