PC와 모바일에서 증권거래를 할 수 있는 가짜 HTS와 MTS 시스템 만들어 금융범죄
2021년 7월 경 부터 현재까지 20여개 이상의 운영조직이 120여종의 가짜 HTS·MTS 운영
‘공급조직’, ‘브로커조직’, ‘운영조직’ 등 체계화해 금전편취 및 이용자 중요 정보 유출
[보안뉴스 김경애 기자] 인터넷에서 증권 거래 서비스 HTS를 불법으로 운영해 금전을 탈취하는 사이버 금융범죄가 기승을 부리고 있어 이용자들의 주의가 요구된다.
▲가짜 HTS 소프트웨어[이미지=금융보안원]
PC에서 증권 거래를 손쉽게 할 수 있는 서비스인 HTS(Home Trading System, a.k.a Online Brokerage)부터 웹사이트에서 HTS와 유사한 인터페이스를 제공하는 WTS(Web Trading System), 모바일 환경에서 증권거래를 할 수 있는 MTS(Mobile Trading System) 등 다양한 환경의 트레이딩 플랫폼이 등장함에 따라 투자자들의 시장 참여가 확대되고 있다. 그러나 HTS 운영은 ‘자본 시장과 금융 투자업에 관한 법률’에 따라 금융위원회의 인허가를 받은 금융회사만이 운영할 수 있다. 공격자 역시 이를 노리고 금전탈취 목적으로 불법 HTS를 이용해 사이버 범죄를 저지르고 있다.
금융보안원이 발표한 ‘2023 사이버 위협 인텔리전스 보고서 Operation MIDAS’에 따르면 MIDAS는 2021년 7월 경 부터 가짜 해외선물 HTS·MTS 프로그램을 이용해 한국 개인투자자들을 대상으로 금전을 편취해 왔다. 현재까지 2021년 7월경 부터 활동한 것으로 추정되는 ‘마이다스’, ‘거북선’, 2021년 10월경 부터 활동한 것으로 추정되는 ‘유니온’ 등 20여개 이상의 운영조직이 120여종의 가짜 HTS·MTS를 운영하며 금전편취 활동을 수행했다.
▲가짜 HTS·MTS를 유튜브에 광고한 화면[이미지=금융보안원]
운영조직은 가짜 HTS·MTS를 홍보하거나 전달하기 위해 소개용 웹사이트를 아웃소싱을 통해 그럴듯하게 제작해 이용자를 현혹하고, 가짜 HTS·MTS 사용을 유도한다. 또한 유튜브를 통한 광고로 이용자의 관심을 모은다. 제3자 서비스로 불법 가상계좌, 계좌대여 서비스, 블랙리스트 공유 서비스를 활용했다.
가짜 MTS 웹사이트는 모바일 기기 이용자가 웹 브라우저를 통해 이용할 수 있도록 반응형 웹 형태로 구축됐다. 윈도우즈 OS 기반으로, 가짜 HTS 프로그램을 사용할 수 없는 이용자에게는 가짜 MTS의 사용을 유도한다.
▲가짜 MTS 화면[이미지=금융보안원]
입출금 기능을 넣어 이용자가 입금하면 운영조직의 담당자가 이용자의 MTS 이용자 계정에 금액을 수동으로 기입해 입금 처리를 완료한다. 또한 실제와 동일한 해외선물 시세 정보를 표현하기 위해, 시세정보 표출 및 허위 선물거래 기능을 넣어 해외선물 시세 정보를 이용자에게 전달해 속였다.
가짜 HTS(Home Trading System) 프로그램은 운영조직 및 파트너로부터 유도된 이용자(피해자)가 해외선물 거래를 수행하기 위해 설치·이용하는 프로그램으로, Windows OS 기반 PC에서 동작한다.
▲가짜 HTS 화면[이미지=금융보안원]
시세정보 표출 및 허위 선물거래 기능을 넣어 이용자의 가짜 HTS 프로그램 내에서는 전문적인 차트 정보 표현을 위해 ‘트레이딩뷰(TradingView)’의 차트 라이브러리를 활용해 시세 정보를 시각적으로 제공한다.
