기업의 목표는 모든 분야에서 플러스(+)를 기록하는 것이다. 하지만 '제로(0)'를 목표로 하는 팀을 가진 기업이 있다. 구글이다. 구글에는 자체 해커팀 '프로젝트 제로(Project Zero)'가 있다. 프로젝트 제로팀은 모든 온라인 사용자의 안전과 보안을 향상시키기 위해 구글 제품 뿐만 아니라 세계적으로 사용되는 시스템에서 '제로 데이(Zero Day) 공격'을 찾아낸다.
제로 데이 공격이란, 아직 알려지지 않았거나, 알려졌어도 해결되지 않은 보안 취약점을 이용한 해킹을 말한다. 프로젝트 제로팀은 이러한 취약점들을 보완해 세계 온라인 환경 안전성과 보안성을 향상시키는 연구를 진행한다.
프로젝트 제로에는 세계 유수 해커들이 머리를 맞대고 있다. 이들은 악의적 목적으로 해킹을 진행하는 '블랙해커'가 아닌, 보안을 목적으로 해킹을 하는 '화이트해커'들이다. 화이트해커는 해킹으로 이어질 수 있는 단 하나의 문제라도 찾아내 고치기 위해 여러 시각에서 해킹을 시도하고, 가장 효율적 방법으로 보안을 지켜낸다.
핀테크 업체 토스에도 화이트 해커로만 구성된 보안기술팀이 있다. 보안기술팀은 블랙해커 공격보다 한 발 앞서 잠재된 위협을 파악하고 보완하는 역할을 한다. 토스 앱 서비스뿐만 아니라 내부의 업무 시스템과 환경에서 발생할 수 있는 보안 위협까지 찾으며 이에 대한 대응을 진행한다. 해킹 기술을 이용하지만, 기술을 통해 서비스를 더 안전하게 만드는 것이다. 독립된 화이트해커 팀을 운영하는 것은 보안에 많은 투자를 하는 금융권에서도 보기 드문 사례다.
때문에 보안기술팀은 해커의 공격자적 관점에서 서비스를 바라보며, 해킹이 발생할 수 있는 지점이라면 어디든 먼저 취약점을 찾고 대응 방안을 제시한다. 매일 레드팀(공격팀)과 블루팀(방어팀)으로 나눠 실전과 같은 공격과 방어 훈련을 실시하고, 언제 일어날지 모를 해킹에 대비해 출퇴근 시간도 정하지 않았다. 한밤중과 새벽에도 모의 해킹을 진행한다.
공격은 곧 연구로 이어진다. 해외 해커들과 교류하며 새로운 해킹 기법을 파악하는 것이 대표적이다 토스 보안기술팀은 국내외 해킹대회와 컨퍼런스에도 주기적으로 참가해 해외 해커들과 교류하며 새로운 해킹 경향과 기술을 습득하는데 매진하고 있다.
이러한 과정에서 때로 제품이 나오기도 한다. 대표적인 제품이 '토스 가드'다. 모의 해킹을 토대로 직접 개발한 보안 소프트웨어로, 토스 앱을 지키는 다양한 보안 기능을 갖췄다. '토스 가드' 기능 중 하나가 바로 악성 앱을 탐지하는 것이다. 토스 앱은 악성 앱을 자동 탐지하면 위험도에 따라 기능을 제한하거나 작동을 멈춘다. 그래서 일부 보이스 피싱 범죄자들은 피해자들에게 악성 앱 설치를 위해 토스 앱을 삭제할 것을 권고하기도 한다.
토스 보안기술팀을 길게 소개한 이유는, 금융 서비스 보안 수준을 높이는 노력이 핀테크 업체 한 곳에 머물러서는 안되기 때문이다. 중요한 것은 우리나라 금융권 전반의 보안 수준이 향상되는 것이다.
이를 위해서는 국가적으로 인력 양성이 필요하다. 많은 해커가 더 큰 시장과 좋은 조건을 찾아 미국 등 해외로 떠난다. 인력 유출을 막으려면 정부에서 관련 인력을 양성하고 국내 기업들이 화이트 해커를 많이 채용할 필요가 있다.
토스가 최근 한국정보기술원과 업무 협약을 맺고, '차세대 보안리더 양성 프로그램(Best of the Best, BoB)'을 시작한 것은 이런 취지다.
보안기술의 중요성이 더욱 대두되는 시대다. 특히 금융생활이 디지털화, 비대면화되면서 피싱, 스미싱, 파밍 등 해킹 용어들을 일반인들도 익숙하게 접하게 됐다. 블랙해커들은 목적 달성을 위해 수단과 방법을 가리지 않으며, 새로운 기술 변화에 맞게 학습하고 공격도 맞춤형으로 진화시켜 나가고 있다. 이들의 진화하는 공격에 효과적으로 대응하기 위해 업계 전반을 넘어 국가적인 노력이 반드시 필요하다.
이종호 토스 보안기술 리더 securitytech@toss.im