세계최고 해커가 매일 공격한다는 이 은행..군사훈련 빰치는 철통방어

보안에 사활 건 인터넷은행
세계최고 화이트해커 이종호
토스 보안시스템 불시에 공격
실전 군사훈련하듯 보안 강화
카뱅, 고객 데이터 삼중 백업
케이뱅크, 보안 글로벌 인증

토스 보안기술팀이 내부 시스템 해킹을 시연하고 있다. 세계 3대 해킹 방어 대회에서 우승한 이종호 보안기술팀 리더(오른쪽)가 팀을 이끈다. [사진 제공 = 비바리퍼블리카]

점심시간도 예외 없다. 개발자들의 손가락이 키보드를 부술 것처럼 맹렬히 움직인다. 세계 최고 해커의 무차별 공습을 막기 위해서다. 매일 취약점을 보완하고 보안을 강화하지만 해커는 '막을 수 있으면 막아보라'는 듯 매번 빈틈을 찾아내 파고든다.

금융 앱 '토스'는 요즘 하루에도 수차례 '모의 해킹 공격'을 받는다. 해킹의 주인공은 이종호 토스 보안기술팀 리더로, 그는 세계 3대 해킹방어대회를 모두 석권한 천재 화이트해커다. 불시에 순찰을 나서는 사단장처럼 그는 언질을 주지 않고 토스, 토스뱅크, 토스증권 등 내부 시스템 전방위를 급습한다.

이 리더가 '창'이라면 '방패'는 각 서비스를 담당하는 '보안팀' 팀원들이다. 실전보다 더 무서운 맹공을 막아내며 보안벽을 쌓고 또 쌓는다.

이 리더는 "서비스 설계부터 소비자 사용 환경까지 토스의 모든 서비스에 대해 보안성 체크를 한다"며 "우리 기술팀원은 물론 토스의 모든 직원이 보안 의식을 가질 수 있도록 노력하고 있다"고 말했다.

최근 '신뢰'가 생명인 금융권에서 크고 작은 보안 사고가 잇따르며 고객 불안이 커지고 있다. 해킹 사고의 여파는 핀테크 기업·인터넷은행에 더 크게 미친다. 전통 금융사와 달리 온라인에서 모든 거래가 이뤄져 허점이 생기면 직간접적인 피해가 걷잡을 수 없이 확산될 수 있는 탓이다.

토스는 예고 없는 '모의 해킹'으로 보안을 강화한다. 정보 보호업계에서는 '레드팀 훈련'이라고 부르는 방식이다. 군대의 모의 전쟁에서 유래한 개념으로 보안이 중요한 정보기술(IT) 회사들은 오래전부터 활용해왔다. 이미 보고된 취약점들을 점검하고 대비하는 수동적인 보안보다 훨씬 효과적이다.

지난해 1월 토스는 레드팀 주장으로 이 리더를 영입했다. 그는 미국 데프콘, 일본 세콘, 대만 히트콘 등 세계 3대 해킹방어대회에서 우승한 실력자로 이형석 토스 테크놀로지 헤드가 삼고초려했다. 이후 보안기술팀이 화이트해커들로만 재구성됐다. 현재 인원은 9명으로, 팀을 구성할 정도로 화이트해커가 많은 곳은 토스가 거의 유일하다. 지난해 금융보안원 주관 해킹대회에서 우승할 정도로 실력도 검증됐다.

기술력을 바탕으로 토스는 이상 행위 탐지 시스템, 악성 앱 탐지 솔루션, 모바일 보안 솔루션 등을 직접 만들어 쓴다. 보안 업체의 기성품을 구매하는 다른 금융사들과 달리 자사 거래에 특화시키고 추후 개량할 수 있다는 것이 장점이다. 토스 앱에 내재된 악성 앱 탐지 솔루션으로 지난 4월 한 달 동안에만 1만6000여 명이 스마트폰 내 악성 앱을 적발할 수 있었다.

다른 인터넷은행들도 보안에 철저하기는 마찬가지다. 카카오뱅크는 고객 거래 데이터를 보호하고자 총 3개의 데이터센터를 구축해 운영 중이다. 서울 마포구 상암동 주전산센터, 경기도 분당구 야탑동 재해복구센터, 부산 제3전산센터 등이다. 카카오뱅크 관계자는 "제3전산센터로 실시간 데이터 백업이 진행돼 수도권 지역의 전쟁 혹은 이에 준하는 재해로부터 고객 데이터를 보호할 수 있다"고 했다. 통신망도 국내 3사(SK브로드밴드·KT·LG유플러스)를 모두 쓴다. 어느 한 곳의 통신망이 마비되더라도 다른 두 곳이 살아 있다면 카카오뱅크는 정상 운영된다.

케이뱅크는 백신, 지능형 지속 위협(APT) 대응 솔루션을 국산과 외산 모두 쓴다. 외부에서 유입되는 데이터를 교차로 검증해 안전성을 강화한다는 취지에서다. 또 케이뱅크는 2017년 은행권 최초로 개인정보보호 관리체계 인증을 획득했으며 2021년 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증도 받았다.

[서정원 기자 / 명지예 기자]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]