'HTS 보안'에 해당되는 글 2

  1. 2010.08.05 전문가가 말하는 안전한 HTS 인터넷 증권 거래 (6)
  2. 2010.04.24 HTS 해킹으로 내 정보가 노출된다면 (4)

전문가가 말하는 안전한 HTS 인터넷 증권 거래

얼마 전, 많은 개인 투자자를 놀라게 할 만한 뉴스가 나왔다. 손쉽게 주식 거래를 할 수 있어 개인투자자 대다수가 이용하는 HTS(HomeTrading System)가 해킹에 취약하다는 것. 방송에서 한 해커는 계좌번호만 알면 그 계좌에 얼마가 들어있는지도 알 수 있고 임의로 주식 주문을 넣거나 돈을 이체할 수 있다며, 실제로 간단한 조작으로 돈을 빼내는 것을 보여줬다.

뉴스에 따르면 금감원과 증권사도 이미 이런 문제점을 파악해 적절한  방안을 마련 중이라고 했다. 그 '방안'의 열쇠는 역시 안철수연구소에 있었다. 
증권 거래 중 개인정보 유출을 막아주는 보안 솔루션인 'AOS 시큐어 브라우저'(AhnLab Online Security Secure Browser)가 바로 그것. 한국투자증권, 우리투자증권, 신한금융투자 등 국내 유수 증권사에 공급되어 해당 증권사의 HTS 사용자는 맘 편히 HTS를 사용할 수 있는 것이다.
세계 최초 시큐어 브라우저 기술 특허 획득
안전한 HTS 거래 위한 시큐어 브라우저 확산

독보적인 고유 기술로 인터넷 증권 거래 보안 분야에서도 리더십을 보여주는 이들. 안철수연구소 보안기술팀의 AOS 개발자들을 만나보았다.  

PM(프로젝트 매니저)인 지창해 선임은 AOS는 시큐어 브라우저뿐 아니라 키보드 보안, 방화벽, 안티바이러스 및 안티스파이웨어까지 다양한 기능을 갖춘 '금융보안 패키지'라고 소개했다. 그리고 이 4개 프로그램을 업데이트해주는 스마트 업데이트i로 구성된다고

제품의 고객이 주로 금융권이라 신속한 대응이 필요해서 개발팀 내에 기술지원팀도 함께 있는 것이 특징이다
보안기술팀이 개발실이 아닌 글로벌사업본부 내에 속한 것도 같은 이유라고.

4개 프로그램 중 최근에 부각된 'AOS 시큐어 브라우저'를 도입한 고객사의 반응은 어떨까? 지PM에 따르면 언론에 보도된 3월 이후 많은 증권
사에서 테스트
, 도입을 검토 중인데 긍정적인 반응이 많다. AOS가 HTS의 취약점에만 초점을 맞춘 제품은 아니지만 한번 이슈가 되고나니 고객의 관심이 주로 그쪽에 쏠릴 수밖에 없다.

사실 HTS를 사용하는데 보안 프로그램이 작동하면 귀찮아하는 사용자도 있을 터. 일반인이 'AOS 시큐어 브라우저'를 사용할 때 불편한 점이나 주의할 점이 있는지 물었다.

김윤석 책임연구원은 "증권사 HTS에 들어가는  'AOS 시큐어 브라우저'는 SDK로 제공되어 별도 UI 없이 작동하기 때문에 사용자가 불편해할 점은 거의 없습니다."라고 설명했다.

이어서 "사실
보안 프로그램은 약간의 불편함과 어색함, 거부감이 있을 수 있어요. 'AOS
시큐어 브라우저'는 안철수연구소 사내 그룹웨어에 먼저 적용되었는데 직원들도 처음엔 인터넷 익스플로러나 크롬 등 주로 사용하는 브라우저가 아닌 시큐어 브라우저가 먼저 실행되니 불편을 겪었을 거에요. 하지만 직원들의 협조로 안정화 작업을 잘 마쳤습니다. 향후 조금의 불편함이라도 줄이기 위해 전용 브라우저가 아닌 형식으로 제공하는 개선 방안을 생각 중입니다."라고 말했다. 

