증권사 HTS의 보안 취약성은 몇 년 전부터 경고돼 왔지만 여전히 개선이 어렵다.
HTS는 실시간 거래를 해야 하는 특성 상 완벽한 보안을 제공하기 쉽지 않기 때문이다.
◆잇딴 해킹에도 취약점은 여전
HTS의 취약점은 최근에도 지적됐다. 지난 2월 'K-시큐리티 포럼' 창립식에서 프리랜서 해커 심준보씨가 국내 A투자증권의 HTS 시스템을 해킹하는 시연을 펼치기도 했다.
심씨는 이날 A투자증권사의 HTS를 조작해 타인계좌로 종목을 옮기는 시연을 펼쳐 보였다.
이 자리에서 공개해킹당한 A투자증권은 국내 5대 투자증권사 중 한군데다. 심씨는 "시연에 이용된 A투자증권뿐 아니라 국내 증권사 거의 대부분이 동일한 취약성을 갖고 있다"고 밝혔다.
증권사 HTS는 빠른 금융 거래를 위해 개별 PC에 클라이언트 프로그램을 내려받는다. 이 때문에 해커는 클라이언트 프로그램을 통해 쉽게 사용자 PC에 접근할 수 있고 소스코드를 변형, 데이터를 조작할 수 있다.
또 증권사의 고객 서비스 경쟁이 치열해지면서 HTS의 속도가 느려지는 것을 우려해 클라이언트 프로그램을 암호화하지 않고 서비스하는 등 관리상의 안전 불감증도 큰 요인인 것으로 지적됐다.
한 증권사 IT 보안 관련 임원은 "HTS 보안과 관련해서는 금감원에서 제시하는 가이드라인을 지키는 선에서 보안을 유지하고 있다"며 "특히 중소형사의 경우 HTS를 코스콤을 통해 소극적으로 운영하는 경우가 많다"고 속내를 털어놨다.
◆코스콤도 보안 취약 ‘근본적인 처방 마련해야’
하지만 코스콤의 보안도 안전하지 않다.
최근 국내 증권사의 정보기술(IT) 시스템을 위탁 관리 중인 코스콤의 보안망이 한때 뚫렸던 것으로 밝혀지면서 증권업계 보안체계 전반을 바로 세워야한다는 목소리가 높다.
특히 대형 증권사들과 달리 전체의 절반이 넘는 증권사는 코스콤에 거래실적과 계좌출납 등을 담은 고객원장 관리시스템을 위탁하기 때문에 만에 하나 문제가 생기면 대형 사고가 날 수 있다는 우려도 나온다.
이처럼 증권사의 취약한 보안 실태에도 불구하고 정보보호관리체계(ISMS) 인증 의무대상 16개 증권사 중 한 군데도 인증을 받지 않은 것으로 드러나 증권사의 보안불감증이 심각하다는 사실이 다시 한번 드러났다.
국회 미래창조과학통신위원회 소속 임수경 민주당 의원은 최근 미래창조과학부로부터 제출받은 자료조사 결과 ISMS 인증 의무 대상 업체로 지정된 증권사 16개 업체 중 아무도 증 의무를 이행하지 않아 인증률이 0% 라고 밝혔다.
임수경 의원은 "엄격한 개인정보 보호가 요구되는 금융권의 인증률은 겨우 9%에 불과하다"며 "금융권의 개인정보보호 의지를 의심케 한다"고 지적했다.
ISMS란 정보보호를 위한 정책 및 조직 수립 등 여러 정보보호대책들이 유기적으로 통합된 체계에 대해 제3자의 인증기관(한국인터넷진흥원)이 객관적이고 독립적으로 평가, 기준에 대한 적합 여부를 보증해주는 제도다.
관련 전문가들은 “카드사의 고객정보 유출 사태로 증권업계도 안전지대가 아닌 것이 밝혀진만큼 IT 보안이나 개인정보보호 관련 예산을 비용이 아닌 투자로 인식하는 경영진들의 자세가 필요하다"면서 "증권업계에서도 정보보호 예산에 대한 기준을 강화하고 좀더 적극적으로 지도에 나서야 한다"고 주문했다.