화면 캡처 및 유출기능도 넣어 운영을 방해할 것으로 의심되는 이용자(타사 HTS 이용자, 작업자, 수사기관 등)에 대해 세밀하게 감시하고, 금전 편취 활동을 위한 정보로 활용했다. 또한 실행 중인 프로세스 목록 유출 기능을 넣어 실행 중인 PC의 프로세스 목록을 수집한 후 가짜 HTS/MTS 백엔드 서버로 유출했다.
뿐만 아니라 입출금 기능을 이용해 이용자가 화면상에는 거래가 이루어진 것처럼 허위로 표시되고, 실제 결제는 이뤄지지 않도록 했다.
이들은 가짜 HTS·MTS와 운영 정보를 제공하는 ‘공급조직’, 공급조직과 운영조직을 중개하는 ‘브로커조직’, 가짜 HTS·MTS를 운영하며 실질적인 금전 편취 활동을 수행하는 ‘운영조직 및 파트너’ 등 체계적인 역할 분담을 통해 이용자로부터 금전을 편취해 왔다.
‘공급조직’은 이용자들에게 실제와 동일한 해외선물 시세정보를 보여주기 위해, 증권사의 API를 이용해 시세정보를 수집한다. 이렇게 수집된 시세정보는 가짜 HTS·MTS를 거쳐 사용자에게 표시되어 이용자들이 실제 HTS·MTS를 사용하는 것처럼 오인할 수 있도록 관련 시스템들을 정교하게 구성했다. 또한, ‘공급조직’은 가짜 HTS 프로그램 내 이용자들의 PC 화면을 무단으로 캡처, 절취하고 이를 조회하는 기능을 포함시켜 운영조직이 금전 편취 사기를 용이하게 할 수 있도록 지원한다.
‘브로커조직’은 공급조직과 잠재 고객인 운영조직과의 중개 역할을 담당한다. 이들은 자체 구축한 소개 웹사이트 등을 기반으로 가짜 HTS를 운영자를 모집한다. 일부 ‘브로커조직’은 가짜 HTS에 대한 중개 역할뿐만 아니라, 다양한 도박 솔루션의 중개 역할을 병행한 것으로 분석됐다.
‘운영조직’은 리딩방 명목의 카카오톡 오픈채팅, 유튜브 라이브 방송 등 다양한 방법으로 자신들의 가짜 HTS·MTS를 이용하도록 홍보하고, 이용 과정에서 입금되는 금액을 편취했다. 이 과정에서 이용자들로부터 절취한 화면 캡처 파일을 조회해 금전편취 구실(부정행위)로 활용하거나 이용자의 중요 정보를 유출한 것으로 조사됐다.
▲MIDAS 주체별 연관 관계[이미지=금융보안원]
불법 사설 HTS는 그 구조와 운영행태가 사실상 불법 사설도박과 동일하나, 금융회사가 운영 중인 적법한 트레이딩 시스템으로 가장하고 있다는 차이가 있다. 기존 불법 사설도박과는 달리 이용자 스스로가 도박에 참여한다는 인식을 갖기 어렵다. 이용 과정에서 손실이 발생해도 본인의 투자실패 인식할 뿐 사기로 인지하지 못한다.
이와 같은 불법 사설 HTS로 인한 피해는 개인투자자와 기업의 작은 노력들을 통해 예방할 수 있다. 금융보안원은 “개인투자자 측면에서는 금융위원회의 인가를 받은 제도권 금융회사 또는 투자자문업자가 제공하는 서비스를 이용해야 한다”며 “개인 계좌번호나 관련이 없는 법인의 계좌번호 등으로의 투자금 입금을 요구하는 등 수상한 징후가 발견되는 경우 즉시 거래를 중단하고 경계할 것”을 당부했다.
기업 측면과 관련해 금융보안원은 “정보보호 규정을 통해 업무용 단말기가 업무 외적인 용도로 사용되지 않도록 명시하고, 이에 대한 임직원 대상 보안교육을 실시하는 관리적 예방활동이 필요하다”며 “이후에도 주기적인 비인가 소프트웨어 및 악성코드 검사를 실시하는 등 지속적 점검 및 개선이 필요하다”고 강조했다. 또한 자사 브랜드의 사칭 사례를 지속적으로 모니터링함으로써, 관련 사례에 대한 대고객 안내와 같은 적극적인 대응 및 관계 기관으로의 신고가 필요하다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
2021년 7월 경 부터 현재까지 20여개 이상의 운영조직이 120여종의 가짜 HTS·MTS 운영
‘공급조직’, ‘브로커조직’, ‘운영조직’ 등 체계화해 금전편취 및 이용자 중요 정보 유출
[보안뉴스 김경애 기자] 인터넷에서 증권 거래 서비스 HTS를 불법으로 운영해 금전을 탈취하는 사이버 금융범죄가 기승을 부리고 있어 이용자들의 주의가 요구된다.
