가격 조작

마지막 업데이트: 2022년 7월 10일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기
마스크영역

가격 조작

이번에는 중요정보를 변경 및 초기화하고 상품가격을 조작하는 공격에 대해 알아보려고 한다. 먼저 이러한 해킹들의 대표적인 실제 사례가 있어 제시한다.

2014년에 있었던 KT 최악의 개인정보 유출사건이다. 이 당시에 1200만명의 엄청난 고객 정보들이 유출 되었으며 그중 일부는 다른 회사에 판매하는 방식으로 이익을 챙겨 일당들이 전부 구속된 사례이다. 이게 어떻게 해킹 되었는지는 아래에 실습과정을 쓰겠지만 사실 어떻게보면 해킹이라고 보기에도 너무 애매하다. 오늘 실습했던게 보통 로그인을 할 때 과연 그 사용자가 맞는지, 해커는 아닌지에 대해 검증하고 필터링 하는 과정이 필요한데 KT는 이 당시에 이러한 검증절차를 거치지 않고 DB의 내용만 믿고 숫자만 맞으면 로그인을 시키게끔 했던 시스템이었다. 그러다보니 파로스프로그램, 즉 본인이 사용하고 있는 버프스윗과 거의 차이가 없는 툴이었다. 이 툴을 바탕으로 고유숫자 9개를 아무거나 입력시켜서 가입고객 고유번호를 맞춰서 고객정보를 유출시킨 사건이었다.

(1) InSecure DOR(Change Secret) 공격

비밀번호 바꾸기 공격이다. 사용자인줄 알고 DB인증 절차 없이 바로 비밀번호 변경이 가능한 실습이다. 보안레벨을 low로 맞춰주고 test1234라는 값을 입력하고 change버튼을 눌러준다.

전에 했었던 SQL 인젝션 로그인폼으로 와서 bee, bug를 입력해주고 로그인하면 저런식으로 Test1234라고 비밀번호가 바로 변경된 것을 볼 수 있다. 인증절차 없이 DB정보만 맞으면 그냥 바꿔준 것이다.

이번에는 'or 1=1# 공격문을 써서 로그인을 해보니 아이디는 AIM이라고 나오고 비밀번호는 아까 입력한 test1234가 나오게 된다. 비밀번호를 한 번 변조해 보겠다.

InSecure DOR로 다시 와서 바꿀 비밀번호를 입력하고 프록시를 잡아준다. 그리고 프록시를 잡아준 곳을 보면 login이라는 곳이 있는데 여기에다가 아까 변조하려고 했던 A.I.M.을 넣어주고 포워딩시킨다.

그리고 SQL 인젝션으로 다시와서 아까와 똑같이 로그인을 해보면 저런식으로 Test4321로 비밀번호가 변경된 것을 볼 수 있다. DB내용만 맞으면 로그인이 되어서 저런식으로 변조가 가능했던 것이다.

이번엔 보안레벨을 medium으로 맞추고 프록시를 잡아보았다. medium레벨에서는 아까와는 다르게 token이라는 값이 잡혔는데 이 token값을 활용해서 검증절차를 한번 더 짚어보겠다는 의미로 해석된다. low와는 가격 조작 다르게 한단계정도는 보안이 강화된 상황이다.

비박스에 들어가서 insecure_direct_object_ref_1.php파일을 열어보면 보안레벨이 low일때 어떤방식으로 처리하고 있는지에 대해서 알 수 있다. $sql쪽을 보면 login이 되면 별다른 검증절차 없이 어떠한 아이디라고 패스워드를 바꿀 수 있다. 이러한 방식은 매우 위험한 코드라고 보면 된다. 검증절차를 거치게 하는 코드를 짜야한다. 그래도 Xss공격에 대해서는 방어를 하고 있는 상태이다. escape함수, htmlspecialchars함수를 사용했으며 어느정도 Xss공격에 대해서는 대비가 되어 있는 가격 조작 상태라고 볼 수 있다.