*SDK(Software Development Kit) : 일반적으로 소프트웨어 기술자가 특정한 소프트웨어, 하드웨어 플랫폼, 운영체제 등을 위한 응용 프로그램을 만들 수 있게 하는 개발 도구의 집합이다.  샘플 코드를 포함하여 기술 참고나 지원 문서를 지원함으로써 사용자에게 명확한 요점을 제공한다. 때로는 API(Application Programming Interface)와 같은 의미로 사용된다.


기술지원을 담당하는 원종혁 연구원은 개발 중 에피소드로 '컴키퍼' 악성코드 이야기를 들려주었다. 이는 안철수연구소, 마이크로소프트 등 특정 웹사이트의 URL을 차단하는 악성코드.

"
컴키퍼"에 감염된 고객이 증권 프로그램을 잘 사용하다가 안철수연구소 제품이 적용되면서 사용을 못하게 되는 경우가 있었어요.
그런데 이런 문제가 발생하는 이유가 PC 환경에 따른 문제가 많고, 안철수연구소 제품이 적용되기 이전에 바이러스나 스파이웨어가 PC에 있어서 보안 솔루션이 동작하지 않는 경우가 많아요. 인터넷 뱅킹이나 증권 프로그램을 이용할 때 기본적으로 백신을 먼저 설치하면 이런 문제를 겪지 않을 수 있죠."


이연조 선임연구원은 "최근 보안 시장이 급변하고 있어요. AOS가 조금은 알려졌지만 아직 많이 부족한 상태라고 생각해요. 시장과 기술의 변화를 따라가기 위해서 앞으로 더 많은 노력을 해야합니다."라며 긴장을 늦출 수 없는 정보보안 개발자의 면모를 드러냈다. 

이들은 안철수연구소 내부에서 AOS, 보안기술팀이 차지하는 비율이 크지는 않지만 틈새시장을 넘어서서 V3 못지않은 수익원이 되기 위해서 열정을 태우는 중이다. 

덧붙여 "금융권 보안 시장이 경쟁이 치열하다보니 살아남기 위해 취약점을 과장해서 이슈화하는 정직하지 않은 경우도 있는데요. 저희는 지금까지 해왔듯이 정직함을 기초로 한 개발과 영업을 하고 싶어요."라고 입을 모았다. Ahn

사내기자 유지형 / 안철수연구소 디자인팀
대학생기자 김경수 / 한양대학교 전자통신컴퓨터학과


댓글을 달아 주세요

  1. 하나뿐인지구 2010.08.05 11:01  Address |  Modify / Delete |  Reply

    와...맥주병 토끼시다...^^;...

  2. 초록별 2010.08.05 11:04  Address |  Modify / Delete |  Reply

    그리고...v3라이트 베타 하던데...현재 여러 서버 업데이트 하는 거...
    주변 뭐더라 하면...v3 감염된 거 업데이트 받게 되면...
    좀비 확산 되는 거 아닌가요?...(그럴리는 없겠지만...)

    • 보안세상 2010.08.09 08:50 신고  Address |  Modify / Delete

      분산파일전송엔진 업데이트를 말씀하시나봐요 ^^
      저희 안랩에서 제한된 접근권한으로 특정팀에서만 업격하게 관리하고 있고, 지난 1년 반 이상의 준비 기간 중 제시된 다양한 보안관점의 요구와 수많은 사내 해킹 테스트를 마친 상태이기때문에 더 안전하고 성공 확률도 높답니다 ^^

  3. 율무 2010.08.05 11:45  Address |  Modify / Delete |  Reply

    HTS가 해킹에 취약하다니.. 주식은 하고있지 않지만 왠지 무섭네요;; 그래도 안랩이 있어서 언제나 든든합니다~>ㅁ<

  4. 이름없음 2011.01.14 10:44  Address |  Modify / Delete |  Reply

    증권사에서 취약점을 근본적으로 제거하면 좋겠지만 그게 여의치가 않으니 지금까지 방치?되고 있는거겠죠. 그런점에서 aos가 모두는 아니더라도 어느정도 보호를 해주는 것 같은데..

    문제는 aos가 미적용된 증권사 hts(동양)를 쓰고 있는데 좀 불안하네요.
    포스팅된지가 8월이고 지금은 해가 바뀌고 1월이니 지금쯤이면 해결되었을지도 모르겠군요.

HTS 해킹으로 내 정보가 노출된다면

전세계적으로 산업의 발달로 1인당 국민소득이 증가함에 따라 여유자본을 관리하고 미래의 리스크에 대비하기 위한 투자가 활발히 이루어진다. 이와 함께 인터넷의 발달로 개인 투자자는 물론 증권회사에서도 홈트레이딩 시스템(HTS) 프로그램으로 주식 거래를 한다. 
 