▲가짜 HTS 소프트웨어[이미지=금융보안원]
PC에서 증권 거래를 손쉽게 할 수 있는 서비스인 HTS(Home Trading System, a.k.a Online Brokerage)부터 웹사이트에서 HTS와 유사한 인터페이스를 제공하는 WTS(Web Trading System), 모바일 환경에서 증권거래를 할 수 있는 MTS(Mobile Trading System) 등 다양한 환경의 트레이딩 플랫폼이 등장함에 따라 투자자들의 시장 참여가 확대되고 있다. 그러나 HTS 운영은 ‘자본 시장과 금융 투자업에 관한 법률’에 따라 금융위원회의 인허가를 받은 금융회사만이 운영할 수 있다. 공격자 역시 이를 노리고 금전탈취 목적으로 불법 HTS를 이용해 사이버 범죄를 저지르고 있다.
금융보안원이 발표한 ‘2023 사이버 위협 인텔리전스 보고서 Operation MIDAS’에 따르면 MIDAS는 2021년 7월 경 부터 가짜 해외선물 HTS·MTS 프로그램을 이용해 한국 개인투자자들을 대상으로 금전을 편취해 왔다. 현재까지 2021년 7월경 부터 활동한 것으로 추정되는 ‘마이다스’, ‘거북선’, 2021년 10월경 부터 활동한 것으로 추정되는 ‘유니온’ 등 20여개 이상의 운영조직이 120여종의 가짜 HTS·MTS를 운영하며 금전편취 활동을 수행했다.
▲가짜 HTS·MTS를 유튜브에 광고한 화면[이미지=금융보안원]
운영조직은 가짜 HTS·MTS를 홍보하거나 전달하기 위해 소개용 웹사이트를 아웃소싱을 통해 그럴듯하게 제작해 이용자를 현혹하고, 가짜 HTS·MTS 사용을 유도한다. 또한 유튜브를 통한 광고로 이용자의 관심을 모은다. 제3자 서비스로 불법 가상계좌, 계좌대여 서비스, 블랙리스트 공유 서비스를 활용했다.
가짜 MTS 웹사이트는 모바일 기기 이용자가 웹 브라우저를 통해 이용할 수 있도록 반응형 웹 형태로 구축됐다. 윈도우즈 OS 기반으로, 가짜 HTS 프로그램을 사용할 수 없는 이용자에게는 가짜 MTS의 사용을 유도한다.
▲가짜 MTS 화면[이미지=금융보안원]
입출금 기능을 넣어 이용자가 입금하면 운영조직의 담당자가 이용자의 MTS 이용자 계정에 금액을 수동으로 기입해 입금 처리를 완료한다. 또한 실제와 동일한 해외선물 시세 정보를 표현하기 위해, 시세정보 표출 및 허위 선물거래 기능을 넣어 해외선물 시세 정보를 이용자에게 전달해 속였다.
가짜 HTS(Home Trading System) 프로그램은 운영조직 및 파트너로부터 유도된 이용자(피해자)가 해외선물 거래를 수행하기 위해 설치·이용하는 프로그램으로, Windows OS 기반 PC에서 동작한다.
▲가짜 HTS 화면[이미지=금융보안원]
시세정보 표출 및 허위 선물거래 기능을 넣어 이용자의 가짜 HTS 프로그램 내에서는 전문적인 차트 정보 표현을 위해 ‘트레이딩뷰(TradingView)’의 차트 라이브러리를 활용해 시세 정보를 시각적으로 제공한다.
