'HTS취약점'에 해당되는 글 1

  1. 2010.08.05 전문가가 말하는 안전한 HTS 인터넷 증권 거래 (6)

전문가가 말하는 안전한 HTS 인터넷 증권 거래

얼마 전, 많은 개인 투자자를 놀라게 할 만한 뉴스가 나왔다. 손쉽게 주식 거래를 할 수 있어 개인투자자 대다수가 이용하는 HTS(HomeTrading System)가 해킹에 취약하다는 것. 방송에서 한 해커는 계좌번호만 알면 그 계좌에 얼마가 들어있는지도 알 수 있고 임의로 주식 주문을 넣거나 돈을 이체할 수 있다며, 실제로 간단한 조작으로 돈을 빼내는 것을 보여줬다.

뉴스에 따르면 금감원과 증권사도 이미 이런 문제점을 파악해 적절한  방안을 마련 중이라고 했다. 그 '방안'의 열쇠는 역시 안철수연구소에 있었다. 
증권 거래 중 개인정보 유출을 막아주는 보안 솔루션인 'AOS 시큐어 브라우저'(AhnLab Online Security Secure Browser)가 바로 그것. 한국투자증권, 우리투자증권, 신한금융투자 등 국내 유수 증권사에 공급되어 해당 증권사의 HTS 사용자는 맘 편히 HTS를 사용할 수 있는 것이다.
세계 최초 시큐어 브라우저 기술 특허 획득
안전한 HTS 거래 위한 시큐어 브라우저 확산

독보적인 고유 기술로 인터넷 증권 거래 보안 분야에서도 리더십을 보여주는 이들. 안철수연구소 보안기술팀의 AOS 개발자들을 만나보았다.  

PM(프로젝트 매니저)인 지창해 선임은 AOS는 시큐어 브라우저뿐 아니라 키보드 보안, 방화벽, 안티바이러스 및 안티스파이웨어까지 다양한 기능을 갖춘 '금융보안 패키지'라고 소개했다. 그리고 이 4개 프로그램을 업데이트해주는 스마트 업데이트i로 구성된다고

제품의 고객이 주로 금융권이라 신속한 대응이 필요해서 개발팀 내에 기술지원팀도 함께 있는 것이 특징이다
보안기술팀이 개발실이 아닌 글로벌사업본부 내에 속한 것도 같은 이유라고.

4개 프로그램 중 최근에 부각된 'AOS 시큐어 브라우저'를 도입한 고객사의 반응은 어떨까? 지PM에 따르면 언론에 보도된 3월 이후 많은 증권
사에서 테스트
, 도입을 검토 중인데 긍정적인 반응이 많다. AOS가 HTS의 취약점에만 초점을 맞춘 제품은 아니지만 한번 이슈가 되고나니 고객의 관심이 주로 그쪽에 쏠릴 수밖에 없다.

사실 HTS를 사용하는데 보안 프로그램이 작동하면 귀찮아하는 사용자도 있을 터. 일반인이 'AOS 시큐어 브라우저'를 사용할 때 불편한 점이나 주의할 점이 있는지 물었다.

김윤석 책임연구원은 "증권사 HTS에 들어가는  'AOS 시큐어 브라우저'는 SDK로 제공되어 별도 UI 없이 작동하기 때문에 사용자가 불편해할 점은 거의 없습니다."라고 설명했다.

이어서 "사실
보안 프로그램은 약간의 불편함과 어색함, 거부감이 있을 수 있어요. 'AOS
시큐어 브라우저'는 안철수연구소 사내 그룹웨어에 먼저 적용되었는데 직원들도 처음엔 인터넷 익스플로러나 크롬 등 주로 사용하는 브라우저가 아닌 시큐어 브라우저가 먼저 실행되니 불편을 겪었을 거에요. 하지만 직원들의 협조로 안정화 작업을 잘 마쳤습니다. 향후 조금의 불편함이라도 줄이기 위해 전용 브라우저가 아닌 형식으로 제공하는 개선 방안을 생각 중입니다."라고 말했다. 

