“토스 전 계열사에 화이트해커 16명이 있습니다. ‘화이트해커’팀이라고 부를 만한 팀이 있는 곳은 토스가 유일할 겁니다.”

표상영 토스 보안기술팀 연구원은 15일 한국경제신문과의 인터뷰에서 “1주일마다 계열사 화이트해커가 모두 모여 공격자 입장에서 어떻게 접근할 수 있을지를 연구한다”며 이렇게 말했다. 표 연구원은 같은 팀의 김재성 연구원, 권재승 연구원과 함께 국내 유일의 금융 사이버침해 방지대회인 ‘FIESTA 2022’에 출전해 1위를 차지했다. 토스로서는 2년 연속 1위다.

이들 세 명이 만든 팀 이름은 ‘커피사일로’. 토스의 사내 카페다. 권 연구원은 “해커 챕터 위클리에 참여하는 전원이 ‘파이트 프로’로 구성돼 있다”며 “자체 개발한 악성앱 탐지 솔루션으로 어떻게 탐지했고, 어떤 과정을 거쳐서 개발했는지 공유한다”고 말했다. FIESTA 2022에선 계열사인 토스페이먼츠가 3위에 올랐다. ‘해커 챕터 위클리’를 통해 해커들의 노하우를 공유한 게 주효했다는 평가다.

금융권 보안이 여타 업권과 다른 점은 보이스피싱 범죄와 연관된다는 것이다. 보이스피싱으로 악성앱을 설치하게 하고, 악성앱에 깔린 코드로 사용자의 신용정보를 빼내 돈을 인출한다. 화이트해커의 역할은 악성앱 설치 단계에서 해킹을 차단하는 것이다. 지난 4월 토스가 개발한 악성앱 탐지솔루션은 6개월간 총 58만5000건에 달하는 악성앱을 잡아냈다. 그만큼 악성앱의 종류도 다양하고, 금융소비자들도 쉽게 속아넘어갈 만큼 고도화되고 있다.

토스에서 화이트해커팀이 맡은 역할도 중요하다. 권 연구원은 “새로운 서비스를 출시할 때는 무조건 저희 팀의 컨펌을 받아야 한다”고 했다. 이들은 화이트해커 양성이 시급하다고 입을 모았다.

박진우 기자 jwp@hankyung.com