이번에는 Medium과 High레벨 상태의 코드이다. 아까와는 다르게 token이라는 값을 삽입해 세션을 검증하는 절차를 거치고 있다. 세션이 가격 조작 검증되지 않으면 로그인 정보로 넘어갈 수 없는 상태이다. medium, High레벨 상태도 Xss공격에 대한 대해서는 대비가 되어 있는 것을 볼 수 있다. 하지만 이 코드도 그렇게 안전하지는 못하다고 생각한다. sql쪽에서 문제가 발생할 수 있는데 login이라는 정보를 프록시에 삽입해주기만 하면 우회해서 또 변경이 가능하다.

test1234를 입력하고 프록시를 잡아준 화면인데 여기에 login할 아이디를 입력해준다. 그리고 포워드를 해준다.

그렇게 되면 이런식으로 또 한번 비밀번호가 변경되었음을 볼 수 있다. 그래도 검증절차를 거치는 것은 기본이라 보안레벨이 조금이라도 높다고는 할 수 있지만 이런식으로도 해킹이 얼마든지 가능하기 때문에 이러한 해킹을 막는건 조금 더 생각해 봐야 할 문제 일 것 같다.

(2) InSecure DOR(Reset Secret) 공격

Reset Secret공격도 아까 했던 공격과 크게 다르진 않다. 프록시를 잡아주고 변조할 아이디를 넣고 Forword를 해준다.

SQL 인젝션쪽으로 와서 로그인해서 확인해보면 저런식으로 비밀번호가 변조되었음을 알 수 있다.

이번에는 medium으로 맞춰놓고 프록시를 잡은상태인데 바꿀비밀번호를 aaa로 놓고 포워딩을 해줬다.

A.I.M.으로 로그인을 해보니 비밀번호가 전혀 바뀌지 않고 아까와 그대로 임을 볼 수 있다.

insecure_direct_object_ref_3.php 파일을 열어보면 다음과 같은 코드들이 있다. 좀 두드러진 특징이 Content-type를 사용해서 데이터를 보내주고 있다는 것인데 Post방식을 사용할때는 xxe-2.php로 보내준다고 코드가 짜여져 있다.

xxe-2.php 파일을 열어보면 이런 코드가 나오는데 보안레벨이 low일때를 보여주고 있다. 아까와 같이 비밀번호가 손쉽게 변경된 이유도 DB 검증절차를 전혀 거치지 않고 있다. xml에서 login, secret으로 아무런 검증없이 로그인만 되면 바로바로 변경이 가능할 수 있다. 검증절차를 거치지 않는 코드는 보안레벨이 가장 낮은 코드라고 보면 된다.

반대로 보안레벨이 조금 높아진 경우의 코드이다. 아까와는 다르게 login값을 세션에 묶어 검증하는 절차가 있음이 눈에 띄게 보이게 된다. 이런식으로 반드시 검증하는 절차의 코드가 있어야 그래도 조금 안전한 레벨의 보안수준이라고 할 수 있을 것 같다.

(2) InSecure DOR(Order Ticket ) 공격 -> 상품가격조작 공격

이 공격도 매우 간단하지만 홈페이지에 있는 가격을 변조해서 물건을 구입하려는 블랙해커들이 자주사용하는 방법이다. 실사이트에 공격해 물건값 변조해서 구입하면 이 역시 교도소행이니 알아만두고 절대 사용하면 안된다!

이렇게 프록시를 잡아주고 프록시에서 ticket값을 1로 변조하고 포워딩을 시켜준다.

이렇게 되면 아까는 15유로였는데 1유로로 변조되었음을 알 수 있다.

레벨이 가장 낮은 보안수준일때는 ticket_price를 그냥 입력되는 그대로 전부 다 보내주고 있다. 아무런 검증절차를 거치지 않고 그냥 로그인정보만 믿고 보내주는 셈이다.

반면 보안레벨이 medium, High일때는 ticket_price를 입력된 값 그대로 보내주겠다는 코드이고, 그렇지 않으면 안보내겠다는 코드이다. 즉, Request라는 검증절차를 거치고 가격 조작 가격 조작 보내주겠다는 의미로 해석된다.

