대한민국 금융사기가 사라지는 그날까지

“엄마, 이런 링크 절대 누르지 마”

친구한테 메시지가 왔습니다. “항공권 10% 할인한다는 항공사 문자 받았었는데 피싱이래 미쳤지” 평소의 저라면 너무나 솔깃했을 내용이라서 심장이 두근거렸어요. “딱히 뭘 누르진 않았어 회의 가느라 까먹음" 걸려들지 않았다는 친구의 말에 안심하는 것도 잠시, 가족들한테 서둘러 메시지를 보냅니다. “요즘 항공사 사칭도 있다는데 절대 속으면 안돼!” “걱정하지 마. 모르는 곳에서 온 건 아무것도 안 봐.” 이번에는 전혀 안심이 안 됩니다. 우리는 어디까지 조심하고, 또 조심시킬 수 있을까요.

대체 언제부터였을까요? 당했다 하면 한 사람의 인생을 휘청이게 만드는 피싱 범죄부터, 상대적으로 피해액이 작아 수사 시작도 어려운 중고거래 사기까지 사방팔방 지뢰밭입니다. “알아서 조심하라는 건가?” 싶을 때쯤 한 온라인 커뮤니티에서 중고거래할 때 사기꾼 거르는 방법이라는 글을 보게 됐어요.

중고거래 할 때 토스 써야 되는 이유

판매자가 이상하게도 “토스는 입금 확인이 어려우니 다른 앱으로 돈을 보내달라"고 강조해, 혹시나 싶었던 구매자가 토스에서 계좌를 입력하자 “경찰청 사기 의심 계좌”라는 알림이 떴다는 글이었어요.

인기글에 오르며 조회수 34만 뷰, 댓글은 200개를 넘겼고 다른 커뮤니티로도 번졌습니다. ‘중고 사기 안 당하는 방법'이 그만큼 사람들의 관심사였던 거죠. 그럼 실제로 사기꾼을 걸러내는 일은 어떻게 가능했을까요? 토스가 자체 개발해서 앱에 내장시킨 보안 프로그램 덕분입니다.

“토스의 이상거래탐지시스템은 ‘가짜 안전결제 페이지'처럼 범죄에 이용되고 있는 사이트에서 계좌번호를 수집해요. 그래서 토스에서 범죄자들 계좌로 송금하려고 하면 “사기 계좌여서 송금할 수 없다"는 알림이 뜨죠. 지난 6개월간 미리 막아낸 송금 피해가 15만 건이나 돼요.” – 이광현, 토스 FDS(이상거래탐지시스템)팀 리더

"모의 해킹을 토대로 악성앱 탐지 솔루션과 토스 가드라는 보안 소프트웨어를 개발해 토스앱에 넣었어요. 덕분에 토스를 켰을 때 내 휴대폰에 악성앱이 깔려 있다면 자동 탐지하고, 위험도에 따라 기능을 제한하거나 작동을 멈춰요. 그래서 일부 보이스피싱 범죄자들은 개인정보를 탈취하는 악성앱을 깔게 하려고 전화할 때 미리 토스앱을 지우라고 지시해요." – 이종호, 토스 보안기술팀 리더

이렇게 편리해도 되는 걸까, 정말 보안은 괜찮은 걸까

마침 토스도 ‘보안'을 고민 중이었습니다. 정확히는 ‘어떻게 하면 토스의 보안 기술을 알려 많은 사람들의 금융사기 피해를 막아낼까'가 가장 큰 고민이었어요. 토스는 정보보호 및 개인정보보호 관련 각종 국제 인증을 획득하고, 정보보호대상 수상, 장애에 대비한 데이터센터 이중화, 365일 24시간 모니터링 에이전트와 고객센터 운영, 국내 유일의 전담 화이트해커팀이 자체 개발한 보안 시스템 구축 등 꾸준히 노력을 기울여왔습니다. 이제 안전한 세상을 위한 실천들을 이야기할 차례였죠.

