“재택근무 본격화 이후 랜섬웨어 극성… 지하 산업으로 진화”

[인터뷰 사이] 이종호 ‘토스’ 보안기술팀 리더

이종호 토스 보안기술팀 리더는 화이트해커에게 윤리의식이란 “목숨과도 바꿀 수 없는 부분”이라고 했다. “특정 사이트를 해킹해 달라거나 어느 기업의 고객 정보를 빼내면 얼마를 주겠다고 접근하는 경우가 많았어요. 한 번이라도 그런 유혹에 넘어가면 스스로를 화이트해커라고 말할 수 없죠.” 권현구 기자

출발은 평범한 ‘겜돌이’였다. 게임으로 컴퓨터와 친해졌고, 중학생 때 해킹이라는 걸 알게 됐다. 영어 논문을 번역기에 돌리며 독학을 시작했다. 두각을 나타낸 건 고등학생 때 국내외 해킹대회에서 입상하면서부터. 스물네 살에는 ‘해킹 올림픽’으로 불리는 미국 데프콘 대회에서 우승하고 일본의 세콘, 대만의 히트콘까지 휩쓸어 세계 3대 해킹 방어 대회를 석권하는 기록을 세웠다.

모바일 금융 플랫폼 토스의 보안기술팀 리더 이종호(30)씨를 만났다. 그는 화이트해커다. 악의적인 목적으로 다른 시스템에 불법 침입하는 블랙해커와 달리 해킹 능력을 활용해 시스템의 취약점을 발견하고 방어책을 찾는 보안 전문가를 화이트해커라 부른다. 최근 미국에서는 블랙해커들의 송유관업체 공격으로 휘발유 가격이 폭등하고 사재기가 발생하는 사건이 있었고, 에마뉘엘 마크롱 프랑스 대통령을 비롯한 각국 전현직 국가정상급 인사 14명의 휴대전화가 해킹됐을 가능성도 제기됐다. 이들 공격에 사용된 랜섬웨어(시스템을 잠그거나 데이터를 암호화해 사용할 수 없게 만든 뒤 금전을 요구하는 악성 프로그램)와 스파이웨어(사용자 몰래 설치돼 중요한 정보를 빼가는 악성코드)에 대해 묻기 전 해커로서 성장기부터 들었다.

-헬소닉이라는 닉네임으로 세계 해킹계에 명성을 떨쳤다고요.

“해킹대회는 대개 4명이 팀을 이뤄 참가하는데 한때 나가는 대회마다 1위를 해서 리더였던 제 닉네임이 유명해진 것 같습니다. 가장 권위 있는 데프콘에서 2015년 한국팀으로는 최초로 우승을 했어요. 2018년에 한 번 더 했고요.”

-처음에 해킹의 어떤 매력에 빠진 건가요.

“시스템을 깨뜨리는 법을 찾아서 공격한다는 게 재미있었어요. 공부라기보다 게임 같았어요. 학교 공부는 신경 안 쓰고 밤새워 컴퓨터에 매달리니까 나중에는 부모님이 영어와 수학만은 포기하지 말라고 하셨어요. 해킹에도 분야가 많아서 공부할 거리가 많거든요. 그냥 자기 개발 중독처럼 계속해서 공부했던 것 같아요.”

-마음만 먹으면 제 이메일이나 핸드폰도 들여다볼 수 있나요. 뚫리지 않는 시스템이란 없다고 하던데요. 철통 보안을 자랑하던 아이폰도 얼마 전 스파이웨어 페가수스에게 뚫렸잖아요.

“충분한 시간과 리소스만 주어진다면 가능하죠. 취약점이 나오지 않는 시스템은 없습니다. 미국에는 마이크로소프트(MS) 같은 곳의 취약점을 구매하는 회사들이 있어요. 정보보안 회사인 제로디움의 경우 구글 운영체제 안드로이드와 아이폰 운영체제 iOS의 취약점 가격을 각각 250만 달러(29억원), 200만 달러(23억원)로 책정했어요. 현재 책정된 취약점 중에 가장 높은 금액이에요.”

-합법적인 건가요.