HTS는 각 증권사에서 제공하는 주식 거래 프로그램으로 사용자는 이 프로그램을 이용해 집이나 회사 등 컴퓨터만 있으면 로그인과 공인인증 과정을 거쳐 실시간으로 주식을 사고팔 수 있다. 주가의 움직임도 실시간으로 볼 수 있어 인기가 높다.

한국거래소에 따르면 지난해 주식 거래에서 HTS 거래가 차지하는 비중은 거래량의 81.05%, 거래대금의 56.56%에 달한다. HTS를 통한 거래 체결 금액은 무려 2249조원으로 최근 6년 새 4배 가까이 폭증했다.


내가 HTS를 처음 이용한 것은 대학생 모의주식투자대회에 참가한 작년 겨울이었다.  이용 방법이 간편하고 실시간으로 변하는 주식 시장 상황에 빠르게 대처할 수 있어 좋았다. 이렇게 높은 편의성을 제공하는 HTS. 그러나 해킹의 위험으로부터 안전한 것일까? 사실 이 프로그램으로 실제 주식 거래를 해보고 싶지만 보안에 대한 걱정 때문에 아직 망설여진다.

지난해 겨울 우리나라 TOP 10 안에 드는 증권회사 대표는 한국해양대학교에서 열린 강연에서 "주식 거래에 HTS를 개인이 이용하는 것은 위험하니 사용하지 말라."라고 말했다. 개인 정보 유출의 위험이 크다는 것이다. 그렇다면 HTS 프로그램의 보안은 어느 정도일까?

이에 대해 해킹 전문가들은 HTS 프로그램 자체가 해킹에 취약한 구조이며, HTS를 사용할 때 거치는 6가지 보안 장치가 계좌번호와 거래비밀번호만 알면 해킹을 할 수 있다고 말한다. 또한 메모리를 조작하는 불법 소프트웨어를 이용해 사용자 몰래 다른 계좌로 이체하거나 금액을 변경하거나 거래 대상을 바꿀 수 있다.

HTS 프로그램의 해킹이 더욱 위험한 이유는 개인 정보 유출은 물론 다른 사람의 명의로 주식을 사고팔 수 있고 그 사람의 돈을 빼돌리거나 그 사람 명의로 미수를 쓸 수도 있기 때문이다. 심지어 일명 '작전'을 꾸며 주식 시장 전체에 타격을 주거나 많은 자금을 가로챌 수도 있다. 따라서 HTS 프로그램의 보안 문제는 시급히 해결해야 한다.

다행히 이런 위험성에 대비하기 위해 많은 증권사가 대책을 세우는 추세이다. 안철수연구가 개발한 '시큐어 브라우저'는 HTS 프로그램으로 증권 거래를 할 때 특수한 브라우저가 작동해 거래 과정 전체가 일종의 보호막 안에서 이루어지게 한다. Ahn
 


 

대학생기자 윤지미 / 한국해양대학교 국제무역경제학부


댓글을 달아 주세요

  1. dfa3 2010.04.16 11:50  Address |  Modify / Delete |  Reply

    좋은 정보 감사합니다. 이거 홈트레이딩 서비스가 이렇게 취약한 구조를 가지고 있는지는 몰랐네요

  2. 안해요 2010.04.27 00:35  Address |  Modify / Delete |  Reply

    그래서 정말로 안하죠

    은행쪽 그쪽은 거의 엉망이라.

    고전적으로 전화로 하는것이 그나마 뭐 까는것도 없고



    정말로 뭐 수학적으로 적자면 머리아프지만

    인터넷이라는것이 리만가설을 증명한 서류를 가정부가 태웠다고 하는데

    사실 어디선가 나오면 다 털리는거라

    그 한두번 나오는 이야기 아니지만 만약 리만가설이 풀려서

    암호를 바꿔야한다면

    -보안업계-대책은 있나요?

  3. 하나뿐인지구 2010.04.28 14:36  Address |  Modify / Delete |  Reply

    사이버거래를 안 해봐서 모르겠지만...
    은행,증권...모두 중요하겠죠...
    ...
    그런데...정부(경x력이 떨어진다는)는 더 엉망일 걸요?...