세계 최고 화이트해커가 토스팀에 합류한 까닭은

“기술 발전과 함께 화이트해커의 필요는 더욱 커졌습니다. 토스의 방어력을 세계 최고 수준으로 끌어올리고, 회사의 보안 기술을 책임지는 CWHO 의 길을 개척하고 싶어요.” 

축구 선수가 공격수와 수비수로 나뉘는 것처럼 해킹에도 공격과 방어가 있습니다. 영화에선 시스템을 뚫기 위해 온갖 방법을 동원하는 블랙해커가 천재적이고 매력적인 인물로 그려지는 경우가 많지만, 엄밀히 말하면 범죄자죠. 블랙해커가 침입을 시도하기 전, 취약점을 찾고 방어막을 세우는 화이트해커(White Hacker)의 역할이 현실에선 훨씬 중요합니다. 모든 사물이 인터넷으로 이어지는 초연결사회, 작은 구멍 하나만 뚫려도 시스템 전체가 마비될 수 있기 때문이죠. 

세계적인 화이트해커 이종호님이 최근 토스 보안기술팀 리더로 합류했습니다. 미국 데프콘, 일본의 세콘, 대만 히트콘 등 세계 3대 해킹 방어 대회를 휩쓸어 국내 보안 업계에선 ‘레전드’로 손꼽히는 보안 전문가입니다. IT 기술을 기반으로 금융 서비스를 제공하고 있는 토스팀은 그동안 최고 수준의 보안력을 확보하기 위해 애써왔는데요. 종호님을 전격 영입한 것은 이러한 노력의 화룡점정이라고 할 수 있습니다. 

담담한 말투로 “토스 보안의 방어력을 세계 최고 수준으로 끌어올리는 것이 목표”라고 이야기하는 종호님에게서 단단한 자신감이 느껴졌습니다. 

화이트해커의 세계

Q. 종호님은 미국 데프콘 2회 우승을 포함해 세계 3대 해킹 방어 대회를 모두 석권하셨다고요. 엄청나게 빠른 손놀림으로 키보드를 두드리며 모니터 건너편의 해커와 대결하는 치열한 상황이 떠오릅니다.

“해킹 방어 대회는 현재 활동하는 해커들이 합법적인 테두리 안에서 자신의 기술력을 마음껏 뽐내고 겨루는 장입니다. 유명 국제 대회들은 보통 1년에 한번씩 열립니다. 가장 권위 있는 대회가 미국 라스베가스에서 열리는 데프콘인데요. 전세계에서 내로라 하는 해커들이 모두 참여합니다. 명문대학에서 팀을 짜서 참가하기도 하고요. 

대회 운영진들이 최신 트렌드에 기반해 설계한 시스템을 해커들이 뚫도록 하는 방식도 있고, 또는 참가팀들이 각자의 시스템을 만들어 방어하고 동시에 다른 팀의 시스템을 무너뜨리는 형태로 이뤄지기도 해요. 일반적으로 이틀 또는 사흘간 진행되는데요. 어떤 해커들은 몰입에 방해가 된다며 48시간 동안 먹지도 마시지도 않고 대회에만 몰두합니다.”

Q. 대회 밖 화이트해커의 일상도 비슷한가요? 

“현실에서는 실시간으로 벌어지는 해킹 공격을 막아내는 일은 흔치 않죠. 보통은 공격이 들어오기 전에 선제적으로 예방하고 대응책을 마련합니다. 새로워지는 해킹 기술의 트렌드를 늘 따라가면서 진단하고 어떻게 대응할지 연구하는 것이 화이트해커의 일상이에요.

최근까지 10여년 간 제가 몸 담았던 곳은 화이트해커들이 모여 있는 해커 회사(보안 전문 회사)였는데요. 다른 기업의 보안팀이나 인프라팀과 협업하며 그 회사의 보안성을 검증하고 컨설팅했습니다. 모의 해킹 등의 방법으로 시스템의 취약점을 찾아낸 뒤 이를 제거할 수 있는 방안을 제시하는 거예요. 취약점을 제때 보완하지 못하면 나중에는 정말 큰 문제로 번진다는 것을 몸소 경험한 적도 있었어요. 화이트해커로서 제가 하는 일이 기업의 리스크 관리 측면에서 정말 중요한 업무임을 다시금 깨닫게 되었습니다. ” 