*SDK(Software Development Kit) : 일반적으로 소프트웨어 기술자가 특정한 소프트웨어, 하드웨어 플랫폼, 운영체제 등을 위한 응용 프로그램을 만들 수 있게 하는 개발 도구의 집합이다.  샘플 코드를 포함하여 기술 참고나 지원 문서를 지원함으로써 사용자에게 명확한 요점을 제공한다. 때로는 API(Application Programming Interface)와 같은 의미로 사용된다.


기술지원을 담당하는 원종혁 연구원은 개발 중 에피소드로 '컴키퍼' 악성코드 이야기를 들려주었다. 이는 안철수연구소, 마이크로소프트 등 특정 웹사이트의 URL을 차단하는 악성코드.

"
컴키퍼"에 감염된 고객이 증권 프로그램을 잘 사용하다가 안철수연구소 제품이 적용되면서 사용을 못하게 되는 경우가 있었어요.
그런데 이런 문제가 발생하는 이유가 PC 환경에 따른 문제가 많고, 안철수연구소 제품이 적용되기 이전에 바이러스나 스파이웨어가 PC에 있어서 보안 솔루션이 동작하지 않는 경우가 많아요. 인터넷 뱅킹이나 증권 프로그램을 이용할 때 기본적으로 백신을 먼저 설치하면 이런 문제를 겪지 않을 수 있죠."


이연조 선임연구원은 "최근 보안 시장이 급변하고 있어요. AOS가 조금은 알려졌지만 아직 많이 부족한 상태라고 생각해요. 시장과 기술의 변화를 따라가기 위해서 앞으로 더 많은 노력을 해야합니다."라며 긴장을 늦출 수 없는 정보보안 개발자의 면모를 드러냈다. 

이들은 안철수연구소 내부에서 AOS, 보안기술팀이 차지하는 비율이 크지는 않지만 틈새시장을 넘어서서 V3 못지않은 수익원이 되기 위해서 열정을 태우는 중이다. 

덧붙여 "금융권 보안 시장이 경쟁이 치열하다보니 살아남기 위해 취약점을 과장해서 이슈화하는 정직하지 않은 경우도 있는데요. 저희는 지금까지 해왔듯이 정직함을 기초로 한 개발과 영업을 하고 싶어요."라고 입을 모았다. Ahn

사내기자 유지형 / 안철수연구소 디자인팀
대학생기자 김경수 / 한양대학교 전자통신컴퓨터학과


댓글을 달아 주세요

  1. 하나뿐인지구 2010.08.05 11:01  Address |  Modify / Delete |  Reply

    와...맥주병 토끼시다...^^;...

  2. 초록별 2010.08.05 11:04  Address |  Modify / Delete |  Reply

    그리고...v3라이트 베타 하던데...현재 여러 서버 업데이트 하는 거...
    주변 뭐더라 하면...v3 감염된 거 업데이트 받게 되면...
    좀비 확산 되는 거 아닌가요?...(그럴리는 없겠지만...)

    • 보안세상 2010.08.09 08:50 신고  Address |  Modify / Delete

      분산파일전송엔진 업데이트를 말씀하시나봐요 ^^
      저희 안랩에서 제한된 접근권한으로 특정팀에서만 업격하게 관리하고 있고, 지난 1년 반 이상의 준비 기간 중 제시된 다양한 보안관점의 요구와 수많은 사내 해킹 테스트를 마친 상태이기때문에 더 안전하고 성공 확률도 높답니다 ^^

  3. 율무 2010.08.05 11:45  Address |  Modify / Delete |  Reply

    HTS가 해킹에 취약하다니.. 주식은 하고있지 않지만 왠지 무섭네요;; 그래도 안랩이 있어서 언제나 든든합니다~>ㅁ<

  4. 이름없음 2011.01.14 10:44  Address |  Modify / Delete |  Reply

    증권사에서 취약점을 근본적으로 제거하면 좋겠지만 그게 여의치가 않으니 지금까지 방치?되고 있는거겠죠. 그런점에서 aos가 모두는 아니더라도 어느정도 보호를 해주는 것 같은데..

    문제는 aos가 미적용된 증권사 hts(동양)를 쓰고 있는데 좀 불안하네요.
    포스팅된지가 8월이고 지금은 해가 바뀌고 1월이니 지금쯤이면 해결되었을지도 모르겠군요.