게다가 고객들은 꾸준히 이런 목소리를 보내왔어요. “편리해요. 그러나 너무 편리해서 보안이 조금 걱정됩니다.” – 62세 이용자 “간편한 만큼 보안 문제에 대한 불안감도 높습니다." – 38세 이용자 “너무 편리해서 좋은데 이렇게 편리해도 되는 걸까? 정말 보안은 괜찮은 걸까? 하는 걱정에 1점 뺐습니다. 보안 관련 믿음이 확고해지면 주저 없이 10점 드립니다.” – 43세 이용자

"토스의 간편한 인증, 송금 등의 기능 처리 과정에는 수많은 보안 기술들이 복합적으로 적용되어 있어요. 그동안 사용했던 인증 절차가 어렵고 복잡했기 때문에 그렇게 오해하기 쉽지만, 사용자의 간편함 뒤에서 만드는 사람들은 모든 서비스의 초기 기획 단계부터 보안기술팀과 밀접하게 협업하며 안전을 점검하고 있습니다." – 이종호, 토스 보안기술팀 리더

“토스가 만들어나가는 모든 가치의 기반이 보안이라고 해도 과언이 아니에요. 가장 집요하게 투자하고 노력을 기울이는 부분이지만, 고객에게 전달하기는 난이도가 높은 주제죠. 그런데 ‘사기의심 사이렌'이 온라인에서 화제가 되는 것을 보며 그간 보안을 강화하기 위한 팀의 노력이 수면 위로 올라오는 것을 느꼈어요. 고도화된 이상거래 탐지 시스템, 업계 최초의 안심보상제와 가족 보안 알리미까지, 차근차근 준비해온 것을 알릴 때라는 자신감이 들었습니다.” – 윤기열, 토스 커뮤니케이션 헤드

보안이 잘되고 있다는 증거 = 아무 일도 일어나지 않는다?

보안팀, 보안기술팀, 개인정보보호팀 등 직접 안전을 책임지고 있는 실무진부터 브랜드커뮤니케이션팀, 그리고 경영진까지 “지금이 보안을 말할 때”라는 시그널을 포착했지만, 캠페인이 시작되기까지는 평소답지 않게 시간이 더 필요했습니다. 모두의 마음속에 같은 물음표가 있었어요. ‘아무도 입에 올리지 않는 게 보안이 잘되고 있다는 증거 아닐까?’

“수없이 쏟아지는 금융사고 뉴스 속에서, 점점 커지고 있는 국민들의 막연한 불안과 피해를 모른 척하지 말자. 그게 금융을 혁신하는 브랜드로서의 책임이자 의무라고 생각했습니다. 디지털 기술은 계속 진화하고 있기 때문에 국내뿐 아니라 다른 기술 선진국에서도 ‘완벽한 보안'은 존재하기 어렵다고들 말해요. 그렇기 때문에 보안에 대해 적극적으로 커뮤니케이션하는 것은 큰 위험을 떠안는 결정이기도 했습니다. 하지만 보안 관련 피해와 책임을 소비자에게 떠넘기는 분위기를 바라만 보고 있을 수는 없었어요. 우리는 이것을 금융 회사가 직접 해결해야 하는 문제로 인식하고 과감하게 도전해보기로 했습니다.” – 이성수, 토스 브랜드마케팅팀 리더

도전적인 캠페인을 결심한 배경에는 든든한 보안 시스템들이 있었습니다. 토스의 IT 투자액 대비 정보 보호 투자액 비율은 국내 금융기업 중 가장 높은 17.3%. 실제 보안 수준을 알면 믿어줄 것이라는 자신이 있었거든요.

