라쿠텐·노무라·SBI 증권 털렸다.. 일본 '주식 계좌 하이재킹' 공포
범죄조직서 탈취 계좌 이용, 주가 조작 속출.. 금융당국·증권사 '비상'
댓글 0
기사입력
: 2025.04.18 09:34
[시큐리티팩트=최석윤 기자] 일본 온라인 증권 시장이 심각한 계좌 하이재킹 사건으로 몸살을 앓고 있다. 범죄 조직이 탈취한 계좌를 이용해 주가를 인위적으로 조작하려 한다는 우려가 커지면서, 금융 당국과 증권사들이 바짝 긴장하고 있다.
17일(현지시각) 재팬타임스에 따르면, 이번 사태는 지난 3월 말, 일본의 대표적인 온라인 증권사인 라쿠텐 증권(Rakuten Securities)이 다수의 고객 계정이 무단으로 탈취된 사실을 공개하면서 수면 위로 드러났다. 이후 노무라증권(Nomura Securities), SBI증권(SBI Securities) 등 주요 증권사들 역시 유사한 계좌 탈취 피해 사례를 잇따라 확인하면서 사태의 심각성을 더하고 있다.
증권사들에 따르면, 공격자들은 정교하게 위장한 피싱 웹사이트를 통해 고객들의 사용자 ID와 비밀번호를 빼돌리는 수법을 사용했다. 이렇게 확보한 정보를 바탕으로 고객 계정에 무단으로 접속하여 본인도 모르는 사이에 주식 거래를 실행한 것이다.
외국·일본 주식, '묻지마' 매수로 주가 조작 시도
초기 보고에서는 공격자들이 주로 외국 주식을 표적으로 삼은 것으로 알려졌습니다. 이에 라쿠텐 증권은 일부 중국 주식에 대한 매수 주문을 일시적으로 중단하는 긴급 조치를 취하기도 했다. 하지만 우려스럽게도 이러한 불법적인 움직임은 곧 국내 주식으로까지 확산되었고, 비정상적인 거래 활동으로 인해 일부 종목의 거래가 일시 중단되는 상황까지 발생했다.
수사 당국은 범인들이 유동성이 낮고 가격 변동성이 큰 주식을 대량으로 매수하여 인위적으로 주가를 끌어올린 뒤, 차익을 실현하고 빠져나가는 수법을 사용한 것으로 보고 있다. 만약 이러한 행위가 명백한 시장 조작으로 확인될 경우, 이는 일본 금융상품거래법을 위반하는 심각한 범죄 행위에 해당된다.
사태가 심각해짐에 따라 증권사들은 고객들에게 각별한 주의를 당부하고 있으며, 금융 당국 역시 감시망을 더욱 강화하고 있다. 증권거래감시위원회(SESC)의 한 소식통은 "상당수의 주가가 조작되었을 가능성이 있으며, 이는 결코 간과할 수 없는 사안"이라고 강조했다. 이 소식통은 100개가 넘는 종목에서 비정상적인 가격 변동이 포착되었을 수 있다고 언급하며 "이 정도 규모의 계좌 탈취는 전례가 없는 일"이라고 덧붙였다.
법적 보호 받기 어려운 피해자 속출
계정 하이재킹은 일본의 '부정 액세스 금지법'에 명백히 위배되는 불법 행위이다. SESC 관계자는 공격의 배후를 신속하게 밝혀내야 한다고 강조했지만, "우리 조사만으로는 한계가 있다"며 법 집행 기관과의 협력이 "필수적일 수 있다"고 밝혔다. 현재 경찰은 관련 정보를 수집하며 수사에 착수한 것으로 알려졌지만, 사이버 범죄의 특성상 범인 검거까지는 상당한 어려움이 예상된다.
추가적인 피해를 막기 위해 전문가들은 투자자들에게 각별한 주의를 당부하고 있다. 사이버 보안 업체인 트렌드마이크로의 대변인은 "출처가 불분명한 이메일이나 SMS 메시지에 포함된 링크를 무심코 클릭해서는 안 된다"며 "각 증권사 공식 앱을 사용하는 것이 자신을 보호하는 효과적인 방법"이라고 조언했다.
하지만 이미 많은 투자자들이 속수무책으로 계좌 도용 피해를 입고 혼란과 분노를 느끼고 있다. 라쿠텐 증권을 10년 넘게 이용해 온 36세 회사원 남성은 이번 사기 수법으로 약 210만 엔(약 2100만원)의 손실을 입었다. 그는 경찰에 피해 사실을 신고했지만, 안타깝게도 그의 사건은 '고객이 아닌 중개업체가 법적 피해자'라는 이유로 형사 고소조차 받아들여지지 않았다. 그는 "이 돈을 어디서 메꿔야 할지 막막하다. 범죄자들은 원하는 대로 활개 치고 있다"며 절망감을 토로했다.
그는 결혼과 노후 자금 마련을 위해 약 1200만 엔(약 1억2000만원) 상당의 일본 주식을 꼼꼼히 관리해 왔으며, 거의 매일 주가를 확인했다. 하지만 지난 3월 20일, 그는 자신이 보유한 모든 주식이 전날 장 마감 직전에 매도되었고, 그 수익금으로 홍콩에 본사를 둔 생소한 AI 회사의 주식 20만 주가 매수된 것을 발견했다. 즉시 매도했지만, 이미 200만 엔(약 2000만원)이 넘는 손실을 본 뒤였다. 라쿠텐 증권 측은 피싱 공격에 사용된 가짜 웹사이트에 대해 사용자들에게 경고했지만, 이 남성은 의심스러운 페이지에 비밀번호를 입력한 적이 없다고 주장하고 있다.
SBI 증권 "정상 거래.. 보상 책임 없다"
SBI 증권을 이용하는 35세 남성 역시 비슷한 피해를 겪었다. 그의 계좌는 도용되어 약 960만 엔(약 9600만원) 상당의 중국 주식이 본인도 모르게 매수됐다. 거래 기록에는 그가 거주하지 않는 지역에서 계정에 로그인한 흔적이 남아있었지만, SBI 증권 측은 "정상적인 사용자 이름과 비밀번호가 사용된 거래에 대해서는 보상 책임이 없다"는 입장을 밝혔다. 이에 대해 그는 "이는 그들의 보안 시스템에 결함이 있다 하더라도 아무런 책임을 지지 않겠다는 의미로밖에 받아들일 수 없다"며 분통을 터뜨렸다.
라쿠텐 증권 대변인은 기자들에게 "경찰 수사에 적극적으로 협조하고 있으며, 각 사건을 개별적으로 평가할 것"이라고 밝혔지만, 피해자들의 불안감과 불신은 쉽게 가라앉지 않을 것으로 보인다. 온라인 증권 거래의 편리함 뒤에 숨겨진 보안 취약점이 이번 사태를 통해 여실히 드러나면서, 투자자 보호를 위한 보다 강력한 대책 마련이 시급하다는 목소리가 높아지고 있다.
