“택배 도착했습니다” 클릭 한 번 스마트폰이 해커 손에
토스 화이트해커팀 실시간 해킹 시연
'피싱제로'로 매달 1000개 악성앱 차단
보안 최전선 수호

[이데일리 김아름 기자]

토스 화이트해커팀의 최정수 연구원, 이종호 팀리더, 지한별 연구원, 정한솔 연구원(왼쪽부터)이 인터뷰에 앞서 포즈를 취했다. (사진=토스)

“띠링! 택배가 도착했습니다.”

일상적인 문자 하나. 그런데 링크를 누르는 순간 스마트폰은 감시 장비로 전락했다.

지난 7일 ‘정보보안의 날(7월 9일)’을 앞두고 진행된 토스 화이트해커팀의 실시간 해킹 시연은 보안의 중요성을 단 몇 초 만에 각인시켰다. 이종호 팀장을 비롯해 지한별, 정한솔, 최정수 연구원 등으로 구성된 화이트해커팀은 스미싱 문자 한 통으로 해킹을 시도했다.

택배 문자 클릭하자, 스마트폰이 해커 손에…

시연은 ‘배송조회’ 링크를 클릭하는 것으로 시작됐다. 이후 악성 앱이 자동 설치됐고, 앱을 실행하자마자 △실시간 위치 △카메라 영상과 음성 △문자 내역 △알림 △연락처 등 스마트폰 정보가 해커의 PC로 전송됐다.

특히 해커가 원격으로 카메라 앱을 열고 음성까지 수집하는 상황에서도 피해자는 아무런 이상을 느끼지 못했다. SNS 화면이나 메신저 대화까지 그대로 해커 화면에 복제돼 실시간 모니터링이 가능했다.

“이 공격, 실제로 매일 일어납니다”

시연을 맡은 지한별 연구원은 “모르는 번호로 온 문자나 전화는 반드시 의심해야 한다”며 “설치 유도 앱은 절대 열지 말고, 상담 중 이상한 낌새가 느껴지면 고객센터라도 끊고 다시 확인해야 한다”고 조언했다.

특히 그는 “전화 리다이렉트 기술로 1588 번호조차 해커에게 연결될 수 있다”며 “대표번호라 안심하는 것도 위험하다”고 경고했다.

정한솔 연구원은 “자녀인 척 속여 원격제어 앱을 깔게 한 뒤 금전 피해로 이어지는 사례가 가장 흔한 유형”이라며 “이를 막기 위해 토스는 ‘피싱제로’ 기능을 자체 개발해 토스 앱 사용 중 원격제어 시 차단하는 솔루션을 고도화하고 있다”고 밝혔다.

토스에 따르면 피싱제로는 2022년 도입 이후 현재까지 7만 개 이상의 신규 변종 악성 앱을 차단했으며, 지금도 월 평균 1000개가 넘는 악성 앱이 탐지되고 있다. 이 기능은 매달 약 3700명의 사용자가 경험하고 있으며, 실제 해커 커뮤니티에서는 “토스 앱은 쓰지 말라”는 경고 글이 돌고 있다고 한다.

“고객 자산보다 더 중요한 건, 신뢰입니다”

이종호 리더는“토스 보안팀의 핵심은 고객 신뢰를 지키는 것”이라며 “우리는 단순히 시스템을 지키는 게 아니라, 고객의 일상을 지키는 마지막 방어선”이라고 강조했다.

그는 “해커의 관점으로 약점을 분석하고, 시스템을 설계 단계부터 보안 중심으로 개발하는 것”이 토스의 전략이라며 “외부 점검만으로는 부족하다. 실전 감각을 가진 화이트해커들이 내부 시스템의 취약점을 찾아 스스로 방어 체계를 구축하고 있다”고 말했다.

인공지능(AI)기술이 빠르게 고도화되면서 AI 기반 랜섬웨어 같은 새로운 보안 위협도 현실이 되고 있다. 이에 대해 이종호 리더는 “AI 랜섬웨어 산업화로 공격이 고도화 되고 빨라지고 있다”면서 “토스는 공격자의 관점에서 약점을 찾는 것이 필수라고 판단해 화이트해커가 시스템 공격 취약점, 공격 방식, 실전 감각을 가지고 시스템 공격에 대응체계를 만들고 있다”고 했다. 그는 “강력한 테스트로 내부시스템 보호를 넘어 시스템 개발 단계 부터 설계하고 있다”고 강조했다.

김아름 (autumn@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.