Q. 위험 요소를 사전에 발견하고 차단하는게 핵심이군요. 해커 회사에 모의 해킹을 의뢰하는 대신, 토스처럼 화이트해커 팀을 직접 꾸리는 회사도 많은가요?

“국내에는 자체적인 해커팀을 운영하는 기업이 많지는 않습니다. 사실 기업 입장에서 보안 분야에 막대한 투자를 선뜻 집행하기는 어렵습니다. 회사에 직접적으로 돈을 벌어다 주는 분야가 아니기 때문이죠.  실적이 눈으로 보이지 않으니 회사 경영진 입장에서는 ‘보안팀에 이렇게 많은 인력과 돈이 들어가야 하나? 꼭 해커팀까지 필요한가?’ 하고 의구심을 가질 수 밖에 없습니다. 하지만 보안 분야는 아무 일 없이 조용할 수록 잘 돌아가고 있다는 의미거든요. 

최근에는 이러한 보안의 특성과 중요성을 재평가하고 화이트해커를 직접 고용하는 곳이 늘고 있습니다.  IT 업계에서 시작된 움직임이죠. 해외에선 구글의 해커팀 ‘프로젝트제로’가 대표적이고, 한국에서도 일부 대기업에서 해커팀을 운영하고 있습니다. 기술 발전에 따라 다양한 방면에서 발생할 수 있는 보안 이슈를 내부에서 빠르게 해결하는 것이 목표일 겁니다. 빠르게 성장 중인 토스가 내부에 화이트해커 팀을 꾸리고 확장해 나가는 것이 바로 회사의 보안 의식이 얼마나 높은지를 보여준다고 생각합니다.” 

보안을 하나의 문화로 

Q. 토스팀은 오래 전부터 세계 최고 수준의 해커팀을 구성하겠다는 계획을 세워왔습니다. 종호님을 모시게 되어 기대가 큰데요. 종호님이 토스팀을 선택하게 된 매력 포인트는 무엇이었나요? 

“금융 시스템은 최첨단 보안 기술의 집약체이기 때문에, 화이트해커라면 누구나 높은 관심을 가지고 있을 거에요. 최신 보안 기법을 가장 먼저 접목하고 트렌드가 빠르게 바뀌는 분야거든요. 토스 서비스도 줄곧 사용해 왔구요. 금융 슈퍼앱으로 진화하고 있는 토스의 보안을 맡는다는데 큰 매력을 느꼈습니다. 

업무에만 집중할 수 있는 환경을 만들어주는 토스팀의 문화도 좋았습니다. 다른 걱정거리 없이 자유로운 분위기 속에서 프로페셔널한 인재들과 일할 수 있는 환경이라고 생각했어요. 책임감과 탁월함 등 제가 일할 때 중요하게 생각하는 가치와 토스팀의 코어밸류도 잘 맞아 떨어졌습니다. 저도 여기서 새로운 팀을 잘 꾸려 나가보려고 합니다.”

Q. 토스에 합류한 첫 달입니다. 토스팀의 보안 수준과 의식을 직접 들여다 본 소감은 어떠신지요? 

“토스팀에서는 모든 서비스의 개발 단계부터 보안을 고려해 진행하는 덕분에 간편성과 안전성 사이에서 균형을 잘 잡고 있어요. 서비스의 아키텍처를 짤 때부터 보안 엔지니어가 논의에 참여합니다. 보안팀만 보안에 신경쓰는게 아니라, 서비스를 만들어가는 프로덕트 오너와 개발자, 디자이너 모두가 보안성 향상이라는 공통의 목표를 공유하고 있기 때문에 가능한 일이죠. 이런 프로세스가 잘 지켜지지 않으면, 다 만들고 난 뒤에야 예상치 못한 보안 이슈가 발견돼 처음부터 다시 시작해야 하는 경우가 생기거든요. 마치 건물을 지었는데 축에 문제가 있어서 건물을 부수고 다시 짓는 셈이죠. 

무엇보다 토스팀에선 보안을 하나의 문화로 만들어 나가고 있다는 점이 인상적이었어요. 입사 첫 주 가장 중요한 온보딩 세션 중 하나로 CISO 신용석님의 보안 교육이 진행됐습니다. 토스에서 보안이 중요한 이유를 모든 팀원들이 충분히 인지할 수 있게 되죠. 