“네, 합법적으로 구매해서 그걸 MS나 구글에 팔기도 합니다. 그런데 공개적인 채널에서 그 정도 금액이라면 블랙마켓에서는 수십 배 비싸게 팔린다는 얘기거든요. 취약점을 발견하는 데 그만큼 고도의 기술력이 필요하고 어려움이 존재하니까 그런 가격이 형성된 거겠죠. 그래서 저는 보안성이란 그 어려움의 크기를 키우는 거라고 봐요. 기초를 튼튼하게 잘 지으면 블랙해커들이 굳이 타깃으로 삼지 않거든요.”

-해커들에게 내가 어느 정부 기관, 어느 기업을 해킹했다고 실력을 자랑하고 싶은 호승심도 있을 것 같은데요.

“그래서 화이트해커를 위한 버그바운티가 활성화돼 있어요. 기업의 시스템적 취약점(버그)을 발견해 공개적으로 제보하면 포상금(바운티)을 주는 제도입니다. 국내에서는 한국인터넷진흥원에서 버그바운티 사이트를 운영하는데 거기 명예의 전당이 있어요. 저도 열심히 할 때 몇 년간 1등을 했었고요. 네이버 카카오 같은 기업도 자체 버그바운티 프로그램이 있어요. 이런 걸 통해 해커들이 자존감을 높이기도 하죠.”

-예전엔 해커가 펜타곤(미국 국방부)을 뚫었다거나 CIA(중앙정보국)를 해킹했다는 전설적인 무용담이 있었는데, 대신 버그바운티를 하라는 거군요.

“접근 권한 없이 동의도 받지 않고 사이트를 공격하는 순간 정보통신망법 위반으로 스스로를 범죄자로 신고하는 꼴이죠. 법적인 테두리 안에서 점검하고 제보한 보안 취약점만 인정하고 포상을 해줍니다.”

-한국 해커들의 수준은 어느 정도인가요.

“분야별로 차이가 있지만 평균적으로 꽤 상위권에 있다고 생각해요. 그 수준을 유지할 수 있는 건 국가에서 매년 200명 정도의 화이트해커를 배출하는 ‘차세대 보안리더 양성프로그램’(BoB·Best of the Best) 덕분이라고 봅니다. 안타까운 건 화이트해커가 된 좋은 인재들이 해외로 많이 빠져나간다는 거예요. 최고 수준인 ‘엘리트 해커’라고 할 수 있는 해커들은 100~200명에 불과해요.”

-BoB에서 7년째 멘토로 활동하고 계시잖아요. BoB를 벤치마킹한 국가들이 한국보다 프로그램을 더 잘 운영하고 있다는 아쉬움을 토로했었죠.

“많은 나라에서 BoB를 견학하고 그다음 해에 비슷한 걸 만들었어요. 일본은 곧바로 우리 10배의 예산을 잡아서 프로그램을 만들더라고요. 보안인력 양성을 위한 투자가 더 필요한데 BoB 예산은 점점 줄어들고 있어요.”

-지난해 말 해커들이 이랜드그룹을 랜섬웨어로 공격한 일이 있었죠. 지난 5월에는 세계 최대 정육업체 JBS 미국법인이 랜섬웨어 공격을 받고 해커들에게 1100만 달러(122억원)의 비트코인을 냈고요.

“랜섬웨어는 사람들이 자주 쓰는 소프트웨어의 취약점을 활용하거나 무료 게임, 무료 폰트로 가장합니다. 내려받아 실행하는 순간 PC를 감염시키죠. PC가 완전히 멈추고 화면에 나온 주소로 입금하면 PC를 풀어준다는 가이드가 뜹니다. 시한폭탄처럼 카운트다운이 시작되는데 시한은 보통 이틀 정도예요. 인질로 잡았다고 해서 랜섬(몸값)과 소프트웨어의 합성어인 랜섬웨어죠.”

-코로나19 때문에 랜섬웨어 시장이 커졌다는 분석도 있던데요.

“재택근무와 원격근무가 활성화되면서 블랙해커 입장에서는 먹잇감이 많아지고 다양해졌어요. 거기에 추적이 어려운 암호화폐가 활성화되는 상황이 맞물렸어요. 랜섬웨어를 만들어 파는 시장도 생겼고요. 구독형 랜섬웨어도 있어요. 랜섬웨어를 만든 사람한테 월간 이용료를 내는 거죠. 랜섬웨어를 뿌려서 범죄 수익이 생기면 수수료를 받는 서비스 방식으로도 진화하고 있습니다. 랜섬웨어 자체가 하나의 산업이 된 거예요.”

