2년 연속 우승한 비결은
금융사 유일 '화이트해커팀'
일주일에 한 번 모여
'해킹 비결' 공유
최정예 개발인력과 화이트 해커 육성체계를 통해 10만 인재를 양성하겠다. (윤석열 대통령, 7월 13일 제11회 정보보호의 날 기념식 축사)과거엔 '보안' 하면 경호가 떠올랐지만, 이젠 '10만 양병설'을 소환할 정도로 '화이트해커'가 언급되곤 합니다. 특히 개개인의 재산을 보관하는 금융권에서 보안의 중요성이 부각되고 있죠. 악성앱을 이용한 해킹 때문입니다. 보이스피싱으로 악성앱을 설치하게 하고, 악성앱에 깔린 코드로 사용자의 신용정보를 빼내는 게 대부분이죠. 작년에 발생한 보이스피싱 범죄는 3만982건, 피해액은 7744억원입니다. 하루 평균 약 85건(21억원)씩 보이스피싱 범죄 피해가 생기고 있다는 겁니다. 겉으로 드러나지 않을 뿐, 금융권 전체에서 매달 발생하는 공격 시도만 수십만건에 달한다고 합니다.
하지만 보이스피싱 검거건수는 오히려 작년에 33.5% 쪼그라들었습니다. '음지'에서 일하며 사전에 해킹을 차단하는 화이트해커가 없어서는 안 될 존재로 떠오르는 이유입니다. 돈이 안 된다는 이유로 외주 방식으로 보안업무를 처리하는 회사들이 대부분인 금융권에서 토스가 최초로 '화이트해커'팀을 만든 이유이기도 하죠. 토스가 잡아낸 악성앱만 지난 4월부터 6개월간 약 58만5000건이라고 합니다.
기자는 지난 4일 토스의 화이트해커 3명과 인터뷰를 진행했습니다. 표상영 연구원과 김재성 연구원, 권재승 연구원입니다. 3명은 '커피사일로'라는 닉네임으로 국내 유일 사이버침해 방지대회인 FIESTA 2022에서 수많은 금융사들을 제치고 1위를 차지했습니다. 2년 연속 1위입니다. 기사에서는 3명을 간략하게 '성'으로 부르겠습니다.
토스 전 계열사 화이트해커 16명…"매주 모여 토론"
Q.토스가 첫 회사이신가요.권: 저랑 재승님은 라온화이트햇이라는 사이버보안회사에서 이직했고요.(라온화이트햇은 국내에서 드물게 화이트해커를 길러내는 보안회사다.) 각자 1년, 3년 정도 있었어요. 그러다 추천받아서 토스에 들어왔습니다. 상영님은 한글과컴퓨터에 계시다가 이직하셨고요. 저는 내부침투테스트&모의해킹(APT)를 맡고 있고, 재성님이 악성앱을 분석하시고, 상영님은 웹서비스 모의해킹을 연구하세요. 각자 맡고 있는 주 영역이 있죠.
Q.세 분 다 금융권 보안은 처음이신데 어떤 점이 다른가요.
권: 우선은 보호하는 데이터가 다르죠. 여기서는 고객 데이터와 신용 정보가 주로 다뤄지다보니까 정보 유출을 많이 의식해야해요.
김: 저희 서비스에 공격을 해서 들어가는 거죠. 저희가 외부에서 토스팀 내부에 침투할 방법을 찾아보고 악성 메일을 보내서 임직원들을 감염시킨다던가 그런 방법을 미리 알아보는 거에요.
표: 외부에 오픈돼있는 서비스들을 통해서 사용자가 의도하지 않은 동작으로 고객 정보를 유출할 포인트가 있는지 그런 것들을 실제로 공격시도를 해본다고 생각하시면 돼요.
#."해커가 DRM서버를 공격했다. DRM서버는 앱 업데이트 파일을 관리할 수 있다. 해커는 앱이 설치된 PC에서 악성 스크립트를 실행할 수 있다. 악성 스크립트는 C&C 서버에서 악성코드를 다운로드받고 실행하는 기능이 포함된다.
다운로드 된 악성코드는 앱이 설치된 PC에 존재하는 문서를 탈취한다. △악성 스크립트를 찾고 △공격자의 침임경로를 파악하며 △유출된 파일을 알아내라."(FIESTA 2022 출제 문제)
Q.FIESTA에 참여한 이름이 '커피사일로'인 이유는요.
