• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

온라인 주식투자 계정 해킹...억대수익 올린 펀드매니저 검거 2010.03.26

국내 증권회사 HTS 계정 등 보안관리 허술한 것으로 드러나


경찰청 사이버테러대응센터는 우리나라 최상위급 주식투자자의 계정을 해킹해 A증권사 HTS (홈트레이딩 시스템: Home Trading System)에 불법 접속, 전문가의 투자 패턴과 똑같이   동일한 종목에 250억원 가량의 매매를 발생시켜 1억5000만원 상당의 부당이득을 취한 B종합금융증권 투자상담사 등 3명(법인포함)을 검거했다고 밝혔다.

 

 

이들은 홈트레이딩시스템이 본인 확인을 위한 공인인증서 없이도 실시간 증권거래 내역을 볼 수 있는 허점을 알고, 지난 2006년 1월부터 2009년 12월까지 A증권 주식 수익률 대회에서 수차례 입상한 경력이 있는 주식투자 전문가인 피해자의 HTS 계정을 알아내 주식장이 열리는 날이면 하루도 빠짐없이 접속하여 수익을 낸 것으로 보고 있다.


경찰청 관계자는 “이들 회사에서 보안관리가 되어 있지 않은 사설 인터넷 회선을 이용하여 주식매매가 이루어진 것과 한 개의 HTS 계정으로 2대 컴퓨터에서 동시 접속이 가능한 이중로그인의 문제점에 대해 관계기관(금융위원회, 금융감독원)에 법적·제도적 보완책 마련을 요청할 방침”이라고 밝혔다.


이번 사건은 지난 2001년 3월부터 2003년 6월까지 서울 영등포구 문래동에 소재한 증권사관 학교에서 주식매매기법 증권시황 강의 및 연구원으로 재직할 당시 같이 근무하던 동료인 피해자의 A증권사 HTS 계정을 알아냈다.


이후 2006년 1월 13일∼2009년 12월 3일경까지 광주 동구 금남로 소재 B금융증권 사무실 등에서 피해자의 A증권 HTS 계정에 접속, 수익을 많이 내는 피해자의 주식 거래내역을 열람하고, 470여개의 동일 종목에 250억원 가량의 매매를 발생시켜 1억 5000만원 상당의 부당이득을 취한 것이다. 피의자는 총 508회에 걸쳐 정당한 접근권한 없이 타인의 정보통신망에 침입하고, 부정한 방법으로 전자금융거래정보를 열람한 것으로 드러났다.

 

공인인증서 없이 계정만으로도 투자종목 내역 확인 가능했다

문제는 공인인증서 없이 계정만으로도 투자종목 내역을 확인할 수 있었다는 점이다. 관계기관에서는 HTS 이용 시 주식매매는 본인 확인이 가능한 공인인증서 인증방식으로 거래를 할 수 있도록 하고 있으나, 증권거래내역은 계정(아이디, 패스워드) 로그인만으로도 조회가 이루어지도록 하고 있다.


경찰청 관계자는 “HTS 증권거래내역 조회시 확인 가능한 자료는 투자종목, 거래가격, 거래수량, 손익여부, 수익률 등으로 이는 중요한 전자금융  거래정보로 거래내역 조회시에도 공인인증서를 통한 본인확인이 가능하도록 제도화가 필요하다”고 강조했다.


이중 로그인 방지기능 필요

또한 1개의 계정으로 2대 이상의 컴퓨터에 동시 접속이 가능했던 것도 문제점으로 지적받고 있다. 컴퓨터 보안에 있어서 방화벽, 침입탐지시스템 등 장비를 통한 시스템 보안이 중요하지만 프로그램 보안인 이중 로그인 방지조치 또한 중요한 컴퓨터 보안대책이다.


그러나 이번 A증권사와 더불어 국내 증권사에서는 1개의 계정으로 2대의 컴퓨터에 동시 HTS 접속이 가능하게 되는 문제점이 있어 쉽게 타인의 계정으로 접속해 해당종목을 보고 투자할 수 있었던 것이다. 이중 로그인 방지기능이 필요하다고 경찰은 지적하고 있다. 


B증권사의 인터넷망 접속관리 문제

증권사에 근무하는 투자상담사는 해당 증권사에서 제공하는 네트워크 보안장비, 해킹방지 프로그램 등으로 관리되는 전용 인터넷망에 접속하여 금융거래를 하도록 하고 있으나 피의자는 2008년 7월부터 2009년 12월까지 B증권사 운전자 대기실에 설치된 사설 인터넷 회선으로 접속해 범행을 저지른 것이다. 그러나 피의자는 범행기간 동안 B증권사로부터 한 차례의 제지도 받지 않고 인터넷망에 접속한 것으로 드러났다. 


이는 고객의 중요한 금융거래정보를 보관하고 있는 증권회사는 내부 직원에 대하여 보다 높은 수준의 보안의식을 가질 수 있도록 관리·감독을 하여야 함에도 소홀히 한 것으로 자칫 중대한 금융사고로 이어질 수 있었던 것이다.     


경찰청 사이버테러대응센터는 개인투자자 증권거래의 80% 비중을 차지하고 있는 홈트레이딩시스템(HTS)의 아이디와 패스워드 관리를 철저히 해야 할 것을 당부 하는 한편, 증권거래내역 조회 시에도 공인인증서를 사용해야 할 것과, 이중으로 HTS 계정 로그인이 되는 문제점 등에 대하여 관계기관에 통보하기로 하고, 이와 같이 타인의 계정으로 몰래 접속한 사례가 더 있을 것으로 보고 수사를 확대할 방침이다.

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>