“토스에 닥칠 수 있는 진짜 위기가 무엇일까요? 의혹이 보도되었다가 오해를 푸는 거 말고, 진짜 보안에 문제가 생겼을 때라고 생각해요. 앞으로 토스는 모든 금융생활을 온라인으로 담아낼 거예요. 그러려면 내 지갑 속에 들어있는 현금보다 더 안전한 시스템이어야 한다는 생각을 오래 해왔고, 믿을 수 있는 실체를 만들어서 전자금융 산업 자체의 변화를 만들고자 해요. 그러려면 방어적인 태도로는 어렵잖아요. 매일 토스팀의 취약점을 찾아내는 내부 화이트해커팀을 꾸리는 등 보안에 있어서는 늘 적극적이고 공격적인 투자로 일관합니다.” – 이승건, 토스팀 리더

돌고 돌아 정공법으로, 진심을 다해

‘안전한 장소를 떠올리게 하는 돔(dome) 모양 로고를 만들자, 보안교육 자료를 배포하자, 보안의식 일깨우는 전시를 하자, 튼튼한 자물쇠를 만들어서 나눠주자(!)’ 아이디어 회의록은 길어져만 갔고, 마지막에 다다른 곳은 솔직하게 진심을 말하는 일이었어요.

고객이 지금 이 순간도 사용하고 있는, 평소에는 알아채지 못하지만 위험한 순간에는 피해를 막아주는 토스의 보안 서비스들을 알리기로 한 거죠. 토스가 꿈꿔온 평등한 금융경험의 전제는 안전한 금융생활이기에, 보안 제품들도 누구든, 언제든, 안전을 체감하게 하는 데 초점이 맞춰져 있어요.

몇 가지 예를 들어 볼까요? ① 업계 최초로 도입한 금융사고 보상 제도로, 토스의 잘못이 아니더라도 보이스피싱 등 금융사고는 1회 5천만 원, 중고사기는 1회 50만 원까지 보상해주는 안심보상제, ② 토스에서 송금할 때 수신인 정보를 입력하면, 계좌와 연락처가 사기 의심 거래에 해당하는지 자동으로 조회해서 알려주는 사기의심 사이렌, ③ 토스앱을 실행하는 순간 내 휴대폰에 잠재된 위험을 감지해 악성앱 삭제를 안내하는 등 보안을 책임지는 토스가드, ④ 의심되는 거래를 자동 탐지해 이용자가 설정한 가족에게 토스앱 푸시나 카카오톡으로 경고 알림을 보내주는 가족 보안 알리미 등이 대표적이에요.

“토스의 보안에 대한 철학과 태도를 보여드린다는 목표로 캠페인을 준비했어요. 고객이 실제로 체감할 수 있는 서비스와 정책을 중심으로요. (...) ‘안심보상제'를 도입할 때 당연히 팀내 반대 목소리도 있었어요. 회사의 직접적 과실이 아닌 부분에 대해 선제적으로 보상해주는 것은 과감한 시도였지만, 결국 고객의 가장 안전한 경험과 신뢰를 위한 선택이었죠. 이게 바로 보안에 대한 토스의 태도예요. 모든 것을 막겠다는 것도 훌륭한 목표이지만, 어떤 상황에서도 우리가 책임지겠다는 건 더 큰 목표가 아닐까요.” – 윤기열, 토스 커뮤니케이션 헤드

“한 번의 캠페인으로 모든 것을 바꿀 수는 없다고 생각해요. ‘대한민국 금융사기가 사라지는 그날까지'라는 과감한 메시지는 우리 고객에게, 그리고 사회에 전하고 싶은 말이기도 하지만, 토스 팀원들이 스스로에게 던지는 굳은 각오와 희망적인 비전이기도 합니다.” – 이성수, 토스 브랜드마케팅팀 리더

“이제 토스가 함께 싸우겠다"는 직접적인 메시지를 발신하는 브랜드 필름에 더해, 오리지널 다큐멘터리를 두 편 준비했습니다. 보안 캠페인의 시작부터 함께 고민한 팀내 PD들이 문제의식을 기획으로 발전시켰죠. 신선하다 못해 다소 충격적인 두 가지 다큐를 지금 소개합니다.