권: 작년에도 커피사일로였고요. 3등인 페이먼츠팀의 이름이 소금 커피인데 커피사일로의 인기 메뉴에요. 닉네임 같은 거죠.
표: 저희가 사일로를 많이 이용하기도 하고. 사내에서 커피 살로가 팀원들에게 무료로 제공되고 있는데 베이커리도 만들어주시거든요. 감사한 마음을 담아서 이름을 정했어요.
Q.FIESTA가 현실에도 도움이 되나요.
표: 실제로 발생할 수 있는 문제를 시나리오 방식으로 많이 낸다는 점이 다르죠. 문제를 풀면서 실전에 도움이 되는 대회였습니다.
권: 현실에서 실제로 발생할 수 있는 APT 공격이라던가 랜섬웨어에 감염된 시나리오를 가장해서 문제를 풀기 때문에 다른 대회랑은 좀 달랐어요. 4개 분야로 나눠져 있는데 4개를 통틀어서 종합적으로 판단해 1등이 누구냐를 가리는 대회에요.
Q.각자 전문분야를 맡아 푸신 건가요.
권: 3명이 밤을 새워가면서 같이 문제를 풀었어요. 웹 서비스 같은 경우에는 계속 분석하다보면 악성코드가 다뤄진다던가 하는 경우가 있거든요. 상영님께서 웹을 분석하시다가 악성코드가 나오면 그걸 재성님께 봐달라고 하세요. 토스 받아서 바로 분석하고 이런 식으로 협력해서 풀어가는 경우가 많았습니다. 사실 새벽까지 남아서 문제를 풀고, 주말에도 출근해서 풀었거든요. 그래서 좋은 결과를 얻을 수 있었던 것 같아요. 저희끼리 일하다가 재밌는 거 나오면 서로 같이 같이 파고들어서 보다 보면 어느 순간 이 밤이 돼 있고 그런 경우가 많아요.
Q.생활패턴도 비슷하시고 팀웍이 좋네요. 하지만 팀웍 만으로 해결하긴 어려운 부분이 있을 것 같은데. 어떻게 2년 연속 1위를 하게 된 건가요.
표: 저희가 작년에는 종호님이랑 참여해서 1등을 했는데요.(이종호 보안기술팀 리더는 15년간 활동한 화이트해커로 미국 데프콘과 일본 세콘, 대만 히트콘 등 세계 3대 해킹대회를 1등으로 휩쓸어 보안업계의 유명인사로 꼽힌다.) 종호님이 나와서 1위하면 당연한 거란 얘기가 많아서 이번엔 종호님 없이 정정당당하게 1등을 했습니다. 일단 금융권에서 유일하게 화이트해커팀이라고 불릴 정도로 구성원이 화이트해커인 조직 자체가 있는 곳이 토스에요.
표: 토스페이먼츠가 3등을 해서 같이 수상을 하게 됐어요. 저희가 매주마다 해커 챕터 위클리라는 걸 하는데요. 토스뱅크랑 토스페이먼츠, 토스코어 같은 계열사들이 모여서 각자 보안기술 연구한 것들을 공유하고 피드백을 하는 시간을 갖거든요. 그렇게 하니까 계열사들이 가진 보안기술 역량이 올라가면서 올해도 1등을 하게 되고. 같이 연구를 하면서 이번에도 수상을 할 수 있지 않았을까.
김: 전 계열사에 화이트해커 16분이 계세요. 토스코어에만 9명이 계시고요. 나오는 주제나 기술이 다른 부서에서 접하기 어려운 내용이 많죠.
표: 위클리에 참여하는 분들이 전원 '파이트 프로'로 구성돼 있어요. 그래서 보통 방어적인 측면보다도 공격자 입장에서 어떤 식으로 접근할 수 있을지를 많이 다루거든요. 기술적으로 분석한 내용을 공유하기도 하고. 최근에는 악성앱을 직접 내재화해서 개발을 하다보니까 악성앱이 어떤 식으로 만들어지고 유통이 되고, 어떤 특징이 있는지 준비한 내용을 많이 다루고 있어요.
권: 저희 팀에서 개발한 악성앱 탐지 솔루션을 소재로 어떻게 탐지를 했고, 어떤 과정을 거쳐서 개발했는지 공유를 했어요. 그걸 통해서 계열사들도 어떤 식으로 접근하면 고객정보보호를 잘할 수 있을지 연구하는 자리라고 보시면 될 것 같아요.
