2013년 4월18일 청와대에서 진행된 미래창조과학부 업무보고. 당시 보고에 참석한 만 22세의 한 청년이 "대한민국의 보안은 해커들이 마음 먹으면 어렵지 않게 뚫을 수 있다"고 직격탄을 날리자 고위 당국자들의 얼굴이 굳었다. 2010년대 초반은 사이버 테러가 본격적인 사회 문제로 대두되던 시기다. 정부 관계자들은 그의 말에 귀를 기울이며 사이버 보안 산업 육성을 약속했다. 이후 10년 간 이 청년은 거의 매해 국제 해킹 대회에서 우승을 차지하며 화이트해커로서 이름을 알렸다. 한국 최초로 세계 3대 해킹 대회인 미국 데프콘 CTF, 일본 세콘, 대만 히트콘을 모두 석권한 이종호 토스 보안기술 리더 얘기다.
국내 최고의 화이트해커가 토스를 선택한 이유
이 리더는 3일 한국경제신문과의 인터뷰에서 "지난 10년 간 정부가 보안 산업을 키우기 위해 많은 노력을 했지만 여전히 인력 양성 등 숫자에만 초점이 맞춰져 있다"며 "보안에 투자를 늘리는 기업에 대한 세제 혜택, 보안 인식 개선과 같은 정책 전환이 필요하다"고 말문을 열었다.한국 최고의 화이트해커인 그는 보안 업체 라온시큐어에서 10년 간 팀장으로 근무하며 금융권과 정부 기관을 대상으로 모의 해킹 등 보안 솔루션을 제공했다. 업계에서는 이 리더를 향해 '대한민국의 자산'이라고 입을 모은다. 토스를 운영하는 이승건 비바리퍼블리카 대표는 '토스의 심장', '70억 분의 1의 가치를 가진 사람'이라고 치켜세웠다. 지난해엔 보안 전문인력 양성에 기여한 점과 금융 소비자 보호에 앞장선 점, 보안 인식 제고 활동에 기여한 공로를 인정받아 정보보호유공 국정원장 표창을 수상했다.
화이트해커로서 최고의 자리에 오른 그가 해외 대기업 제안을 뿌리치고 토스에 합류한 이유는 보안을 대하는 토스의 진심을 느껴서다. 이 리더는 "이 대표가 금융 업계 최초로 회사에 화이트해커팀을 만들겠다고 해서 마음이 움직였다"며 "10년 넘게 금융 보안에 몸담았지만 토스 만큼 보안에 진심을 보인 회사는 단연코 없었다"고 강조했다.
토스는 전문 화이트해커만 10명을 두고 있다. 이들은 '레드팀'과 '블루팀'으로 나눠 실전처럼 공격·방어 훈련을 진행한다. 레드팀에서 최신해킹 기술을 습득해 토스를 공격하면 블루팀에서 모니터링, 방어체계가 제대로 작동하는지 확인한다. 자체 FDS(이상거래탐지시스템)를 구축하고 어플리케이션 내에 토스가드, 피싱제로 기능을 통해 고객 정보를 보호하는 것도 강점이다. 이 리더는 "토스가 직접 만든 피싱제로는 ESG 차원에서 다른 금융 회사에 무료로 배포하고 있다"고 강조했다.
토스는 핀테크 업체 중 유일하게 한국인터넷진흥원(KISA) 정보보호공시종합포털에 매년 정보보호 투자, 인력, 인증, 활동을 자발적으로 공시 중이다. KISA 공시에 따르면 토스가 지난해 정보기술(IT) 인프라 확충을 위해 투자한 정보기술부문 투자액은 839억원이다. 그중 보안에 쏟아부은 금액은 96억원이다. IT 인프라 확충 비용의 11.5%를 보안에만 쏟아부은 셈이다. 이 비율은 국내 IT 업계 최고 수준이다.