일본 도쿄 지검, SMBC 닛코 증권의 주가 조작 혐의 수사 착수

일본 도쿄 지검은 SMBC 닛코 증권사 직원들의 주가 조작혐의에 대한 조사에 착수했다고 이 문제에 정통한 소식통이 닛케이 아시아에 전했다.

도쿄지검은 SMBC 닛코 증권 직원들이 주가를 부풀리기 위해 매수주문을 했다고 의심하고 있다.

도쿄지검이 SMBC 닛코 직원이 시장이 닫히기 직전에 일부 주식에 대해 매수 주문을 했다는 사실을 발견했다고 이 문제에 정통한 여러 관계자가 말했다. 검찰은 관련자들에 대한 면담조사를 시작했다.

일본 증권거래위원회는 2021년 6월 SMBC 닛코에 대해 금융상품거래법 위반 혐의로 조사했다. 오후 거래 세션이 끝날 때 실제수요에 의해 뒷받침되지 않고 주가를 인위적으로 끌어올리기 위한 매수 주문은 주가 조작의 한 형태로 간주된다.

도쿄지검 특별수사과는 이번 사건에 대해 증권위원회와 공조조사를 할 예정이다.

소식통에 따르면 SMBC닛코는 2020년경 대주주가 보유하고 있는 일부 주식을 거래시간 외에 매각해달라는 요청을 받았다. 이 회사는 주식을 살 투자자를 모집하는 등 거래의 중개자 역할을 했다.

증권사 직원들은 시장이 끝나기 직전과 투자자들이 주식을 사기로 동의하기 직전에 문제의 주식에 대해 "매수" 주문을 함으로써 일련의 거래를 체결한 것으로 알려졌다.

증권사는 대주주로부터 주식을 매입한 가격과 투자자들에게 매도할 가격 조작 가격의 차액에서 이익을 냈다는 것이다. 지금까지 증권위원회는 거래일 말에 발주했다는 의혹을 뒷받침하는 거래 기록을 입수했다.

증권위원회는 SMBC 닛코 직원들이 사실상 대주주가 매각에 대한 마음을 바꾸지 않도록 인위적으로 주가를 끌어올린 것이라고 의심하고 있다. 이 증권사 해당 직원들은 주가를 올릴 의도가 없었다며 혐의를 가격 조작 부인한 것으로 전해졌다.

증권위원회는 도쿄지검 특별수사부에 고발할 수 있으며, 가격조작이 발견되지 않더라도 의도치 않게 주가를 부풀린 혐의로 SMBC 닛코에 과징금을 부과할 것을 금융청에 권고할 수 있다.

실시간뉴스

尹정부 세법

마스크영역

아시아경제 최신 기획이슈

1폰2번호시대

마스크영역

아시아경제 최신 기획이슈

서막 오른 4680 배터리 전쟁

마스크영역

아시아경제 최신 기획이슈

대중 무역적자

마스크영역

아시아경제 최신 기획이슈

新 금리노마드

마스크영역

아시아경제 가격 조작 최신 기획이슈

재유행 방역대책

마스크영역

뇌물 주고 유가도 조작…글렌코어, 제재금 1.9兆 낸다

  • 카카오톡 카카오톡
  • 네이버블로그 이미지 네이버블로그
  • 주소복사 이미지 주소복사

최종수정 2022.05.25 16:45 기사입력 2022.05.25 16:45

미국·영국·브라질서 관련 혐의 수사
스위스·네덜란드선 아직 합의 못해

[아시아경제 차민영 기자] 스위스 에 본사를 둔 다국적 광산업체 겸 원자재 거래회사 글렌코어가 남미와 아프리카 등에서 뇌물공여와 원유 가격 조작 혐의를 인정하고 1조9000억원에 달하는 제재금을 내기로 합의했다고 월스트리트저널(WSJ) 등 외신들이 24일(현지시간) 보도했다.

