주식거래 시스템 HTS, 사이버테러에 악용된다면 ‘끔찍’

HTS·한글 등 프로그램 취약점 계속 발견...개발시 보안성 검사 필수

올바른 윤리관 지닌 보안전문가 육성 위한 교육 커리큘럼 마련돼야

[보안뉴스 김지언] 개인 컴퓨터를 사용해 주식거래를 하는 HTS(Home Trading System) 프로그램을 악용한 사이버테러 가능성이 제기돼 관심이 모아지고 있다.

최근 국내 대형카드사의 개인정보 유출이 사회적으로 큰 문제가 되고 있는 가운데 해커가 이렇게 유출정보를 바탕으로 주식거래 시스템 HTS를 악용해 사이버테러를 감행할 경우 큰 혼란이 야기될 수 있다는 것이다.

14일 개최된 ‘K-BOB Security Forum’ 창립총회 및 기념세미나에서 차세대 보안리더 양성프로그램 BoB의 멘토로 활약하고 있는 심준보 씨가 주식거래 시스템의 사이버테러 가능성을 시연을 통해 입증했다.

심준보 멘토는 시연을 통해 “실제 주식거래에는 많은 보안장치들이 필요한데, HTS 프로그램의 취약점을 이용하면 다른 보안장치들을 모두 무력화하고, 계좌번호만 가지고 있어도 사이버공격이 가능하다”고 우려했다.

또한, BoB 2기 교육생인 현성원 군은 한글문서의 취약점을 악용해 피해자의 개인 컴퓨터를 해킹하는 APT 공격시연을 선보이기도 했다.

이번 해킹시연은 공격자가 피해자가 사용하는 이메일을 통해 한글로 작성된 파일을 전달하고, 피해자가 아무런 의심 없이 문서파일을 열람하게 되면 공격자가 보낸 문서파일에 첨부된 악성코드가 한글 워드프로세서의 취약점을 이용해 피해자의 개인 컴퓨터를 해킹하는 시나리오로 진행됐다. 이를 통해 공격자가 피해자 컴퓨터의 화면을 감시하고 개인정보 및 금융정보를 탈취할 수 있게 되는 것이다.

이렇듯 주식거래시스템 HTS나 한글 워드프로세서처럼 많은 사람들이 사용하는 각종 프로그램에서 취약점이 발견되고 있고, 사이버범죄자들이 이를 악용할 가능성이 점차 커지고 있다.

이러한 피해를 최소화하기 위해서는 각종 프로그램 개발단계에서 보안성 검사가 강화되어야 하는 것과 동시에 올바른 윤리관을 가진 보안전문가 육성을 위한 교육 커리큘럼이 마련되어야 한다고 보안전문가들은 지적하고 있다.

한편 이번에 시연한 주식거래 시스템 HTS의 취약점은 금융당국에 전달돼 패치될 예정이다.

[김지언 기자(boan4@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)