![[오늘의 운세] 6월 3일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202406/03/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
집에서 주식을 사고팔 수 있는 증권사의 홈트레이딩 시스템(HTS)이 인터넷에서 어렵지 않게 구할 수 있는 키보드(컴퓨터 자판) 해킹 프로그램에 의해 쉽게 뚫리는 것으로 확인됐다.
4일 성균관대 정보보호연구소는 기자가 보는 앞에서 28개 증권사의 HTS 시스템 중 11개 증권사에서 주식 거래에 필요한 정보를 줄줄이 빼냈다. 특히 D증권사의 HTS에서는 실제 주식 매매를 하는 데 필요한 네 가지의 정보가 모두 새 나갔다.
이날 오전 11시 수원시 성균관대 정보보호연구소는 두 대의 PC로 개인정보가 유출되는 과정을 보여줬다. 하나의 PC는 HTS를 실행하고 다른 PC는 개인정보를 빼내는 해커 역할을 했다. HTS를 켠 PC에는 키보드로 입력한 내용을 또 다른 PC로 보내는 '넷버스'라는 해킹 프로그램이 들어 있다. 이 해킹 프로그램은 인터넷에서 각종 파일을 내려 받아 PC 안에 설치할 때 자신도 모르게 감염된다.
미리 HTS에 가입한 한 연구원이 아이디(ID)와 접속 비밀번호, 공인인증서 암호를 입력하자 이를 엿보던 또 다른 PC에 그 내용이 바로 표시됐다.
또 주식거래를 위해 계좌 비밀번호를 쳐 넣으니 그것마저 고스란히 넘어왔다. 놀랍게도 PC에 들어 있는 공인인증서(사이버거래용 인감증명서)마저 간단히 복사할 수 있었다. 대부분의 HTS 이용자가 하드디스크드라이브의 'NPKI'라는 폴더에 인증서를 저장하고 있어 해킹 프로그램만 설치되면 간단히 얻을 수 있었다.
이런 작업 끝에 꺼낸 정보를 가지고 다른 연구원이 해당 증권사의 HTS 프로그램을 실행하자 바로 접속됐다. 주식 거래 항목를 누르고 공인인증서 암호와 계좌 비밀번호를 입력하자 원래 주인이 산 주식을 팔 수도 있고 새 매입 주문도 낼 수 있었다. 온라인에서 주식거래를 하려면 ▶아이디 ▶접속 비밀번호 ▶공인인증서 암호 ▶계좌 비밀번호가 있어야 하는데 ▶로그인 비밀번호가 나오는 곳은 대한투자증권 등 4곳 ▶공인인증서 암호가 노출되는 곳은 대신증권 등 5곳 ▶계좌 비밀번호가 새는 곳도 이트레이드증권 등 4개 증권사였다. 그러나 보안체계가 잘 갖춰진 증권사의 HTS는 아이디나 접속 비밀번호를 입력해도 이를 엿보는 PC엔 '333333'이나 'aaaaaa'란 숫자나 문자만이 계속 표시됐다. 키보드 해킹 방지 프로그램이 제대로 작동했기 때문이다. 결국 해킹에 끄덕없는 증권사는 28개 사 중 미래에셋.브리지.키움닷컴.프루덴셜투자증권 정도였다.
성균관대 정보보호연구소 김승주 교수는 "증권거래를 위한 정보가 노출되는 것은 암호처리를 제대로 하지 않았거나 접속을 한 뒤에야 보안 기능이 작동하도록 잘못 설계한 결과"라고 말했다. 아이디나 접속 비밀번호. 공인인증서 암호.계좌 비밀번호 중 일부만 노출된 경우도 해커가 이용자의 PC 이용 상황을 장기간 관찰하면 주식 거래에 필요한 모든 정보를 확보할 수 있다는 게 연구소 측의 설명이다.
HTS 접속 정보가 노출돼 다른 사람이 임의로 주식 거래를 할 수 있게 되면 해킹을 당한 이용자는 자신도 모르게 주식이 처분되거나 원하지 않는 거래가 이뤄지는 등 큰 피해를 볼 수 있다. 금융감독원 김인석 IT감독팀장은 "내후년 자본시장 통합법이 시행되면 증권사가 일부 은행 업무까지 하게 돼 해커들이 증권사를 표적으로 삼는 경우가 늘어날 수 있다"고 말했다. 국내에선 2005년 인터넷에서 구한 키보드 해킹 프로그램으로 다른 사람의 인터넷 뱅킹에 접속해 5000만원을 빼내 달아난 사례가 적발된 이후 갈수록 해킹의 수법도 지능화되고 있다.
성균관대 정보보호연구소는 이날 키보드 해킹 프로그램을 활용해 국내 20개 은행의 인터넷 뱅킹의 보안 수준도 함께 점검했다. HTS보다는 보안 기능이 잘 작동하고 있었지만 여전히 구멍은 있었다. 기업은행의 경우 인터넷 뱅킹을 맨 처음 이용할 때 공인인증서 암호가 노출됐다.
SC제일은행은 아이디가 외부로 새 나갔다. 같은 연구소의 원동호 교수는 "인터넷 뱅킹이나 온라인 증권거래를 할 때는 반드시 키보드 보안 프로그램을 설치해야 하며 전문 회사가 제공하는 보안 서비스도 별도로 이용하는 것이 안전하다"고 말했다. 이들 교수와 연구소 소속 6명의 대학원생은 이런 인터넷 금융거래의 보안 수준을 분석한 결과를 조만간 한국정보보호학회에 제출할 예정이다.
김원배 기자