외신에 따르면 글렌코어는 브라질, 나이지리아, 콩고민주공화국, 베네수엘라 등에서 정부 관료들에게 1억달러(약 1300억원)가 넘는 뇌물을 제공한 혐의를 받고 있다. 데이미언 윌리엄스 미국 뉴욕 맨해튼 연방검사는 글렌코어의 뇌물 살포가 "어마어마하다"며 "원유 계약을 확보하고 정부 감사를 피하고자 뇌물을 제공했고, 소송을 없애려고 판사에게도 뇌물을 줬다"고 설명했다. 글렌코어는 미국의 항구 2곳에서 중유 가격을 조작한 혐의도 받고 있다.

글렌코어는 미국·영국·브라질 수사당국이 제기한 이런 혐의들을 인정하고 미국에서는 11억달러(약 1조4000억원)를, 브라질에서는 4000만달러(약 500억원)를 각각 내기로 합의했다. 미 법무부에 따르면 이번 제재금은 원유 시장의 가격 조작 공모에 부과한 최대 규모다. 글렌코어는 앞으로 영국에 내야 할 제재금 등을 합해 제재금 총액이 지난 2월 관련 충당금으로 적립한 15억달러(약 1조9000억원)를 넘지 않을 것으로 보고 있다.

글렌코어는 스위스와 네덜란드에서 진행 중인 수사와 관련해서는 아직 합의를 보지 못했다. 외신은 글렌코어의 트레이더들이 뇌물 공여 또는 가격 조작 혐의로 기소돼 유죄를 인정했으나 글렌코어의 최고경영진들은 아직 기소되지 않았다고 지적했다. 미 법무부는 관련 수사를 여전히 진행 중이다.

이에 대해 게리 네이글 글렌코어 최고경영자(CEO)는 이날 성명에서 "우리는 이번 수사에서 확인된 위법행위를 인정하고 당국에 협조했다"며 "이런 형태의 행위는 글렌코어에서 더는 없을 것"이라고 말했다.

가격조작죄, 엄격한 적용이 필요하다

김범기 서울중앙지방검찰청 금융조세조사제2부장이 23일 오후 서울 서초동 서울고등검찰청 기자실에서 모뉴엘 대출사기 및 금융권 로비사건 수사결과를 발표하고 있다.서울중앙지검은 허위 수출채권을 이용해 10개 금융기관으로부터 총 3조 4000억원 규모의 사기대출을 받고, 그 과정에서 한국무역보험공사와 한국수출입은행 등에 금품로비를 한 혐의로 모뉴엘 박홍석 대표이사 및 전·현직 임직원 4명을 기소했다.검찰은 또 모뉴엘의 무역금융 편의를 봐주는 대가로 뇌물 등을 수수한 한국무역보험공사 임직원 가격 조작 6명, 한국수출입은행 간부급 직원 2명, 세무공무원, 대기업 간부 등 10명도 적발했다. 2015.1.25/뉴스1

관세법 제270조의2는 수출입신고 등을 함에 있어 부당하게 가격 조작 재물이나 재산상 이득을 취득하거나 제3자로 하여금 이를 취득하게 할 목적으로 물품의 가격을 조작하여 신고한 경우 가격조작죄가 성립되고, 2년 이하의 징역 또는 물품원가와 5천만원 중 높은 금액 이하의 벌금형으로 형사처벌하도록 규정하고 있다. 이 조항은 부당 이득을 취하기 위한 목적의 수출입 물품 가격 조작을 엄단한다는 취지에서 2013년 8월13일 관세법 개정 당시 도입되었다.

수출입 물품의 가격을 조작함으로써 그 조작된 신고가격을 이용하여 재산을 해외로 도피하고 주가를 높이거나 수출입 물품에 대하여 지원되는 정부예산이나 공공기금, 수출채권에 대하여 이루어지는 금융기관 대출금을 편취하는 경우가 대표적이다.

