300조 넘는 '모바일 트레이딩' 해킹 주의보
해커들 은행 보안벽 강화되자 증권사로
"비밀번호 등 스마트폰에 저장하면 위험"
[스마트폰 주식거래 해킹] 주인 모르게 주식 2억어치 팔아…'대포통장'에 자금이체 시도

계좌 주인도 모르게 보유 주식이 팔린 첫 사례가 확인되면서 모바일 트레이더 사이에 ‘해킹 주의보’가 내려졌다. 시중은행들이 보안을 전방위로 강화하면서 해킹 및 피싱 범죄의 대상이 증권 등 비은행권으로 확대되는 것 아니냐는 분석이 나온다.

증권업계에서는 주식 거래량 감소로 가뜩이나 어려운 마당에 ‘새로운 악재가 더해졌다’고 우려하고 있다.

◆2억원 규모 주식 ‘증발’

개인투자자의 주식 거래는 대부분 PC를 활용한 홈트레이딩시스템(HTS)과 스마트폰 등을 이용한 모바일트레이딩시스템(MTS)을 통해 이뤄진다. 2010년 이전까지만 해도 HTS가 거의 전부였지만 스마트폰이 일반화하면서 MTS 거래 비중이 늘어나는 추세다.

MTS 거래를 하려면 증권사를 방문해 계좌를 개설한 뒤 앱스토어 등을 통해 증권사의 MTS 애플리케이션(앱)을 내려받아야 한다. 이때 백신 프로그램은 물론 단말기에서 정보 유출·입을 통제하는 E2E 보안, 키패드 보안 등 각종 보안프로그램이 설치된다. 컴퓨터 등에 저장된 공인인증서를 모바일로 가져오는 절차도 거친다.

해킹 피해를 입은 김모씨의 경우 범인은 스마트폰으로 김씨 보유 주식을 매도한 뒤 PC를 통해 매도 주식을 담보로 대출을 시도했다. 범인은 이틀 뒤 정산하는 주식 거래대금을 서둘러 빼내기 위해 대출을 시도한 것으로 사이버수사대는 추정하고 있다. 그러나 공인인증서 아이디와 비밀번호, 자금 이체를 위한 보안카드 번호 등 핵심 개인정보가 어떻게 유출됐는지는 밝혀지지 않았다.

사이버수사대는 김씨가 개인정보를 허술하게 관리한 탓에 스마트폰이나 PC에 저장해 놓은 정보가 유출됐을 가능성과 K사의 보안시스템이 효과적으로 작동하지 않았을 가능성을 모두 염두에 두고 수사 중이다.

증권사의 보안시스템이 뚫린 것으로 드러나면 불특정 다수의 고객이 위험에 노출될 수 있다는 점에서 문제의 심각성이 한층 더 커지지만 증권업계에선 그럴 가능성은 높지 않다고 주장하고 있다. 증권사마다 금융당국의 기준에 부합하는 시스템을 사용하고 있는 데다 모바일 운영시스템을 변조하기가 쉽지 않다는 이유에서다.

한 대형 증권사 보안팀장은 “공인인증서 아이디를 확보하는 건 상대적으로 쉬운 만큼 ‘범인이 공인인증서 비밀번호와 보안카드 번호를 어떻게 확보했느냐’가 사건의 열쇠가 될 것”이라고 말했다.

◆모바일 트레이딩 해킹 표적되나

스마트폰 주식 투자자를 겨냥한 사이버 범죄가 처음 보고되면서 적지 않은 파장이 예상된다. 전문가들은 은행을 노렸던 해킹세력의 타깃이 모바일 트레이딩으로 옮겨갈 가능성에 주목하고 있다.

거래 상대방과 실시간으로 주식 매매계약을 체결하는 증권 거래의 특성상 단순 자금 이체가 중심인 은행에 비해 보안에 취약할 가능성이 높다. 시중은행들이 막대한 돈을 들여 보안 관련 투자를 늘리는 것도 해커들의 눈을 제2금융권으로 돌리는 배경이 되고 있다는 분석도 나오고 있다.

이번 사건으로 빠르게 성장하고 있는 MTS 거래가 영향을 받을 수 있다는 우려도 있다. 한국거래소에 따르면 올 들어 11월 말까지 유가증권시장의 MTS 거래 비중은 9.29%로 지난해(7.36%)보다 1.93%포인트 증가했다. 2010년(1.99%)에 비해선 5배 가까이 늘었다.

올 들어 11월까지 유가증권과 코스닥시장을 합친 MTS거래 규모는 319조원에 달했다.

정기영 금융감독원 IT감독국 팀장은 “출처가 불분명한 문자메시지에 담긴 인터넷주소를 클릭할 경우 스마트폰에 저장된 개인정보가 한꺼번에 유출될 수 있다”며 “아이디와 비밀번호, 공인인증서, 보안카드 번호 등을 스마트폰에 저장하는 건 위험을 자초하는 일”이라고 말했다.

■ 모바일 해킹

스마트폰 태블릿PC 등 모바일 기기의 운영체제(OS)나 앱의 보안 취약점을 공격해 개인정보 등을 탈취하는 행위. 결제와 관련된 정보를 빼돌리면 소액결제사기, 공인인증서 복제 등을 통해 전자금융사기에 악용할 수 있다.

이유정/오상헌 기자 yjlee@hankyung.com

ⓒ 한경닷컴, 무단전재 및 재배포 금지