Original Documentary 01. 헬소닉: 토스를 해킹하는 자

토스 팀원 중에는 유명 해커가 있습니다. ‘헬소닉'이라는 닉네임으로 알려진, 세계 해킹대회 우승을 휩쓴 이종호가 그 주인공이에요. 해킹대회의 종착지로 통하는 ‘데프콘'에서는 2015, 2018 두 차례나 우승해 해커들의 전설이 됐죠.

그는 토스에서 화이트해커들로 구성된 보안기술팀을 이끌고 있어요. 모두 헬소닉의 명성 덕분에 모인 인재들입니다. 일확천금을 들이미는 블랙해커 제안도 뿌리쳐온 이들 화이트해커팀에 토스팀 리더 이승건이 내린 미션은? “토스를 해킹하라"는 것. 바로 레드 티밍(Red Teaming, 조직의 취약점을 발견하고 검증하기 위해 의도적으로 반대팀처럼 공격해보는 일)이죠.

“레드팀은 의식적으로 ‘반대모자'를 쓰는 조직이에요. 미국 드라마 ⟨뉴스룸⟩에서 레드팀은 기자들이 취재한 사실에 무조건 의심하고 도전합니다. 그 과정을 거치며 뉴스의 근거가 탄탄해지고 팩트가 틀렸거나 왜곡된 보도를 방지해요. 미국 CIA의 레드셀 조직도 유명한데, 그들의 업무는 매일 ‘빈 라덴처럼 생각해보기'였어요. 관점을 뒤집어 자신들이 취약한 부분을 찾아내고 보완하는 거죠. 토스 화이트해커팀도 사실은 매일매일 같은 일을 해요. 스스로 공격해보고 보안의 취약점을 테스트하면서 더 안전한 시스템을 완성해가는, 그 진짜 과정을 보여드리고 싶었어요.” – 정우진, 토스 비디오콘텐츠팀 PD

다큐멘터리 ⟨헬소닉⟩에서는 해커팀이 직접 토스를 해킹해보는 과정을 리얼하게 공개합니다. 주어진 시간은 단 48시간. 밤샘 작업뿐 아니라 팀원을 속이기 위한 위장, 단서를 찾기 위한 암시장 추적까지, 토스팀을 가장 잘 아는 천재 화이트해커는 과연 토스 보안을 뚫는 데 성공했을까요? 6월 29일 목요일 저녁 7시에 결과를 공개합니다.

⟨헬소닉: 토스를 해킹하는 자⟩ 미리 보기

0부터 직접 뚫어보기 위해 토스의 화이트해커들이 회사 밖에서 모였습니다.

팀원들을 속이려 위장까지. 정말 잠입에 성공했을까요?

개인 정보가 거래되는 암시장이 있다는 것 아시나요? 그 충격의 현장.

토스팀 리더 이승건: “제 노트북에… 벌써 뭐 했어요?”

“토스 같은 금융앱 가입하면 위험하다? 이런 루머가 쉽게 돌아요. 다큐를 보시면 레드티밍 과정 중에 해커팀이 블랙마켓(개인정보를 사고파는 암시장)을 직접 뒤져보는 장면이 있어요. 토스 고객 정보가 정말 발견되는지, 암시장에서 어떤 식으로 개인정보가 거래되는지 우리 눈으로 확인할 수 있었고 충격적이었죠(결과는 영상으로 확인해주세요). 금융업을 넘어 국가적으로도 정말 큰 문제인데요, 시청자들도 이 현장을 목격하고 같이 주목해보기를 바라고 있어요.” – 정우진, 토스 비디오콘텐츠팀 PD

Original Documentary 02. 블록 버스터즈: 중고거래 사기에서 살아남기

‘게임기를 샀는데 택배를 받아보니 벽돌이 들어 있었다.' 우스갯소리로도 쓰이는 벽돌은 중고거래 사기의 상징처럼 여겨집니다. 주변에 너무 흔하게 일어나고, 삶이 무너질 만큼 큰돈은 아니니까…라고 생각하기 쉽지만 정말 크나큰 오해예요. 중고거래 사기의 피해 금액은 날로 커지고, 조직범죄로까지 번지고 있거든요.