지난 2월의 관세청 보도자료에 의하면, 가격 조작 관세청은 건강보험심사평가원과 업무협약을 체결하고, 건강보험심사평가원으로부터 건강보험 적용대상으로 등재된 치료재료의 보험수가 및 건강보험 청구 자료와 가격조작 혐의정보를 제공받아, 관세청의 다국적기업에 대한 수입가격 조작 단속 업무에 활용한다고 한다. 국가 재정건전성 확보 등을 위해 유관기관의 협조를 통한 이와 같은 관세청의 가격조작죄 단속은 지속적으로 강화될 것으로 예상된다.

문제는 가격조작죄가 성립하는 범위가 불분명하다는 데에 있다. 가격조작이 구체적으로 무엇을 의미하는지를 정의하는 법령 규정이 없는 상태에서, 법원 판결과 가격 조작 관세청 실무 사이에서도 그 적용범위를 두고 뚜렷한 입장 차이가 있다고 느껴질 정도이다.

예를 들어 회사가 수년간 유지해 오던 특정 물품의 수출가격을 공격적인 마케팅을 통한 시장점유율 확대를 위해 물품의 수출가격을 인위적으로 낮추거나 혹은 반대로 종전의 낮은 마진율을 현실적인 수준으로 높이기 위해 가격 조작 수출가격을 인위적으로 높인 경우 가격조작죄가 성립할까?

필자의 실무상 경험에 의하면, 세관은 관세법 제270조의2 소정의 가격조작죄가 구성요건으로 삼고 있는 ‘가격을 조작하여 신고한 경우’의 의미에 대해 실지거래가격을 실제 지급·수수 금액과 다르게 허위로 신고한 경우에 한정된다고 보지 않고, 실지거래가격을 인위적으로 고가(또는 저가)로 조정하여 결정하고 신고한 경우까지 포함되는 것으로 넓게 해석하는 경향이 강하다.

반면 법원은 관세법 제270조의2 소정의 가격조작죄에서 말하는 가격의 ‘조작’신고를 실제 물품 가격보다 높거나 낮은 가격을 허위로 신고한 경우를 의미한다고 보고, 검사가 피고인이 실제 지급한 거래가격을 있는 그대로 신고하지 않았다는 사실을 충분히 입증하지 못하였다는 이유로 피

고인의 가격조작 피의사실에 대하여 무죄를 선고한 예가 있을 정도로 가격조작죄의 성립 범위에 대해 상대적으로 엄격한 입장을 취하고 있다.

부풀려진 수출실적을 바탕으로 부당대출을 받거나 건강보험 재정을 편취하는 것을 막기 위해 가격조작죄의 적용 범위를 법원판결에 비해 확대하는 관세청의 입장에도 이해가 되는 면이 있다.

하지만 가격조작죄는 어디까지나 행위자를 형사처벌하는 형벌 법규(관세 형법)에 해당한다. 때문에 죄형법정주의 관점에서 볼 때 가격조작죄에 대한 해석은 당연히 엄격하여야 한다.

가격조작죄의 핵심 구성요건인 가격의 조작(造作)은 ‘사실이 아닌 것을 사실인 것처럼 꾸며 만드는 것’을 의미한다. 실지거래가격을 인위적으로 고가(또는 저가)로 조정하여 결정한 경우라고 하더라도 그 이유나 목적이 명백히 부당한 경우가 아니고 신고가격이 실제 지급된 가격과 같다면, 위와 같은 조작(造作)의 사전적 의미와 죄형법정주의에 기초한 엄격 해석의 원칙에 비추어 이를 가격조작죄에 해당하는 것으로 의율해서는 안된다고 생각한다.

부당대출 방지나 건강보험 재정 유지라는 공익적 목적이 중요하다고 하더라도 헌법상 기본원칙인 죄형법정주의 원칙 안에서 달성되어야 한다. 앞으로 관세청의 가격조작죄 단속이 강화되면 가격조작죄 성립 여부를 두고 치열한 법리 다툼이 있을 수밖에 없을 것이다.

