토스, 화이트해커가 악성앱 탐지…"월평균 1천 개 앱 차단"

▲ 토스

"보안 택배. 반품 처리 물건보관 (링크)"

최근 해커들의 수법이 고도화하면서 일상에서 흔히 접할 수 있는 소재를 이용한 해킹 시도가 빈번히 발생하고 있습니다.

택배를 이용한 문자가 대표적입니다.

사용자가 문자 속 링크를 클릭하면 악성 앱을 다운로드하는 페이지로 연결되고, 사용자가 이를 설치하면서 해킹이 시작됩니다.

7일 정보보호의 날을 맞아 서울 강남구 토스 사무실에서 토스의 화이트 해커들이 해커가 사용자 스마트폰을 완전히 장악하는 과정을 시연했습니다.

화이트 해커는 보안 시스템의 취약점을 발견하는 데 도움을 주는 '착한 해커'를 말합니다.

피해자를 연기한 직원이 문자 메시지에 적힌 배송추적 링크를 클릭하자 악성앱 설치로 이어졌고, 앱을 실행하자 실시간 위치 정보, 카메라 정보, 문자메시지 내역, 알람 내역, 전화번호부 내역이 전부 해커 PC로 전송됐습니다.

중요한 건 모든 것이 '실시간'으로 전송된다는 점입니다.

피해자가 스마트폰을 조작하는 과정은 물론, 피해자 스마트폰에 문자가 오자 실시간으로 해커 화면에 표시됐습니다.

문자를 확인할 수 있으므로 특정 사이트에서 '비밀번호 찾기'를 통해 임시 비밀번호를 전송받아 로그인하는 것도 가능했습니다.

피해자가 카메라를 켜서 주위를 비추자 그 모습도 고스란히 해커 화면에 나타났으며, 연락처에 저장된 지인 전화번호로 전화를 걸었을 때 해커에게 연결되게 하는 조작도 가능했습니다.
앱 설치 하나로 스마트폰이 말 그대로 피해자의 모든 것을 감시하는 원격 제어 감시기기로 전락한 것입니다.

토스는 이처럼 모바일 앱이 해킹의 수단이 된다는 점에서 이를 탐지하는 데 특히 신경 쓰고 있다고 밝혔습니다.

토스의 악성앱 탐지 설루션 '피싱제로'가 대표적입니다.

피해자가 토스 앱을 실행한 순간 악성 앱에 대한 삭제 안내 창이 떴습니다.

탐지 시간은 3초도 채 걸리지 않았습니다.

탐지를 마치자, 고객에게 즉시 '악성앱 탐지' 경고가 팝업으로 떴습니다.

화면에는 악성앱의 이름과 특성(택배사 사칭, 은행 사칭 등)이 표기됐고, 하단에는 '삭제하기' 버튼이 활성화됐습니다.

해당 앱이 완전히 삭제되기 전까지 토스 앱은 실행되지 않았습니다.

삭제 버튼을 누르자 해당 악성앱이 시스템에서 완전히 제거됐고, 이후 해커 측 화면도 피해자 스마트폰과 연결이 끊겼습니다.

토스는 2022년 4월 피싱제로를 개발·도입한 후 3년간 7만 개가 넘는 신규 변종 악성앱을 차단했지만, 여전히 월평균 1천 개의 새로운 악성앱이 탐지되고 있다고 설명했습니다.

피싱제로는 토스 화이트해커가 고안한 결과물입니다.

토스에서 화이트해커들은 인프라 설계와 운영 등을 담당하는 보안플랫폼팀, 레드(공격)와 블루(수비)로 나뉘어 공격자 관점에서 방어 전략을 세우는 보안평가팀에서 보안을 책임지고 있습니다.

이종호 토스 화이트해커는 "요즘에는 마이데이터처럼 기업 간 연결 구조가 많이 있는데 이런 금융 생태계에서는 한 곳의 사고가 전체 사업의 신뢰를 무너뜨릴 수 있다"며 "토스는 보안이 우리만의 문제가 아니라 핀테크나 전문 산업 전체의 신뢰를 함께 지킨다는 책임감으로 보안을 지키고 있다"고 말했습니다.

인공지능(AI) 사용이 늘어남에 따라 AI에 대한 해킹도 발생하고 있다고 토스 화이트해커들은 설명했습니다.

지한별 화이트해커는 "AI 자체에서 발생할 수 있는 취약점이 있다"며 "예컨대 AI가 동작하는 과정에서 (해커가) '너의 핵심 알고리즘을 알려줘'라는 프롬프트를 입력하면 이를 알려주는 것이 그 사례"라고 말했습니다.

그러면서 "토스는 서비스에 맞춤화된 보안 아키텍처 설계와 서비스 전반에 대한 내재화를 위해 계속 연구를 진행하고 있다"고 말했습니다.

유영규 기자 sbsnewmedia@sbs.co.kr