Q.화이트해커 열여섯 분은 어떻게 모셔온 건가요.
권: 화이트해커 자체가 시장에 많지 않아요. 종호님을 통해 배울 것도 많고 금융권에 대해서도 여러가지로 궁금한 게 많았어요. 지내다보니까 토스팀이 열정이 되게 많더라고요. 같이 연구를 하다보면 더 성장할 수 있지 않을까 하는 생각에 좋은 해커들이 많이 보이는 것 같아요.
Q.열여섯 분이 모든 공격을 커버할 수 있나요.
권: 저희가 올해 '버그 바운티' 프로그램을 시작했어요.
김: 자체적으로 하는 덴 금융권에서 거의 없는 걸로 알아요. 화이트해커가 있고, 버그바운티라는 시도를 뒷받침하는 문화가 실리콘밸리에서 유명한 거거든요.
권: 저희 서비스를 대상으로 외부 해커들한테 일부를 열어주고 해킹을 시도할 수 있게 해서 취약점이 나오면 저희가 일정한 보상을 해줍니다. 정말 파격적인 취약점은 수천만원까지 드리고요. 해킹은 보통 토스에 접속하기 이전 단계에서 고객 개인정보나 신용정보를 얻으려는 공격이 많이 발생해요. 저희 팀에서는 새로운 유형의 공격을 막으려고 새로운 서비스가 출시되는 경우는 무조건 저희 팀의 컨펌을 받아야 출시할 수 있어요. 먼저 취약점을 확인하고 없으면 출시되는 프로세스죠.
"모르는 문자의 링크를 누르지 마세요"
Q.악성앱이 항상 큰 문제인 것 같아요. 악성앱이 갖는 특징이 있나요.김: 단말기에 과도하게 많은 권한을 요구하는 고유한 특징들이 있습니다. 가령 고객이 거래하려고 시도할 때 차단하는 그런 시스템들이 있어요. 예를 들면 문자 수신하는 권한을 요구해요. 일반적인 앱은 문자 읽는 권한을 요청하지는 않잖아요. 전화를 가로채는 권한도 있는데 이런 특징을 잡아내다보면 새롭게 발견되는 유형도 있어요.
Q.보이스피싱이 고도화된다고 하는데, 최근 달라진 점이 있나요.
김: 전화를 가로채면 대형은행 공식 전화번호로 걸려고 해도 공격자의 전화번호로 하이재킹(가로채기)하는 경우도 있고요. '나는 공식전화번호로 걸었으니까 믿어도 되겠지' 이런 생각에 신뢰가 올라가는 경우도 있어서 많은 피해를 보시는 것 같아요. 가령 악성앱을 비대면 인증을 하기 위한 앱으로 위장해서 설치하기도 하고요.
권: 요즘 보이스피싱 수법을 보면 예전처럼 말투가 어색하지 않고 정말 한국에서 거주하는 은행 직원처럼 하다보니까 속으시는 분들이 많아요. 아무 의심 없이 인증 정보를 알려주셔서 해킹당한 사례도 많은 것 같고요.
김: 문자로도 인증정보를 탈취해가고, 만약에 사진으로 신분증을 찍어놨는데 해킹되면 신분증 사진을 가져가는 거죠. 혹시 공인인증서 비밀번호를 외우기 어려우니까 휴대폰 단말기에 넣어놓으면 또 탈취당할 수 있어요. 인증서 비밀번호를 악성앱에서 입력해야 다음 단계로 넘어갈 수 있다고 하면서 유도를 하는 경우도 있어요. 6자리 핀(PIN) 번호도 마찬가지 방법으로 가져갈 수 있고. PIN 번호를 아예 초기화하는 방법도 있죠.
권: 보이스피싱용 악성앱을 만드는 사람들이 따로 있는 것 같아요. 어떤 경로로 만들어서 유통하는진 모르겠지만요. 코드 안에 개발자의 시그니처를 드물게 남기는 경우는 있어요. 사실 출처를 알기에는 저희도 어디서 왔는지 알면 그거를 처리를 하면 되는데 알기가 어렵죠.
#.“은행 직원이라고 하는데, 토스를 삭제하라고 해요. 뭔가 수상해요.”Q.요새 잦은 보이스피싱 유형은요.
