▲ 투자상담사 일당이 주식 투자 전문가 홈트레이딩시스템을 해킹해 거래내역을 알아낸 뒤 그대로 투자해 1억 5000만 원의 부당이익을 취했다. 사진은 기사의 특정내용과 관련없음. | ||
또한 1개의 계정으로 2대 이상의 컴퓨터에 동시 접속이 가능한 점을 노리고 총 508회에 걸쳐 장 씨의 금융거래정보를 열람했다. 전문가의 주식 매매 정보를 실시간으로 해킹하며 이들이 벌어들인 수익은 자그마치 1억 5000만 원이다. 국내 증권회사들의 허술한 보안정책으로 인해 주식 투자자들의 안전이 위협받고 있는 셈이다.
구멍 뚫린 국내 증권사의 허술한 보안 망을 악용해 억대의 부당이득을 챙긴 사건 속으로 들어가 봤다.
이 아무개 씨는 2001년 3월부터 2003년 6월까지 장 씨와 같은 증권전문가 양성 학원에서 근무했다. 이곳에서 이 씨는 증권투자상담사 자격증 강사로, 장 씨는 강사 겸 연구원으로 활동했다. 잠시 외근 나갈 일이 생긴 장 씨는 동료 이 씨에게 일정량의 주식 매매를 부탁했다. 이때 기록해 둔 장 씨의 HTS 아이디와 비밀번호는 이후 이 씨의 ‘커닝 투자’에 유용하게 활용됐다.
장 씨는 주식 투자 업계에서 손꼽히는 전문가로 알려졌다. 2006년부터 2009년 12월까지 A 증권 수익률 대회에서 수차례 입상하는 등 현재까지도 탁월한 투자 실력을 자랑하고 있다.
B 증권사에 근무하던 이 씨는 2006년 1월 13일부터 2009년 12월 3일까지 장 씨의 계정으로 HTS에 접속해 그의 주식 거래 내역을 열람했다. 그는 증권전문가 양성 학원에서 장 씨와 함께 일한 적이 있는 송 아무개 씨도 범죄 행각에 끌어들였다. 이 씨가 실시간으로 해킹한 장 씨의 매매내역을 빼돌리면 송 씨가 메신저를 통해 이 정보를 전송받는 방식이었다.
이 씨는 5000만 원을 초기 자금으로 마련한 뒤 장 씨가 투자를 계획한 470여 개의 동일 종목에 250억 원의 매매를 발생시켰다. 그 결과 이 씨와 송 씨는 각각 1억 원과 5000만 원의 부당이득을 챙길 수 있었다.
이들의 범행은 지난 3월 자신의 계정으로 지나치게 많은 접속 기록이 있는 것을 수상히 여긴 장 씨의 신고로 드러나게 됐다. 범행기간 동안 이 씨의 ‘커닝 투자’를 눈치 채지 못한 B 증권사는 관리, 감독에 소홀했기 때문에 이들과 동일한 처벌을 받게 된다.
국내 증권회사의 HTS 보안체계의 허술함이 부른 사건이었다. HTS는 국내 주식 투자자의 80%가 이용하는 대규모 증권 거래 시스템이다. 주식 매매를 할 경우 공인인증서를 통한 본인 확인 과정을 거쳐야 하지만 증권 거래 내역 조회는 아이디와 비밀번호만으로도 가능하게 돼 있다. 타인의 계정만 알아내면 상세한 거래내역을 확인할 수 있었던 것이다.
증권가에서는 시각을 다투는 주식 투자 과정에서 매번 공인인증서 확인절차를 거치는 건 현실적으로 불가능하다고 입을 모은다. 3월 26일 기자와 만난 사이버테러대응센터 양종환 팀장은 “HTS 증권거래내역 조회 시 투자종목, 거래가격, 거래수량, 손익여부, 수익률 등 중요한 전자금융거래정보 확인이 가능하기 때문에 이 경우에도 공인인증서를 통한 본인 확인을 하도록 해야 한다”고 주장했다.
또한 1개의 계정으로 2대 이상의 컴퓨터에서 동시 접속을 허용한 것도 문제점으로 지적되고 있다. 현재 대부분의 증권사는 동일한 계정으로 2대의 컴퓨터에서 HTS 접속이 가능하도록 돼 있다. 대부분의 인터넷 사이트가 이중 로그인 방지 기능(한 대의 컴퓨터에서 아이디와 패스워드로 로그인을 한 뒤, 다른 컴퓨터에서 같은 아이디와 패스워드로 로그인을 하면 먼저 로그인한 컴퓨터는 자동으로 로그아웃되는 기능)을 사용하고 있는 것과 사뭇 대조된다.
아이디 공유는 증권가에서 암암리에 통용되는 거래수단이다. 투자를 의뢰한 고객과 증권투자전문가가 서로 거래내역을 확인하기 위해 계정을 공유할 필요가 있기 때문이다. 금융감독원은 최근까지 이중 로그인 방지 기능을 증권가에 도입하기 위해 노력해왔다. 그러나 대부분의 증권사들은 위 기능의 도입을 꺼려하고 있다. 주식 투자자들이 중복 로그인이 가능한 사이트에만 몰렸기 때문이다.
결국 투자자들의 빗발치는 항의에 부딪힌 금감원이 한발 물러났다. 대신 최종 접속 기록을 조회하면 타인이 자신의 계정을 사용했는지 여부를 확인할 수 있기 때문에 조금이나마 피해를 줄일 수 있다는 게 금감원의 입장이다.
하지만 어느 곳보다 개인 신용 정보 보안이 중시되는 증권가에서 발생한 이번 사건을 쉽게 간과해서는 안 된다는 게 경찰의 주장이다. 사이버테러대응센터는 이 사건과 같이 타인의 계정으로 HTS에 몰래 접속해 ‘커닝 투자’한 사례가 더 있을 것으로 보고 수사를 확대할 방침이다.
정유진 기자 kkyy1225@ilyo.co.kr