악성코드/짧은생각 긴 얘기

주식거래시스템 해킹 시연의 반응 그리고 아쉬운 점

쿨캣7 2014. 2. 15. 13:19
728x90
반응형



2014년 2월 14일(금) 국회 헌정기념관에서 정보보호산업 육성과 인재양성을 목적으로 K·BoB 시큐리티 포럼 창립총회 및 기념세미나가 개최되었다고 합니다.


여기서 개인 컴퓨터로 주식거래를 하는 주식거래시스템(Home Trading System)에 대한 공격 시연이 있었습니다.


- 주식거래시스템 취약점 해킹시연 영상 (데일리시큐, 2014년 2월 14일)

http://www.dailysecu.com/news_view.php?article_id=6211







시연, 반응 그리고 언론 보도를 보면서 몇가지 생각이 들어서 정리해 봤습니다.



1. 악성코드 이용한 해킹 


* 악성코드를 이용한게 아니라고 합니다. 따라서 아래 내용은 이번 시연과 상관이 없습니다.


동영상을 보면  HTS 시스템에 악성코드를 감염시켜 해킹 한 걸로 보입니다.

그런데, 일반인 대상이라면 대전제를 설명해 주는게 어떨까하는 생각이 듭니다.


'악성코드에 감염된 시스템은 사용자가 할 수 있는 모든 일을 할 수 있다.  따라서 악성코드에 감염되지 않으면 이런 피해를 입지 않는다.'


데모에서 보여 준 내용도 사용자 시스템에 악성코드가 감염되지 않으면 발생하지 않습니다.

많은 악성코드를 이용한 해킹 데모에서는 이런 점을 얘기하지 않고 '봐 위험하지 ?'에만 초점을 맞추는게 아닌가하는 우려가 듭니다


관련 기술을 아는 사람들은 '저렇게 되는게 당연하지'라고 할 수 있지만 관련 기술을 모르는 일반인에게는 공포감을 줄 수 있습니다.



2. 높은 분들의 반응


또 한가지 이 시연을 본 높은 분들(!)의 반응입니다.


데일리시큐 길민권 대표님께서 잘 정리하셔서 캡쳐해 올립니다.





이론적으로 악성코드에 감염되면 인터넷 뱅킹, HTS 등 모두 위험합니다.

이건 관련 기술을 아는 사람이라면 다 예상할 수 있죠 

하지만, 그런 이론을 실제로 증명하는건 또 다른 문제입니다

그런 노력이 무료라고 생각하는건 반드시 고쳐져야 할 점이라고 생각합니다.


좀 더 안전한 세상을 위해서는 각자의 역할을 인정해야 하지 않을까 합니다.



공격자 역할을 하는 분들은 알려지지 않은 취약점아 공유하고 관련 업체, 기관은 거기에 따른 보상을 해야겠죠.




3. 언론 반응


언론에서 관련 기사가 나옵니다.


- 주식거래 시스템 HTS, 사이버테러에 악용된다면 ‘끔찍’(보안뉴스, 2014년 2월 14일)

http://www.boannews.com/media/view.asp?idx=39810


- 맘먹으면 돈도 인출 ... 증권사 HTS 해킹당한 사연은 ? (아주경제, 2014년 2월 14일)

http://www.ajunews.com/view/20140214162506899


- 주식거래용 HTS도 해킹에 무기력…"전 증권사 문제" (매일경제, 2014년 2월 15일)

http://news.mk.co.kr/newsRead.php?year=2014&no=242706



일부 기사 제목은 다소 자극적입니다.


악성코드 감염 후 주식거래 시스템에 대한 공격이기 때문에 사용자 컴퓨터에 악성코드 감염이 먼저 이뤄줘야 합니다.

어떻게보면 악성코드 감염과 감염 후 발생하는 일은 별개의 문제라고도 볼 수 있습니다.


다만 현재 상황은 사용자들이 너무나 쉽게 감염 될 수 있는 상황이긴 합니다. 

(제 컴퓨터 역시 100% 안전하다고 장담 할 수 없으니까요.)


냉소적(?) 시각을 가진 관련 업계 전상훈 이사님의 글로 마무리를 하겠습니다.




[추가]


발표자께서 자신의 심정(?)을 올렸습니다.


- 해킹을 시연하다

http://bananapayload.org/entry/%ED%95%B4%ED%82%B9%EC%9D%84-%EC%8B%9C%EC%97%B0%ED%95%98%EB%8B%A4






ps.


이런 시연이 있을 때마다 고생하신 관계자분들께 힘내세요라는 말을 하고 싶습니다.






728x90
반응형