|
SetSectionName(); "누군가 내 주식거래를 엿보고 있다" 공인 인증서가 없어도 조회 가능한 허점 노려주식거래 내역등 해킹 HTS 보안관리 '구멍' 한영일기자 hanul@sed.co.kr ImageView('','GisaImgNum_1','default','260');
전업투자자 김영호(37)씨는 며칠 전 황당한 경험을 했다. 밖에서 가족과 함께 점심식사를 한 뒤 후 집으로 돌아와 홈트레이딩시스템(HTS)에 접속해보니 자신이 이미 '로그인'했던 것으로 나와 있기 때문이다. 김씨는 '혹시' 하는 생각에 증권사에 문의했다가 화들짝 놀라고 말았다. 자신이 사용하는 인터넷프로토콜(IP) 이외에 정체를 알 수 없는 IP 한 개가 자신의 계좌에 접속한 것으로 드러났기 때문이다. 더욱이 문제의 IP에서 그동안 매일 오전8시부터 오후4시까지 주기적으로 김씨의 계좌에 접속했던 것으로 밝혀졌다. 그 IP의 주인공은 해킹을 통해 증시 개장시간 내내 김씨가 어떤 종목을 사고 파는지, 수익은 얼마나 올리는지 등을 들여다보고 있었다. 김씨는 전업투자자로서는 상당한 규모의 자산을 운용하기 때문에 해커는 김씨의 거래내역을 보고 자신의 투자에 참고하기 위해 접근한 것으로 추정된다. 이런 일이 벌어진 것은 우선 김씨의 ID와 비밀번호가 유출됐기 때문이다. 그러나 증권사의 느슨한 보안관리 책임도 큰 것으로 지적된다. 상당수 증권사들은 투자편의를 위해 ID와 비밀번호만 있으면 공인인증서가 없어도 주식거래 내역을 조회할 수 있도록 하고 있다. 다른 사람이 김씨의 ID와 비밀번호를 알아냈다고 해도 공인인증절차를 거쳐야 하는 단계가 있었다면 계좌를 들여다보는 것은 불가능하다. 결국 증권사의 느슨한 보안관리가 주식계좌 해킹으로 이어진 셈이다. 김씨가 항의하자 해당 증권사는 "문제의 IP가 어디서 왔는지는 우리도 모른다"며 "고객이 ID와 비밀번호를 소홀히 관리했기 때문"이라고 반박했다. 금융감독 당국도 이런 느슨한 보안관리에 미온적인 태도를 보이고 있다. 현행 전자금융감독규정 제7조에 따르면 금융거래에는 공인인증서를 의무화해야 하지만 계좌조회 등은 선택사항이다. 금융감독원의 한 관계자는 "금융보안은 사용자 편의와 직결된 문제이기 때문에 자금 이체나 거래 등 본질적인 부분이 아니라면 강제하지 않고 있다"며 "구체적인 보안수준은 증권사가 자율적으로 결정할 문제"라고 말했다. 혼자 웃는 김대리~알고보니[2585+무선인터넷키]
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