가격조작의 의미를 둘러싼 법원과 관세청의 해석 중 과연 어느 것이 타당한지는 향후 대법원 판결을 통해 확인할 수 있겠지만, 개인적으로는 특정 분야에서의 공익 달성에 실패하더라도 기본 원칙이 우선시되는 건강한 대한민국의 모습을 기대해 본다.

정재웅 변호사

[법무법인(유) 화우의 정재웅 변호사는 조세 관련 쟁송과 자문이 주요 업무 분야다. 그 동안 법인세, 부가가치세, 소득세, 상속증여세, 관세 등 전 세목에 걸쳐 다수의 조세쟁송과 자문사건을 수행했다. 강남세무서, 서대문세무서 등에서 외부위원으로 활동했다.]

가격 조작

(~2022-07-14 23:59:00 종료)

모아시스 이벤트 모아시스 이벤트

--> 【뉴욕=정지원 특파원】월가의 대형 은행들이 원자재상품 가격 조작 혐의로 소송 제기 및 조사를 받고 있다. 25일(이하 현지시간) CNBC에 따르면 미국에서 가장 오래된 도금회사 중 하나인 던칸 도금이 골드만삭스와 JP모간 체이스, 그리고 런던금속거래소(LME)를 상대로 아연(zinc) 가격을 조작한 혐의로 소송을 제기했다.

뉴욕 소재 미 연방법원에 제출된 소송장에 따르면 골드만과 JP모간, LME는 지난 2010년부터 미국의 아연 가격을 조작해 왔다고 주장하고 있다.

골드만삭스측은 "우리는 끝까지 소송에 대응할 것"이라고 밝혔으나 JP모간과 LME는 아직까지 이번 소송에 대한 언급을 하지 않고 있다.

CNBC에 따르면 아연 가격은 지난 수년간 크게 올랐다. 던칸 도금의 리처드 브룩스 대표는 "아연 가격은 지난 2010년 이후 폭등했다"며 "4년전 2~4센트에 달하던 가격이 요즘에는 8~10센트에 달하고 있다"고 밝혔다.

골드만삭스와 JP모간은 원자재 업계 일부 수요 업체들로부터 알루미늄과 아연 등 원자재를 통한 담보대출 등의 방법으로 원자재 방출을 지연시켜 이에 따른 이익을 취해왔다는 의혹을 받아왔다.

골드만삭스는 4년 가격 조작 가격 조작 전 5억달럴르 넘게 주고 매입한 LME 창고인 메트로를 매각할 방침이라고 CNBC는 전했다.

한편 영국의 대형은행인 바클레이스도 금 가격 조작으로 금융당국에 4400만달러(약 451억원)의 벌금을 내게 됐다.

영국 금융감독청(FCA)은 "바클레이스가 지난 2004년부터 2013년 사이에 고객과 이해관계 충돌을 적절히 관리하는 것에 실패했다"며 "금값을 결정하는 시스템 통제에 실패했다"고 밝혔다.

FCA는 또한 전 트레이더인 대니얼 플렁킷에게도 2012년 6월 28일에 금 가격 조작을 조작했다며 16만1000달러(약 1억6500만원)의 벌금을 부과했으며 동종 업계 취업을 금지시켰다.

FCA에 따르면 플렁킷은 금 가격 조작으로 고객에게 지불해야 했던 390만달러(약 40억원)를 지불하지 않았다.

런던시장에서 금 가격은 1919년부터 바클레이스와 도이체방크, HSBC, 소시에테제네랄, 노바스코샤 뱅크 등 5개 은행이 하루 두 번 전화로 협의해 결정해왔다.

앞서 이들 5개 은행은 2004년부터 가격을 공모해 금 시세를 조작했다는 혐의로 뉴욕에서 피소된 바 있다.

바클레이스의 안토니 젠킨스 CEO는 성명을 통해 "이번 사건을 유감스럽게 생각하고 있으며 재발 방지를 위해 시스템과 규제를 강화했다"고 전했다. [email protected]


0 개 댓글

답장을 남겨주세요