-지난 7월에는 각국 정보기관이 페가수스라는 스파이웨어를 이용해 민간인 사찰은 물론 마크롱 대통령 등 국가 수반들의 휴대폰을 해킹했다는 페가수스 스캔들로 외신이 떠들썩했습니다.

“핸드폰 취약점에도 유형이 있어요. 보통 사용자가 링크를 클릭해야 휴대전화에 설치되는 게 있고, 사용자가 아무것도 하지 않아도 감염되는 제로 클릭(Zero Click)이 있거든요. 페가수스는 후자의 경우고요. 스파이웨어가 위험한 게 휴대폰을 쓸 때마다 자료는 계속 빠져나가는데 본인은 모르는 상태라는 거예요. 스파이웨어에 감염되면 사용자가 하고 있는 모든 액션을 백그라운드에서 똑같이 할 수 있어요. 전화 도청, 카메라 촬영, 데이터 탈취까지요.”

-이런 해킹은 어떻게 예방할 수 있나요.

“페가수스 사건은 정말 특수한 상황이기 때문에 예방하기 어려워요. 안심해도 되는 건 공격의 99.9%가 그런 식으로 이뤄지지 않는다는 거예요. 대다수의 공격은 이미 공개된 취약점들을 활용하는 거예요. 예컨대 아직 소프트웨어 업데이트를 안 한 사람, 아직 윈도XP를 쓰는 사람을 찾아 스캔해보는 공격이 대부분이에요. 그래서 사용하는 OS(운영체제)와 소프트웨어의 업데이트만 주기적으로 해줘도 충분히 공격을 예방할 수 있습니다.”

-지난 7월에도 한국원자력연구원이 북한 추정 세력에게 해킹당했다는 뉴스가 있었는데요, 북한 해커들이 국제대회에 참가하기도 하나요.

“북한 해커들은 일반적인 기술 향상을 위한 대회에는 참가하지 않아요. 대회에서 북한 해커들을 만난 적은 없습니다.”

국방부는 올해 초 발간한 ‘2020 국방백서’에서 북한의 사이버 전사가 6800여명이라고 했다. 북한의 해킹 수준이 세계 5위권이라는 평가도 있지만 확인되지는 않았다. 세계적인 보안기업 파이어아이는 위협적인 해킹 국가 ‘빅4’로 북한 이란 중국 러시아를 꼽으면서 북한의 사이버 작전은 지령에 따라 타깃을 기민하게 바꾸는 특징이 있는데, 최근에는 암호화폐와 현금, 군사기밀을 노리는 동시에 코로나19와 관련된 연구와 백신 정보로 눈을 돌리고 있다고 언급했다.

-전문가들 사이에서는 과학기술정보통신부 국가정보원 국방부로 나뉜 사이버보안 대응 체계를 총괄할 독립된 컨트롤 타워가 필요하다는 논의가 활발하던데요.

“해킹에서 가장 중요한 부분이 정보수집입니다. 국내에선 관련 기관이 통합돼 있지 않고 민간, 공공, 국방으로 갈라져 있어요. 부처 간은 물론이고 민간과 정보교류나 협력도 어렵고 폐쇄적입니다. 중심 역할을 하면서 전체를 아우르는 시스템이 구축돼야 한다고 생각합니다.”

권혜숙 인터뷰전문기자 hskwon@kmib.co.kr

[인터뷰 사이]
“코로나 끝나도 자영업 사태 해결 안돼… 홀대 정책이 문제”
“한국정치 고질병은 편가르기… 다음 대통령 통합 능력 중요”
“문명사적 전환 몰고온 플랫폼 기업, 혁신의 길 여는 규제를”
“여야 부동산 대선 공약 비현실적… 92년 ‘반값 아파트’ 재탕도”
“어차피 이대망… ‘누가누가 못하나’ 피하려면 대선 결선투표제 필요”
“이대남 vs 이대녀 갈등 부각 이제 그만해야”

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포금지


국민일보 신문구독
트위터페이스북구글플러스