화면 캡처 및 유출기능도 넣어 운영을 방해할 것으로 의심되는 이용자(타사 HTS 이용자, 작업자, 수사기관 등)에 대해 세밀하게 감시하고, 금전 편취 활동을 위한 정보로 활용했다. 또한 실행 중인 프로세스 목록 유출 기능을 넣어 실행 중인 PC의 프로세스 목록을 수집한 후 가짜 HTS/MTS 백엔드 서버로 유출했다.
뿐만 아니라 입출금 기능을 이용해 이용자가 화면상에는 거래가 이루어진 것처럼 허위로 표시되고, 실제 결제는 이뤄지지 않도록 했다.
이들은 가짜 HTS·MTS와 운영 정보를 제공하는 ‘공급조직’, 공급조직과 운영조직을 중개하는 ‘브로커조직’, 가짜 HTS·MTS를 운영하며 실질적인 금전 편취 활동을 수행하는 ‘운영조직 및 파트너’ 등 체계적인 역할 분담을 통해 이용자로부터 금전을 편취해 왔다.
‘공급조직’은 이용자들에게 실제와 동일한 해외선물 시세정보를 보여주기 위해, 증권사의 API를 이용해 시세정보를 수집한다. 이렇게 수집된 시세정보는 가짜 HTS·MTS를 거쳐 사용자에게 표시되어 이용자들이 실제 HTS·MTS를 사용하는 것처럼 오인할 수 있도록 관련 시스템들을 정교하게 구성했다. 또한, ‘공급조직’은 가짜 HTS 프로그램 내 이용자들의 PC 화면을 무단으로 캡처, 절취하고 이를 조회하는 기능을 포함시켜 운영조직이 금전 편취 사기를 용이하게 할 수 있도록 지원한다.
‘브로커조직’은 공급조직과 잠재 고객인 운영조직과의 중개 역할을 담당한다. 이들은 자체 구축한 소개 웹사이트 등을 기반으로 가짜 HTS를 운영자를 모집한다. 일부 ‘브로커조직’은 가짜 HTS에 대한 중개 역할뿐만 아니라, 다양한 도박 솔루션의 중개 역할을 병행한 것으로 분석됐다.
‘운영조직’은 리딩방 명목의 카카오톡 오픈채팅, 유튜브 라이브 방송 등 다양한 방법으로 자신들의 가짜 HTS·MTS를 이용하도록 홍보하고, 이용 과정에서 입금되는 금액을 편취했다. 이 과정에서 이용자들로부터 절취한 화면 캡처 파일을 조회해 금전편취 구실(부정행위)로 활용하거나 이용자의 중요 정보를 유출한 것으로 조사됐다.
▲MIDAS 주체별 연관 관계[이미지=금융보안원]
불법 사설 HTS는 그 구조와 운영행태가 사실상 불법 사설도박과 동일하나, 금융회사가 운영 중인 적법한 트레이딩 시스템으로 가장하고 있다는 차이가 있다. 기존 불법 사설도박과는 달리 이용자 스스로가 도박에 참여한다는 인식을 갖기 어렵다. 이용 과정에서 손실이 발생해도 본인의 투자실패 인식할 뿐 사기로 인지하지 못한다.
이와 같은 불법 사설 HTS로 인한 피해는 개인투자자와 기업의 작은 노력들을 통해 예방할 수 있다. 금융보안원은 “개인투자자 측면에서는 금융위원회의 인가를 받은 제도권 금융회사 또는 투자자문업자가 제공하는 서비스를 이용해야 한다”며 “개인 계좌번호나 관련이 없는 법인의 계좌번호 등으로의 투자금 입금을 요구하는 등 수상한 징후가 발견되는 경우 즉시 거래를 중단하고 경계할 것”을 당부했다.
기업 측면과 관련해 금융보안원은 “정보보호 규정을 통해 업무용 단말기가 업무 외적인 용도로 사용되지 않도록 명시하고, 이에 대한 임직원 대상 보안교육을 실시하는 관리적 예방활동이 필요하다”며 “이후에도 주기적인 비인가 소프트웨어 및 악성코드 검사를 실시하는 등 지속적 점검 및 개선이 필요하다”고 강조했다. 또한 자사 브랜드의 사칭 사례를 지속적으로 모니터링함으로써, 관련 사례에 대한 대고객 안내와 같은 적극적인 대응 및 관계 기관으로의 신고가 필요하다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
