아주경제 장윤정ㆍ김지나 기자 = 국내 유명 증권사들의 홈트레이딩시스템(HTS)이 해킹에 무방비로 노출돼 충격을 안겨주고 있다. 

금융권이 대규모 개인정보 유출 사태로 홍역을 앓고 있는 가운데 주식거래 시스템 마저 구멍이 뚫릴 경우 상당한 후폭풍이 불가피할 것으로 보인다.

최근 국회헌정기념관에서 개최된 'K-시큐리티 포럼' 창립식에서 프리랜서 해커 심준보씨가 국내 A투자증권의 HTS 시스템을 해킹하는 시연을 펼친 후 증권사 HTS 시스템의 안전성 논란이 도마위에 올랐다. 

심씨는 이날 A투자증권사의 HTS를 조작해 타인계좌로 종목을 옮기는 시연을 펼쳐 보였다. 마치 게임을 하듯 너무나도 쉽게 종목 이동을 선보이면서 이날 참석한 관계자들은 놀라 입을 다물지 못했다. 

이 자리에서 해킹당한 A투자증권은 국내 5대 투자증권사 중 한군데로 심씨는 "시연에 이용된 A투자증권뿐 아니라 국내 증권사 거의 대부분이 동일한 취약성을 갖고 있다"고 밝혔다.

A투자증권만의 국한된 사례로 보기에는 무리가 있다는 얘기다. 

모의해킹 및 보안 서비스전문 업체인 권석철 큐브피아 대표는 “HTS 이용자의 PC를 바이러스에 감염시킨 후 ID를 도용하거나 데이터를 조작하는 방법과 정상 PC에서 HTS 취약점을 이용해 프로그램을 변조, 데이터를 조작하는 방법은 몇 년전부터 지적되어오던 문제"라며 "이에 대해 꾸준히 증권사에서 보완하고 있지만 실시간 거래를 해야하는 HTS의 특성 상 완벽한 보안은 어렵다"고 설명했다. 

권 대표는 "이러한 공격이 가능한 이유는 HTS가 설계 자체부터 취약성을 내포하고 있기 때문"이라고 덧붙였다.

증권사 HTS는 빠른 금융 거래를 위해 개별 PC에 클라이언트 프로그램을 내려받는다. 이 때문에 해커는 클라이언트 프로그램을 통해 쉽게 사용자 PC에 접근할 수 있고 소스코드를 변형, 데이터를 조작할 수 있다. 또 증권사의 고객 서비스 경쟁이 치열해지면서 HTS의 속도가 느려지는 것을 우려해 클라이언트 프로그램을 암호화하지 않고 서비스하는 등 관리상의 안전 불감증도 큰 요인인 것으로 지적됐다.

한 증권사 IT 보안 관련 임원은 "HTS 보안과 관련해서는 금감원에서 제시하는 가이드라인을 지키는 선에서 보안을 유지하고 있다"며 "특히 중소형사의 경우 HTS를 코스콤을 통해 소극적으로 운영하는 경우가 많다"고 속내를 털어놨다.

이에 코스콤 관계자는 "HTS의 메모리 해킹 기법에 대해선 3년 전부터 메모리보호 서비스를 적용해 운용하고 있다"며 "이밖에도 데이터 암호화 및 키보드 보안도 적용하고 있다"고 설명했다.

한편 이번 시연에 대해 해당 A투자증권사 측은 억울하다는 입장이다. 해킹 당시 '안랩AOS' 전용 해킹보안프로그램으로 보안중이었지만 업체 운영 실수로 미작동되고 있었을 뿐 계좌번호 위변조를 방지하는 동일성검증 기능이 반영되지 않아 메모리해킹 취약성에 노출됐다는 설명이다. 

동일성 검증이란 조회 및 주문거래를 요청한 계좌가 로그인한 고객 명의의 계좌인지를 검증하는 기능으로 A투자증권은 추후 동일성검증 기능을 적용해 보완했고 해당 취약성을 곧바로 제거했다고 밝혔다. 

그러나 금감원이 2010년 공개한 'HTS 안정성 제고방안 주요 내용' 에 따르면 원칙적으로 HTS는 금융회사에서 제공하는 PC용 보안프로그램이 가동된 상태에서만 이용이 가능하다고 규정하고 있어 A투자증권사의 해명은 설득력이 크지 않다는 것이 보안 전문가들의 중론이다.

이번 해킹 시연 후 미래창조과학부는 심씨로부터 증권사 취약성 정보를 받아 한국인터넷진흥원과 공유, 국내 증권사에 시정 조치토록 했다. 또 금융감독원은 증권사와 선물회사에 HTS 보안 관련 가이드라인을 제공하고, HTS 보안 점검을 보다 강화하겠다고 밝혔다. 

전문가들은 "고객들의 자산을 위협하는 금융보안의 중요성이 날로 커져가고 있는 만큼  엄중한 방어체계를 구축하는 정책이 시급하다"고 입을 모았다.