"그렇게 인생이 털립니다"…딱 한 번 잘못 누른 탓, 그 놈에게 당했다[이슈인터뷰]

토스 화이트해커 팀 이종호·지한별·정한솔·최정수 인터뷰
함부로 모르는 웹주소 들어가면 신분증·금융정보 빼앗겨
이승건 "고객신뢰" 강조…토스 계열사 '해커 챕터' 구축

"당신의 휴대폰은 해커에게 점령당했습니다. 지금 해커가 본인 PC에서 당신의 신분증과 금융 정보를 읽고 있습니다."

토스 화이트해커 팀이 지난 7일 서울 강남구 역삼동 아크플레이스에서 인터뷰를 하고 사진을 찍고 있다. 최정수 연구원(왼쪽부터), 이종호 리더, 지한별 연구원, 정한솔 연구원. 토스

매년 7월 둘째 주 수요일 돌아오는 정보보호의 날을 맞아 지난 7일 서울 강남구 역삼동 아크플레이스에서 토스 화이트해커 팀과 진행한 인터뷰에서 최정수 토스 보안기술팀 연구원은 평범한 택배 반품 처리 문자메시지를 통해 해커가 소비자 휴대폰을 훔치는 장면을 보여줬다.

1분 안에 최 연구원과 토스 화이트해커 팀 멤버들은 휴대폰 버튼 몇 번 누르는 것만으로 소비자 폰에 담긴 그의 위치, 연락처, 문자 메시지, 소비 패턴, 주요 문서, 사진첩을 빼앗아갔다. 은행 거래 정보는 물론 신분증 사진, 학교 생활 기록부, 국민연금 가입 증명서까지 모조리 훔쳐 갔다. 소비자는 문자메시지 인터넷주소(URL) 한 번 잘못 누른 탓에 순식간에 말로만 듣던 스미싱(문자 결제 사기)을 당했다.

해커의 수법은 간단했다. 소비자가 택배 반품 처리를 사칭한 문자 메시지에 적힌 URL을 누르자 해커가 미리 심어놓은 악성 애플리케이션(앱)으로 연동됐다. 그 순간 해커의 PC에 소비자 휴대폰 정보가 동기화됐고 실시간 중계 수준으로 소비자의 금융 정보, 주민등록증, 학교 생활기록부 등이 버젓이 떠다녔다. 해커는 몇 초 만에 소비자 휴대폰을 접수한 뒤 개인 정보를 멋대로 악용했다.

토스 화이트해커 팀은 실전처럼 공격·수비 팀을 나눠서 해킹 연습을 한다. 이날은 인증번호 가로채기, 전화 가로채기 훈련을 보여줬다. 소비자가 URL을 무심코 누르면 악성 앱이 깔린다. 휴대폰 결제 시 자주 누르는 6자리 숫자를 누르라는 공지가 뜬다. 소비자는 의심하지 않고 누른다. 해커는 이렇게 개인 정보를 손에 넣은 뒤 소비자 폰에 저장된 모든 전화번호에 문자를 보내 2차 피해를 준다.

예를 들면 "OO은행입니다. 정부 연계 저금리 대출 가능한 상품이 있으니 관심 있는 고객님들 전화주세요"라고 문자를 보내 소비자를 속인다. 은행 상담원을 가장해 소비자 주민등록번호 뒷자리, 결제 비밀번호를 확보한 뒤 은행 앱에 로그인해 무단 대출을 실행한다.

토스 악성 앱 탐지 솔루션 '피싱제로'는 소비자 악성 앱 감염 여부를 3초 안에 잡아냈다. 소비자가 토스 앱을 켜면 악성 앱 탐지 경고가 팝업으로 떴다. 화면에는 악성 앱의 이름과 특성(택배사 사칭·은행 사칭 등)이 적혀 있었다. 하단에는 삭제하기 버튼이 활성화됐다. 해당 앱이 완전히 삭제되기 전까지 토스 앱은 실행되지 않았다. 삭제 버튼을 누르자 악성 앱 시스템이 제거됐고, 이후 해커 쪽 화면도 연결이 끊겼다.

토스에 따르면 매달 약 3700명의 이용자가 피싱제로를 접한다. 토스는 2022년 4월 피싱제로를 개발·도입했다. 3년간 7만여개의 신규 변종 악성 앱을 차단했지만, 여전히 월평균 1000여개의 새로운 악성 앱이 탐지되는 실정이다.

토스 악성 앱 탐지 솔루션 피싱제로가 악성앱을 탐지한 모습. 토스

화이트해커 팀은 소비자에게 스미싱·피싱 예방 수칙으로 5가지만 지키면 된다고 당부했다. 우선 모르는 번호로 전화가 오면 신중히 응대한다. 앱 설치 유도 의도가 있는지 반드시 의심할 필요가 있다. '1588-'로 시작하는 고객센터 전화번호로 전화가 와도 내용이 이상하면 의심한다. 실제로 현장에서 토스 화이트해커 팀은 1588- 번호로 해커가 빼앗은 소비자 휴대폰으로 전화를 거는 장면을 보여줬다. 또 개인정보, 금융정보는 절대 밝혀선 안 된다. 마지막으로 경찰, 금융감독원, 은행 고객 센터 등에 즉시 신고한다.

토스는 지난 7일 전 직원용 챗GPT 유료 계정을 도입할 정도로 인공지능(AI)에 진심이다. 이승건 토스 대표는 지난달 6일(현지시간) 미국 캘리포니아주 로스앨터스에서 '토스 USA 밋업'을 열고 AI·데이터 분야 인재를 세 자릿수(100명 이상) 채용하겠다고 밝혔다. 지난 5월에는 인재 채용 전담 조직인 데이터·AI채용팀을 신설했다. 이들은 약 100여개 제품 중심 인프라를 책임지고 관리하는 일을 한다.

화이트해커 팀의 DNA는 이 같은 토스 전사 AI·데이터 경영 곳곳에 뿌리내렸다. 비밀은 '해커 챕터'라는 조직이다. 토스 화이트해커 팀이 커뮤니티(토스의 관계사·계열사 전체를 일컫는 말, 소위 '그룹') 주요 계열사인 뱅크, 페이먼츠, 증권, 인슈어런스 등 해커를 보유한 계열사 내 해커와 수시로 소통하는 조직을 마련한 것이다. 개발팀, 사업팀, 디자인팀 등을 가리지 않고 상품 기획 초기 단계부터 금융 사고, 내부 통제, 심지어 유사시 금융 감독당국의 검사·조사 등에 관한 다양한 의견을 '수시로' 공유한다.

국제 해킹방어대회 코드게이트 챔피언이자 '해커계의 페이커'라 불리는 이종호 토스 보안기술팀 리더(닉네임 헬쏘닉)는 "이승건 대표는 고객 신뢰를 핵심 가치에 두고 우리 팀이 단순히 토스 시스템을 지키는 것을 넘어 토스 커뮤니티 전체, 나아가 금융 산업의 신뢰를 지키는 최후 방어선이라고 강조한다"며 "마이데이터 등을 통해 기업(고객사)끼리 촘촘히 연결돼 있어 한 기관에서 사고가 나면 전체 산업 신뢰를 무너뜨릴 수 있는 시대인 만큼 보안이 중요하다"고 목소리를 높였다.

문채석 기자 chaeso@asiae.co.kr