외환·상은투신운용 사명변경

정식고객으로 로그인 자유롭게 비밀번호 추출



S증권사에서 발생한 이번 해킹사건은 트레이딩시스템의 관리상 헛점을 교묘하게 활용한 사례로 평가받고 있다.
해커는 증권사의 정식등록 고객. 우선 정상적으로 ID와 패스워드를 입력하고 로그인 한 후 타인계좌 조회가 가능한 점을 이용, 무작위 대입법으로 계좌 비밀번호를 알아냈다.

은행권과는 달리 많은 증권사들이 비밀번호 시도 회수를 전혀 제한하지 않은 것이 화근이었다. 이와 함께 특정ID로 로그인 한 후 타인 계좌조회 및 거래가 가능한 것은 물론 일단 로그인 후에는 본인확인 절차가 전무하다는 점도 문제로 드러났다.

실제로 해커는 불특정 계좌번호를 입력하고 해킹툴을 이용, 200만번 이상 비밀번호를 입력해 유효번호를 알아냈다.

사건과 함께 자바 프로그램의 문제가 부각됐지만 이번 사건에서 핵심문제는 자바보다는 트레이딩시스템의 허술한 관리 체계임이 밝혀졌다. 해커는 자바 애플릿을 역으로 분석해 해킹 프로그램을 만들었지만 HTML 기반 WTS뿐만 아니라 에뮬레이터 방식에서도 가능하기 때문이다.

자바가 해킹에 이용됐지만 핵심문제는 다른 곳에 있다는 것. 다만 공개성이 강한 자바 프로그램을 적용할 때는 소스코드를 거꾸로 분석할 수 있는 역컴파일을 방지하기 위한 기능을 적용해야 할 것으로 지적되고 있다.
특히 이번 해킹사건은 정식고객으로 로그인 한 후 타인계좌번호 및 비밀번호를 도용한 사례로 증권사 애플리케이션 보안의 취약성을 여실히 보여줬다.

일단 특정ID와 패스워드를 입력하고 로그인 한 후에는 전혀 본인확인 절차가 이루어지지 않았다. 특히 은행과는 달리 틀린 비밀번호를 시도하더라도 회수에 제한이 없어 자유롭게 비밀번호를 파악할 수 있었다. 고객의 편리함도 고려됐겠지만 보안에 대한 특별한 인식이 없었다는 반증이다.

실제로 한 보안업체에서 동일한 방법으로 증권사 해킹을 시도한 결과 상당수의 트레이딩 프로그램에서 불특정 계좌번호에 대한 유효 비밀번호를 추출할 수 있는 것으로 나타났다. 은행 인터넷뱅킹 사이트에서도 계좌조회 부문은 해킹이 가능한 것으로 밝혀졌다.

이에 따라 금융감독원의 해결책도 이러한 측면에 비중을 두고 다각도로 진행되고 있다.
금감원은 우선 모든 증권사들을 대상으로 비밀번호 시도 회수를 제한하도록 할 계획이다. 증권사의 정책에 따라 일정 회수를 넘을 경우 거래중지 내지는 IP추적시스템이 자동으로 가동되도록 조치를 취하라는 것.

또한 본인확인 프로세스를 더욱 강화해 로그인 후에도 고객과 계좌간 정합성을 유지하도록 권고할 계획이다. 이와 함께 타인계좌 조회를 금지하는 방안도 검토중이다. 내부 직원들에 대한 통제도 강화해 일반 WTS를 통한 매매를 금지하고 사내 인트라넷을 통해서만 매매를 할 수 있도록 하는 지침도 마련중이다.

이와 함께 직접적인 연관은 없지만 각종 정보를 포함하고 있는 자바 애플릿을 PC가 아닌 서버에서 중앙집중 관리토록 하는 방안도 검토중이다. 공인인증서의 조기도입도 보다 강력하게 추진할 계획이다. 연말까지 인증서 도입을 종용하고 있는 금감원은 증권사들과의 협의를 통해 일정을 최대한 앞당기기로 했다.

이에 대해 업계 관계자들은 그동안 네트워크와 시스템 등 주로 하드웨어 보안에 치중해 온 금융기관들이 총체적인 보안대책을 마련하는 것이 절실한 것으로 지적하고 있다.

이번 해킹 경우처럼 애플리케이션 보안을 비롯해 최근 화두가 됐던 PC보안 등을 다양하게 고려해 포괄적인 보안대책을 수립해야 한다는 것. 특히 적절한 내부통제 시스템을 갖추는 것이 중요한 것으로 나타났다.

한 관계자는 “모든 해킹에 대해 완벽한 보안시스템을 구축하는 것은 불가능하지만 다양한 상황에 적극적으로 대처할 수 있는 보안환경을 구축할 수는 있다”며 “하드웨어와 소프트웨어, 조직, 운영에 이르기까지 다양한 위험을 고려한 보안정책을 수립해야 할 것”이라고 밝혔다.



김춘동 기자 bom@fntimes.com