[목차]
1. WHAT IS
2. HOW TO
[WHAT IS]
보안 컨설팅 분야에서
기술 파트(모의해킹) 쪽에 몸담고
일하다 보면
증권사 쪽 프로젝트 의뢰가 들어와
수행해야 하는 경우가 생기는데
이때
기본적인 애플리케이션(웹/앱) 외
HTS, MTS라는 특정 프로그램을
추가로 진단해야 하는 일이 생긴다.
HTS란 Home Trading System,
MTS란 Mobile Trading System
의 약자로
과거 주식 거래를 채결하기 위해서는
본인이 직접 증권사를 방문하거나
전화를 걸었어야 하는 번거로움이
있었는데
HTS, MTS가 개발됨으로
그 모든 불편함을 잠재우게 되었고
간단히 프로그램을 설치하는 것만으로
누구든 어디서든 손쉽게 매매가 가능해졌다.
보통 프로젝트를 나가게 되면
고객사의 분류를 크게 두 가지,
금융권/비금융권으로 나누어
진단 항목 기준을 정하는데
금융권의 경우는 금융보안원의
"전자금융기반시설 보안 취약점 평가기준",
비 금융권의 경우는
한국인터넷진흥권(KISA)의
"주요정보통신기반시설 기술적
취약점 분석 평가"를 기준으로 삼아
취약점 진단을 실시한다.
(위 두 가지가 절대적 기준은 아니며
본인이 속한 회사나 프로젝트에 따라
다른 진단 항목 기준이 있을 수 있다)
HTS / MTS가 제공되는 증권사의 경우는
분류 상 금융회사에 속하기 때문에
진단 기준은 금감원의 '전자금융기반시설'을
가져가는 경우가 많다.
# 참고
금융회사로 분류되는 대표적인 회사
: 은행, 증권사, 보험사, 카드사, 자산운용사 등
[HOW TO]
HTS는 C/S 진단이다.
C/S란 클라이언트에 프로그램을 설치해
클라이언트와 서버의 기능을 적절히
구분해 놓은 프로그램이며, 쉽게
none http 시스템이라 할 수 있는데
이러한 C/S 진단,
none http 패킷을 잡기 위한 도구로
'echo mirage'라는 네트워크 프록시 도구와
https://sourceforge.net/projects/echomirage.oldbutgold.p/files/latest/download
치트엔진 또는 frida 덤프를 이용해
진단을 실시한다.
진단 수행을 위해서는 어느 정도의
리버싱(Reverse Engineering)
스킬이 요구되며
서버 요청 변조의 경우는
echo mirage를 통해,
메모리 변조의 경우는
치트엔진/frida 등을 통해
살펴본다.
MTS의 경우는 기본적으로
모바일 앱 진단 방식과 유사하기 때문에
이곳에서는 다루지 않는다.