지금부터 48시간 내로 토스를 해킹합니다

지난 4월 서울 모처. “지금부터 우리는 48시간 내로 토스를 해킹합니다.” 해커들을 한자리에 불러모은 이종호가 말한다.

전 세계 해커 신에서 널리 알려진 그의 이름은 ‘헬소닉'.

세계 해킹대회 우승을 여러 번 차지했고, 특히 해킹대회의 종착지로 통하는 ‘데프콘'에서 2015, 2018 두 차례나 우승을 거머쥐며 해커들의 전설이 됐다.

이종호: 특정 사이트를 해킹해주면 거액을 주겠다는 제안도 많았어요. 한 번이라도 유혹에 넘어가면 그 뒤부터 저는 화이트해커가 아니죠. 그건 목숨과도 바꿀 수 없는 부분이라고 생각해요.

백지수표까지도 받아봤지만 이종호는 타인의 시스템에 침입해 불법적인 행위를 하는 블랙해커가 아닌, 블랙해커로부터 시스템을 지켜내는 화이트해커의 길을 택했다.

그리고 그는 지금 토스의 보안기술(화이트해커)팀 리더를 맡고 있다.

그런 이종호에게 ‘토스를 해킹해달라’고 요청한 사람은? 다름 아닌 토스의 CEO 이승건.

미션은 단순하다. ”48시간 안에, 어떤 방법을 써서라도, 토스 시스템을 해킹해볼 것.”

그리고 이 미션을 함께할 사람들은 5명의 화이트해커, 김대희, 정한솔, 표상영, 지한별, 김재성. 헬소닉과 한 팀으로 일하는 이들은 각 해킹 분야에 강점을 가진 인재들이다.

이제 본격적으로 레드티밍이 시작된다.

레드티밍(Red Teaming)이란 조직의 취약점을 발견하고 검증하기 위해 의도적으로 반대팀(레드팀)처럼 공격해보는 것. 미국 CIA 레드셀 조직의 업무는 매일같이 ‘빈 라덴처럼 생각해보기’였다고 한다.

사실 이 6인의 해커들은 취약점을 발견하고 보완하기 위해 매일 토스를 해킹해본다. 그러나 오늘처럼 내부 리소스 하나도 없이, 완전한 외부에서 0부터 해보기는 처음.

토스앱, 웹페이지들, 데이터센터 환경 등 기본적인 사양부터 분석을 시작한다.

제일 처음 시도하는 것은 앱 위변조 공격.

한솔: (어려운 설명 중)토스앱에 접속하면 가짜 앱인지 정식 앱인지 확인하는 시스템이 있는데, 그 과정을 해킹 시도로 건너뛰고 우회 접속하면 어떻게 되는지 체크해보는 거죠.

한솔의 계정은 토스앱을 켜자마자 차단당했다.

이번에는 차단된 계정을 일반 고객인 척 풀어달라고 고객센터에 요청해보기로 한다.

보안팀원의 계정으로 연락하면 바로 알게 되므로 담당PD 계정으로 다시 공격을 시도하고, 차단당한 뒤 고객센터로 전화를 건다.

아무리 항의해도 “원인은 파악되지 않았지만 보안 확인을 거쳐 해결해드릴 수 있다”며 차단을 풀어주지 않자 초조해지는 담당PD. 한솔: (뿌듯)

종호: 오… 바로 우리한테 확인 문의 접수됐어요.

차단은 풀어지지 않았고 동시에 고객센터는 보안기술팀에 해당 계정의 안전성 확인을 요청했다.

이후로도 해커팀은 여러 가지 방법을 시도한다. 공식 홈페이지 방어막 우회 공격, 서비스 로직 우회 시도, 웹 취약점 유형 공격 시도, Nmap 포트 스캔, SQLMap 시도 등등.

그러나 어떤 것도 통하지 않았고, 서비스 해킹을 더 시도하기에 시간이 부족하자 최후의 수단으로 남겨뒀던 2가지 방법을 동시에 진행하기로 한다.

첫 번째는 물리적 공격. 말 그대로 토스 사옥에 들어가 시스템 침투의 단서가 될 만한 정보를 빼내는 방법이다.

여느 때와 다름 없는 토스 사무실.

한별은 사무실 내 편의점에 납품하러 온 거래처 직원으로 위장해 잠입을 시도한다.

한별: 처음에는 사람들이 의심하면 어쩌지 했는데…

스무스하게 입장하고 말았다.

한별이 사무실 곳곳을 돌아다니며 노출되어 있는 정보들을 수집하는 동안, 나머지 팀원들은 더 과감한 두 번째 방법을 시도한다.

바로 블랙마켓(불법 정보를 거래하는 암시장)에서 토스 고객의 개인정보 찾아보기.

‘토스에 가입하니 스팸문자를 받았다’는 등 평소에도 오해를 많이 받기 때문에 점검해볼 필요가 있었다. 또 한편으로 만약 정말로 토스 고객 정보 습득에 성공한다면 해킹 미션의 커다란 단서가 될지도 몰랐다.

충격적이게도 SNS에서 너무 쉽게 접촉해볼 수 있는 불법정보 판매자들.

(재성 타이핑 중) 토스디비도 판매하나요?

재성: 어 진짜 있으면 어떡하지…?

대희: 찾아지면 안 되는 건데 찾아야 할 거 같기도 하고 마음에서 충돌이 일어났어요.

드디어 답장이 온다.

불법정보 판매자: 혹시 ㅂㅅㅈ이신가요?

재성: ㅂㅅㅈ?

종호: 뭐지? 이쪽 용어인가?(천재 화이트해커 둥절) 상영: 그게 뭐냐고 물어보면 안 되겠죠? 팀원들: ...

토스는 없지만 주식, 코인 쪽 DB는 보유하고 있다는 판매자.

종호: 와 뭐가 왔어.

건당 500원이라며 구매할 수 있는 정보 리스트를 받았다. 과연 이 안에 토스의 고객 정보가 있을까?

해커들은 컨택 가능한 모든 판매자에 메시지를 보내기 시작한다.

한편 물리적 침투는 2차 작업을 이어간다.

나머지 팀원들이 도착하면 안에 있던 한별이 문을 열어주고,

원하는 층에 들어가기 위해 출입 제어 장치를 해킹한다.

또 한 번 열리는 문…

내부에서 출입증을 입수한 해커팀은 공카드에 출입증을 복제해 토스팀 리더 이승건 자리까지 접근할 준비를 마쳤다.

이제 이승건이 자리를 비울 때를 기다린다.

48시간 내 해킹 미션은 막바지를 향해 달려간다.

그리고 이들에게는 강력한 무기들이 남아 있다. 암시장 불법정보 판매자의 응답, 토스팀 리더 이승건의 노트북을 해킹하는 무기화 전략, 물리 침투에서 입수한 팀원들의 메일로 정확히 타깃팅해 보내는 악성 코드까지.

천재 화이트해커가 이끄는 레드팀은 과연 토스 내부 시스템에 접근할 수 있을까?

결과는 ⟨헬소닉: 토스를 해킹하는 자⟩에서 확인하세요.

Edit 주소은 Graphic 심석용, 엄선희, 김예솔 해당 콘텐츠는 2023.6.30. 기준으로 작성되었습니다.