생성형 AI가 가져온 해킹 방식의 변화
이 리더는 해킹 동향에 대해 디도스나 랜섬웨어, 피싱과 같은 단순한 공격이 많아진 것이 최근 해킹 트렌드라고 분석했다. 예를 들면 기업 전산망의 비밀번호를 맞추기 위해 고도의 기술을 구사하는 게 아니라 '0000'부터 '9999'까지 모든 조합의 비밀번호를 다 시도하는 식이다. 비밀번호 자리 수가 늘어나도 마찬가지다.그는 "단순한 해킹 공격이 부상한 배경에는 생성형 AI가 있다"며 "해커가 수십, 수백 시간을 들여야 했던 해킹 과정을 생성형 AI가 단축시켜주면서 해커가 공격을 시도할 수 있는 시간적 여유가 대폭 늘어났다"고 짚었다. 과거에는 전문 해커가 공격을 했지만 요즘에는 생성형 AI를 통해 해킹 지식이 없는 일반인까지 손쉽게 해킹을 시도할 수 있는 환경이 구축된 점도 우려스럽다고 했다.
랜섬웨어의 산업화 현상도 언급했다. 이 리더는 "월 사용료를 받고 해킹 서비스를 구독 형태로 판매하는 랜섬웨어 시장이 생겨났다"며 "구독자가 해킹으로 비트코인 100개를 탈취하면 판매자는 수수료로 5개 정도 떼어가는 방식"이라고 밝혔다. 대응책으로는 각 기업의 특성을 반영한 보안 체계를 세워야한다고 주문했다. 그는 "기존 범용 형태의 해킹 대응 솔루션을 사서 쓰기보단 주문 제작 방식의 보안 시스템 도입이 더 안전할 것"이라고 설명했다.
화이트해커는 늘 해커 집단으로부터 유혹을 받는다. 이 리더도 예외는 아니다. 그는 "해외 컨퍼런스에 가면 은밀하게 다가와 특정 국가와 주요 기관을 해킹하자는 제안을 해온다"며 "수십억 연봉을 제시하며 연락처를 주고 가는 경우가 많다"고 말했다. 단순히 실력 과시를 위해 글로벌 기업 전산망을 먹통 시켜보자는 제안은 흔하다고도 했다. 거액을 제시하며 "특정 기업을 서비스를 먹통시켜 달라"는 의뢰도 다반사라는 게 그의 설명이다.
이 리더는 "유혹을 자주 받지만 화이트해커로서 쌓은 명성을 돈과 바꾸고 싶지 않다"며 "다수의 해킹 대회 우승과 국정원상 수상, 국가 차원의 수많은 자문 활동 및 화이트해커 양성을 주도하고 있는 제가 돈 때문에 유혹에 넘어간다면 대한민국 보안과 핀테크 업계에 대한 신뢰 자체가 무너질 수 있다"고 힘줘 말했다.
화이트해커로서 위기의 순간이 언제였는지 묻자 '매일'이라는 답변이 돌아왔다. 그는 "해킹으로부터 100% 자신할 수 있는 기업이나 기관은 전 세계 어디에도 없다"며 "잘 대응한다는 건 해킹을 불가능하게 만드는 게 아니라 해킹을 어렵게 만들어 시도 자체를 안하게 만드는 것"이라고 했다.
한국의 보안 역량을 끌어올리기 위해선 특정 기업만 잘해서는 안된다고 강조했다. 이 리더는 "탈취 당한 정보는 2차, 3차 해킹 도구로 재생산된다"며 "금융, 은행권은 밀접하게 연관돼 있기 때문에 한 기업이 뚫리면 업계와 고객 모두가 피해를 입을 수밖에 없다"고 공동 대응을 당부했다. 민관이 합동으로 해킹에 대비하는 '보안의 생활화'가 중요하다는 설명이다. 끝으로 그는 "잠깐 긴장을 풀면 문제가 발생한다"며 "내가 무너지면 대한민국 보안이 무너진다는 간절함으로 해킹에 맞서겠다"고 했다.
강경주 기자 qurasoha@hankyung.com
관련뉴스
