[단독] 우리證 HTS 로그인 안해도 접속된다

로그인 서버 거치지 않고 직접 접속 가능한 결함 발견돼해킹 능력 없어도 실행 파일만 찾으면 우회 접속 가능해

[세계파이낸스]

우리투자증권 머그를 '우회접속'해 사용한 경우의 종료 메세지 캡쳐, 로그인 정보가 없기 때문에 이용자의 이름이 표기되지 않는다.

우리투자증권의 HTS인 '머그(Mug)'에서 로그인을 안하고 우회해 접속할 수 있는 결함이 발견됐다.

이는 시중에서 판매되는 것으로 알려진 특별한 프로그램이나 HTS 프로그램 등을 해체하는 등의 해킹 기법이 사용된 것도 아니다. 그냥 들어가서 실행하면 된다.

머그나 티엑스가 설치된 폴더를 살펴본 결과 독립된 실행 파일 하나를 실행하는 것 만으로도 로그인 서버를 거치지 않고 그대로 접속이 가능했다.

마이크로소프트 윈도7 운영체제(OS)를 사용하는 경우는 더욱 간단하다.

우리투자증권의 머그 HTS를 한번 실행한 뒤, 작업표시줄에 있는 아이콘을 마우스 오른쪽 버튼을 눌러 '이 표시줄을 작업표시줄에 고정'을 클릭하면 실행중인 HTS 창과 연결되는 아이콘이 작업표시줄에 고정된다.

이후 HTS를 끄고 아까 만들어진 아이콘을 클릭하면 로그인 과정 없이 그대로 창이 뜨고 시세나 뉴스 등을 확인할 수 있는 것이다.

확인 결과 이 방법은 우리금융그룹의 은행연계증권계좌에서 사용되는 HTS인 '티엑스(TX)'에서도 그대로 적용됐다.

같은 방법을 적용해 타 증권사들의 HTS를 살펴본 결과 이같은 오류는 없는 것으로 확인됐다.

그러나 다행인 것은 이러한 방법으로 접속했을 경우 은행이체나 계좌 정보 등을 볼 수는 없다는 것이다. 우회 접속이라 아이디 등의 정보가 제출되지 않고 있기 때문이다.

계좌 정보가 뜨질 않기 때문에 매매도 불가능하지만 대신 HTS상에서 설정해놓은 것들은 그대로 볼 수 있었다.

이 HTS를 사용하는 사람들이 프로그램을 종료하기 전 어떤 창을 열었는지, 이전에 어떤 종목을 검색했는지 등을 마음만 먹으면 간단히 실행해서 확인할 수 있다.

타사의 경우는 인지하고 있는 것인지는 알 수 없으나, 한국투자증권의 이프렌드 플러스의 경우 '단독으로는 실행할 수 없다'는 메세지가 나오는 것을 보면 모든 회사들이 이 사실을 모르고 있지는 않는 것으로 보인다.

유병철 세계파이낸스 기자 ybsteel@segyefn.com

[Segye.com 인기뉴스]

◆ 30대女, 누명으로 2015년까지 중국에 갇혀…왜?

◆ '극적구조' 신혼부부, 30시간 생존 알고보니…

◆ "총·대선, 新박정희 대 新노무현 구도다"

◆ "택배 왔어요"… '택배기사' 탈쓴 강도 기승

◆ 준공필, 입주중~ 무조건 잡아라!

[ⓒ 세계파이낸스 & Segye.com, 무단 전재 및 재배포 금지] 세계일보 [지면보기][스마트캠페인][ 트위터/ 페이스북/ 미투데이]< 세계닷컴은 한국온라인신문협회(www.kona.or.kr)의 디지털뉴스이용규칙에 따른 저작권을 행사합니다. >