2021년 한 해에만 8만 건 이상 발생, 피해액이 3,600억 원에 달하는 명백한 금융 범죄이지만, 개별 사건의 피해액이 크지 않고 그 심각성에 대한 사회적 인식이 낮아 다른 금융 범죄에 비해 정부, 기관, 미디어의 관심이 적습니다.

“당장 제 동료, 가족들 중에도 중고거래 사기를 당한 사람들이 있어요. 의아했던 건, 생각보다 큰 금액의 피해를 당했음에도 자신이 부주의했던 탓이라며 피해 원인을 자신에게 돌리거나, 그저 운이 안 좋았다는 등 피해의 크기를 일부러 축소하는 태도를 보이는 것이었어요. 미디어나 기관의 관심이 부족한 상황에 피해자 스스로도 그 피해 사실을 축소하고 알리지 않고 있다면 이건 사회적 피해의 크기가 보이는 것보다 훨씬 클 것이라고 생각했어요. 중고거래 시장이 빠른 속도로 성장하면서 중고거래 사기 건수, 총 피해액 등도 빠르게 늘고 있다는 데이터도 이미 나와 있었죠. 이런 배경에서 ‘중고거래 사기'를  본격적인 사회 문제로 인식하고 그 범죄의 양상과 피해, 그리고 해결의 실마리를 찾는 첫 번째 이야기를 만들고 싶었어요.” – 김창선, 토스 비디오콘텐츠팀 PD

“미개봉 새제품, 반값 쿨거래해요.” 반가운 제목을 클릭하며 갖고 싶은 아이템을 저렴하게 구할 수 있다는 설렘을 깔아뭉개는 것도 큰일이지만 더 큰 문제는 10대 청소년이나 중년층 등 디지털 금융 취약 계층이 중고거래 범죄의 가장 큰 타깃이 되고 있다는 점이에요. 어쩌면 이 범죄가 일어나는 최전선일지도 모를 ‘송금'의 영역에서 토스 또한 중고거래 범죄 발생 과정을 매일 부딪치고 있기에 함께 파헤치고, 해결해보려고 합니다.

⟨블록 버스터즈: 중고거래 사기에서 살아남기⟩ 미리 보기

경찰대 서준배 교수: “우리나라 전체 사기 범죄가 1년에 30만 건 발행해요. 그중 직거래 사기가 8만 4천 건이나 됩니다. 엄청나게 많은 숫자죠.”

무려 8년째 같은 방법을 써먹는 사기꾼이 있습니다.

심지어 다른 사람의 실제 신분을 사칭했는데 아직도 안 잡혔죠.

조직형으로 번져 지금 이 순간에도 피해자를 낳고 있는 중고거래 사기, 본격적으로 추적을 시작했습니다.

실제 조직형 중고거래 사기에 걸리는 과정을 파헤친 담당PD의 현장 공개, 중고 사기에 이어 2차, 3차 피해까지 당하고 있는 피해자들의 증언, 그리고 “내가 당한 범죄가 재발하지 않기를 바라며" 자발적으로 중고 사기 범죄와 싸우고 있는 ‘사기나라' 운영진의 활동 모습까지, 생생한 현장이 담긴 ⟨블록 버스터즈: 중고거래 사기에서 살아남기⟩를 공개합니다.

Words 김창선, 이광현, 이성수, 이승건, 이종호, 윤기열, 정우진 Edit 주소은

– 해당 콘텐츠는 2023.6.26. 기준으로 작성되었습니다.