"인공지능은 해커의 기관총"…천재 화이트해커의 경고

Zoom In - '세계 3대 해킹대회 우승'
이종호 토스 보안기술리더

22세에 청와대서 '해킹 위협' 보고
AI 발달로 디도스·랜섬웨어 급증
"기업별 특성 반영 보안체계 필요"

2013년 4월 18일 청와대에서 진행된 미래창조과학부 업무보고. 당시 보고에 참석한 만 22세의 청년이 “대한민국의 보안은 해커들이 마음먹으면 어렵지 않게 뚫을 수 있다”고 직격탄을 날렸다. 정부 당국자들은 그의 말에 귀를 기울이며 사이버 보안 육성을 약속했다. 이후 10년간 이 청년은 매년 국제 해킹 대회에서 우승하며 ‘화이트해커’로 이름을 알렸다. 한국인 최초로 세계 3대 해킹 대회인 미국 데프콘 CTF, 일본 세콘, 대만 히트콘을 모두 석권한 이종호 토스 보안기술리더 얘기다.

이 리더는 지난 4일 한국경제신문과 만나 “정부가 보안산업 육성을 위해 큰 노력을 했지만 여전히 수치에만 초점이 맞춰져 있다”며 “보안에 투자를 늘리는 기업에 대한 세제 혜택 등의 정책 전환이 필요하다”고 말했다. 그는 보안 업체 라온시큐어에서 10년간 팀장으로 근무하며 금융권과 정부 기관을 대상으로 보안 솔루션을 제공했다. 지난해엔 보안 인력 양성과 금융 보호에 기여한 공로를 인정받아 정보보호 유공 국가정보원장 표창을 받기도 했다.

화이트해커로서 최고의 자리에 오른 그가 해외 진출을 마다하고 토스에 합류한 이유는 이승건 비바리퍼블리카(토스 운영사) 대표의 간곡한 권유 때문이었다. 이 리더는 “이 대표가 금융업계 최초로 화이트해커팀을 만들겠다고 해서 마음이 움직였다”며 “보안에 진심을 보인 점에 영향을 받았다”고 설명했다.

토스는 전문 화이트해커만 10명을 두고 있다. 이들은 ‘레드팀’과 ‘블루팀’으로 나눠 실전처럼 공격·방어를 반복한다. 레드팀에서 최신 기술로 토스를 공격하면 블루팀에서 모니터링과 방어체계가 작동하는지 확인한다. 자체 이상거래탐지 시스템을 구축하고 토스가드, 피싱제로 기능을 통해 고객 정보를 보호한다.

이 리더는 최근 해킹 동향에 대해 디도스나 랜섬웨어 같은 단순한 공격이 많아졌다고 분석했다. 예를 들면 전산망 비밀번호를 찾기 위해 고도의 기술을 구사하는 게 아니라 ‘00000000’부터 ‘99999999’까지 모든 조합을 다 시도하는 식이다. 그는 “단순한 공격이 부상한 배경에는 생성형 인공지능(AI)이 있다”며 “해커가 수백~수천 시간을 들여야 했던 해킹 과정을 생성형 AI가 단축한 것”이라고 짚었다.

랜섬웨어의 산업화도 우려했다. 이 리더는 “월 사용료를 받고 해킹 서비스를 구독 형태로 판매하는 시장이 생겼다”며 “구독자가 해킹으로 비트코인 100개를 탈취하면 판매자는 수수료로 5개가량 떼어간다”고 밝혔다. 이를 막기 위해선 기업의 특성을 반영한 주문 제작 방식의 보안 체계를 세워야 한다고 했다.

화이트해커는 늘 해커 집단으로부터 유혹을 받는다. 해외 콘퍼런스에 가면 은밀히 다가와 수십억원의 연봉을 제시하며 주요 기관을 해킹하자고 제안한다는 것. 그는 “특정 기업 서비스를 ‘먹통’으로 만들어달라는 의뢰까지 받는다”고 전했다. 이 리더는 “화이트해커 양성을 이끈 제가 유혹에 넘어간다면 한국 보안에 대한 신뢰가 무너질 수 있다”며 ‘보안 지킴이’ 역할을 이어갈 것을 다짐했다.

강경주 기자 qurasoha@hankyung.com