"우리 회사, 마음껏 공격하세요" 국내 최초 '버그 바운티' 개최한 세계적 해커 이종호 토스 시큐리티테크팀 리더

입력
2022.12.15 04:30
2면
한국인 최초 세계 3대 해킹 대회 석권한 전설의 해커
"범죄 유혹 받지만 돈보다 명예 중요해 거절"
국내 화이트 해커 부족, 대통령에게 인력 양성 건의



지난달 국내에 내로라하는 해커 200여 명이 특정 기업을 공격하기 위해 인터넷에 모였다. 이들이 노린 상대는 금융기술(핀테크) 분야의 신생기업(스타트업) 토스. 이들은 약 한 달 동안 토스 시스템의 취약점을 찾아 무차별 공격을 퍼부었다.

평소 같으면 해커들의 행동은 범죄이지만 이번은 특별했다. 토스가 "회사를 공격해 달라"고 요청한 '버그 바운티', 일명 벌레 사냥 대회였기 때문이다. 토스는 국내 금융권 최초로 최근 '버그 바운티'를 개최해 화제가 됐다.

버그 바운티란 회사를 공격해 보안 취약점을 찾아내면 상금을 주는 모의 해킹 대회다. 이를 통해 기업들은 미처 발견하지 못한 보안 허점을 파악해 보완하고, 해커들은 각자의 실력을 뽐내 이름을 알린다. 구글 아마존 스타벅스 등 세계적 대기업들이 종종 하는 행사이지만 국내 금융권에서 열린 것은 처음이다.

이 행사를 기획한 주인공은 전 세계에서 전설의 해커로 통하는 이종호(31)씨다. 토스의 시큐리티테크팀 리더를 맡고 있는 그는 이름보다 ‘헬소닉’이라는 별명으로 더 유명하다. 세계 3대 해킹 대회 미국 데프콘, 일본 세콘, 대만 히트콘을 모두 헬소닉으로 우승했다.

특히 해킹 대회의 종착지로 통하는 최고 대회 데프콘에서 2015, 2018년 두 번 우승하며 세계 최고로 인정받아 해커들의 전설이 됐다. 한국인이 데프콘에서 우승한 것은 처음이다. 이 밖에 중국과 한국의 최대 해킹대회 벨루미나와 코드게이트도 모두 휩쓸었다.

현재 그는 토스에서 착한 해커(화이트 해커)들로 구성된 시큐리티테크팀을 이끌고 있다. 팀원들은 모두 그의 명성 때문에 모였다. "팀원 10명 모두가 해커죠. 토스뱅크, 토스증권, 토스페이먼츠 등 금융 서비스를 하다 보니 보안이 제일 중요해 국내 금융권에서 유일하게 해커팀을 운영해요."

이들은 하루 종일 회사를 공격하는 모의 해킹을 한다. 언제 일어날지 모를 해킹에 대비해 출퇴근 시간도 정하지 않았다. "출근하면 온종일 회사의 IT시스템을 공격하는 것이 업무죠. 한밤중과 새벽에도 모의 해킹을 해요."

굳이 매일 모의 해킹을 하는 이유는 공격 기법이 날로 진화하기 때문이다. "새로운 해킹 방법이 계속 나와서 여기 대비하려면 날마다 모의 해킹이 필요해요. 해외 해킹 블로그 및 해커들과 교류하며 새로운 해킹 기법을 파악하죠."

그것도 모자라 혹시 모를 위험에 대비하려고 이번에 버그 바운티까지 열었다. "참가자 가운데 9명이 약간의 위험 요소를 찾아내 상금을 받았죠. 매일 모의 해킹을 하기 때문에 심각한 위협은 사전에 모두 차단해요."

그가 이끄는 해커들의 내부 모의 해킹은 조직적으로 이뤄진다. "개인 또는 그룹으로 각자 역할을 나눠 인터넷에 연결된 회사의 모든 장치를 공격해요. 컴퓨터와 서버, 스마트폰 앱, 태블릿은 물론이고 TV와 프린터까지 공격하죠."

이들에게 공격은 곧 연구활동이다. 공격을 통해 허점을 발견하면 보안 시스템 개발에 반영한다. "모의 해킹을 토대로 악성 앱 탐지 솔루션과 '토스 가드'라는 보안 소프트웨어를 개발해 토스 앱에 넣었어요. 덕분에 토스 앱은 악성 앱을 자동 탐지하면 위험도에 따라 기능을 제한하거나 작동을 멈춰요. 그래서 일부 보이스 피싱 범죄자들은 피해자들에게 악성 앱 설치를 위해 토스 앱을 지우라고 전화해요."



"화이트 해커 더 뽑아 해마다 버그 카운티 열 것"


그는 어려서부터 해킹에 흥미를 느꼈다. "컴퓨터공학을 전공한 아버지 덕분에 아기 때부터 컴퓨터를 만졌어요. 초등학교 때 독학해 홈페이지를 만들었죠. 그러다가 인터넷 동호회에서 해킹의 신세계를 알게 됐고 혼자 해킹 기술을 섭렵했죠."

본격 해커가 된 것은 역설적으로 해커 대회 낙방 때문이었다. "중학생 때 국내 모의해킹 대회에 나갔다가 한 문제도 풀지 못하고 떨어졌어요. 나름 잘한다고 생각했는데 실패하니 오기가 생겼죠. 그때부터 더 열심히 공부해서 매년 모의 해킹 대회에 나갔어요."

실력이 일취월장한 그는 인하대 컴퓨터공학과를 나와 고려대 정보보호대학원에서 정보보호학 석사를 마친 뒤 국제대회에서 속속 우승하며 세계적 해커로 명성을 떨쳤다. 그동안 보안업체 라온시큐어에서 연구팀장으로 10년 동안 일한 뒤 지난해 1월 토스로 옮겼다.

정부의 지원 요청도 자주 받는다. "국가기관에서 협조 요청을 자주 받아요. 육군 사이버기술자문위원, 평창동계올림픽 정보보호전문위 기술위원 등을 했죠."

더러 범죄의 유혹도 있다. 소위 '블랙 해커' 제안이다. "엄청난 돈을 줄 테니 해킹해 달라는 제안을 여러 번 받았죠. 그렇지만 일확천금에 관심 없어요. 돈보다 기술에 관심 있죠. 저한테 해킹은 일이 아니라 즐거운 놀이예요. 지금까지 쌓은 명성과 자부심, 즐거움을 돈 때문에 잃기 싫어요."

앞으로 그는 화이트 해커들을 더 채용해 매년 버그 바운티를 개최할 생각이다. "버그 바운티는 새로운 공격 기법을 알 수 있어요. 그러나 기술적 뒷받침이 되지 않으면 버그 바운티를 할 수 없기 때문에 뛰어난 화이트 해커를 더 충원할 예정입니다."

다만 IT 개발자 못지않게 실력 있는 화이트 해커도 모자라 걱정이다. 그는 7월 정보보호의 날 행사에 화이트 해커 대표로 참석해 윤석열 대통령에게 인력 양성의 필요성을 전달했다. "국내에 뛰어난 화이트 해커가 100명 남짓 활동해요. 많은 해커가 더 큰 시장과 좋은 조건을 찾아 미국 등 해외로 떠나죠. 저도 외국 대형 IT기업들의 제안을 많이 받아요. 인력 유출을 막으려면 정부에서 관련 인력을 양성하고 국내 기업들이 화이트 해커를 많이 채용해야 합니다."

최연진 IT전문기자