토스 고객센터로 최근 걸려온 상담 내용이다. 상담을 청한 이 여성 고객은 "대출을 알아보던 중 은행 직원이라고 소개한 남성에게 신분증을 촬영해 전달했다"며 "그 남성이 '토스는 개인정보 유출이 많으니 삭제하라'고 권유했다"고 했다. 겁을 먹은 피해자는 토스앱을 지우고 해당 남성이 보낸 '모바일 보안'이란 앱을 깔았다. 의심이 든 피해자가 토스를 다시 설치하자 '모바일 보안'이란 앱이 피싱앱이란 알림이 연이어 떴다.
김: 전화로 상담하다가 '대출을 받으시려면 링크로 보내드린 앱을 까셔야해요'라고 하는 케이스가 많아요. 우대금리를 받으려면 앱을 깔아야한다고 하던가요. 페이지를 실제 은행사이트처럼 꾸며놓고 개인정보 입력해서 로그인을 하면 악성앱이 설치되죠. 마켓에서 앱 다운받는 게 아니고 웹페이지를 통해서 진행하니까 의심하지 않고 그대로 따라주시는 거에요. 악성앱이 1만 개 이상 되니까 유형은 진짜 많아요.
Q.토스는 악성앱을 어떻게 잡아내나요.
표: 악성앱이 설치됐을 때 토스를 켜면 '악성앱이 깔렸으니까 **앱을 지우고 송금하세요.'라고 계속 알림이 뜨게 했어요.
권: 그래서 알림이 많이 온다고 소비자센터로 문의가 많이 오세요. '내가 어디 은행에서 대출 받으려고 앱을 설치를 했는데 토스 때문에 안된다'고 문의가 들어와요. 알아보면 사실 악성앱이 설치가 돼 있던 거고요. 그래서 토스앱을 지우라는 유형도 나타나고 있고요.
표: '토스 앱을 사용하고 있으면 저희 애플리케이션이랑 충돌이 난다' 이런 식으로 설명을 해서 토스 앱을 지우도록 유도하는 피싱 사례도 좀 많이 늘어났더라고요.
Q.보이스피싱에 관한 조언을 해주신다면요.
김: 모르는 문자의 링크를 클릭하지 마세요. 약간 식상할 수도 있지만요. 어떤 경우에도 링크는 절대 누르지 말아야 보이스피싱 피해를 차단할 수 있어요. 결국에는 악성앱을 설치하는 게 핵심이니까요. 그래도 링크를 눌렀다면 피해를 최소화하기 위해서 삭제를 하시고요. 공식 앱 마켓에서 다운 받지 않은 것들은 다 지우라고 안내를 좀 하시는 것 좋을 것 같아요.
"화이트해커 더 양성해야"
Q.화이트해킹에 뛰어든 계기는요.표: 어렸을 때 중학교 때쯤에 해킹을 당한 적이 있거든요. 처음엔 무서웠지만 한편으로는 관심이 좀 많이 가더라고요. 그러다가 사이버 수사대라는 직업이 있다라는 걸 알게 됐어요. 그런 방향을 잡고 공부를 하다 보니까 보안에 발을 들이게 됐죠.
권: 저는 컴퓨터 공학을 전공했는데 대학을 다니다 보니까 동아리 중에서 보안 동아리는 해킹을 공부하더라고요. 저희 3명이 한국정보기술연구원(KITRI)에서 하는 '베스트 오브 베스트(BoB)'라는 프로그램에서 7,8,9기로 만났어요. 차세대 보안 리더 양성이라는 목표를 가지고 있는 프로그램이에요. 보안 업계에서 좀 더 깊게 학습할 수 있는 기회가 되고 있고요.
Q.정부에 건의하실 내용이 있으신가요.
권: 아까도 말씀드렸다시피 저희 업계가 좁거든요. 화이트해커들이 많이 양성이 돼서 회사로 많이 오시면 좋겠어요. 우선 인력이 많이 양성됐으면 좋겠다. 이런 바람이 있습니다.
Q.앞으로 보안 업계 전망은 어떻게 보세요.
표: 고객들의 금융 자산이나 개인정보를 보호하는 게 가장 중요한 영역이니까요. 많은 사람들이 관심을 가지고 투자를 할 거라고 저희는 생각하고 있어요. 금융권에서도 이제 보안 업무를 수행하는 입장으로서 이런 부분에 있어서 책임감을 많이 가져야 한다고 생각하고 있습니다.
박진우 기자