자기 컴퓨터 화면을 켜둔 채 자리를 비우면, 지나가던 팀원 누구라도 사진을 찍어 인증하고 대신 잠궈주는 것도 신선했어요. 전 구성원이 보안을 정말 우선순위로 생각하기 때문에 이런 문화가 잘 자리잡을 수 있었다고 생각해요.” 

Q. 토스가 강력한 보안을 언제나 최우선 순위에 두어야만 하는 까닭은 무엇일까요?

“토스의 핵심가치 중 첫번째인 ‘고객 중심(customer centric)’을 지키기 위해서입니다. 고객들은 토스 서비스를 이용해 여러 금융 기관에 흩어져 있는 자산을 한데 모아 보고, 필요에 따라 거기서 돈을 송금하거나 금융 상품에 가입합니다. 고객의 모든 금융 정보가 모여 있는 토스에서, 만에 하나라도 그 정보가 새어나가지 않도록 강력한 보호망을 구축하는 것은 기본 중의 기본이죠.”

Q. 토스는 송금・결제 뿐 아니라 보험, 증권, 뱅킹 등 금융의 다양한 접점으로 서비스의 영역을 더욱 넓혀 나가고 있습니다. 토스를 통해 금융 생활을 하는 인구가 더욱 많아지는 지금, 종호님의 어깨도 무거울 것 같습니다. 어떤 보안기술팀을 만들어 나갈 계획이신지요?

“토스의 보안 파트는 정책과 개인정보보호, 인프라, 운영 등으로 구성돼 있습니다. 보안기술팀은 이 모든 영역과 긴밀하게 협업하면서 토스 서비스의 취약점을 사전에 찾아내 해소할 계획입니다. 모의 해킹 등 상시적으로 서비스 전반의 보안성을 점검하고 엔지니어링 팀과 논의해 보완해 나가는 등의 방식으로요. 물론 토스 코어 뿐 아니라 인슈어런스와 페이먼츠, 증권, 뱅크팀 등 계열사 4곳의 서비스까지 모두 아우르게 됩니다. 

보안기술팀을 리드하면서 팀원들이 자기 역량을 최대한 끌어낼 수 있는 환경을 만드는 것도 제가 할 일이라고 생각합니다. 놀라울 정도로 뛰어난 역량과 기술을 갖추고 계신 동료들과 함께 일하게 돼 앞으로가 더 기대됩니다. 숨은 고수들이 많이 계시더라고요. 팀원들과 함께 최신 보안 기술을 지속적으로 연구하고 토스 서비스에 접목해 나갈 계획입니다.” 

화이트해커의 미래 

Q. 국내의 많은 화이트해커들이 해외로 나가고 있습니다. 종호님은 해커 필드에서 이미 15년 이상 활동해온 전설적인 화이트해커지만, 한국을 떠나지 않는 특별한 이유가 있다고 들었어요. 

“저 역시 해외에서 활동할 수 있는 매력적인 기회들이 있었습니다. 화이트해커라면 누구나 더 큰 시장에서 더 도전적인 경험을 하고 싶을 거에요. 더 큰 보상도 뒤따르고요. 그럼에도 저는 화이트해커로서의 목표와 책임을 한국에서 이루고자 했습니다. 국내 기업에 화이트해커의 필요성을 잘 알리고 싶고, 취약한 보안 생태계에 관한 경각심도 주고 싶어요. 궁극적으로는 저처럼 화이트해커가 되고 싶다는 꿈을 꾸고 열심히 공부하시는 분들이 미래에는 더 나은 환경에서 일할 수 있는 토대가 갖춰지길 바라요.

한국정보기술원의 BOB(Best of Best) 인재양성 프로그램에 6년째 멘토로 참여하고 있는 것도 그 때문입니다. 장래에 보안 분야에서 일하고자 하는 대학생이나 사회초년생들과 함께 프로젝트를 진행하고 기술 자문을 해주고 있는데요. 화이트해커들이 자유롭게 연구하고 자신의 능력을 최대한 활용할 수 있는 토양을 만들고 싶습니다.” 

Q. 국내 보안 산업 환경과 화이트해커 생태계를 위한 헌신이 느껴집니다. 종호님이 추구하는 목표와 세계적인 수준의 해커팀을 꾸려 최고의 방어력을 갖추려는 토스팀이 같은 방향을 바라보고 있는 것 같습니다. 

“정보보호최고책임자(CISO)가 기업의 필수 임원인 것처럼, 예컨대 ‘CWHO(Chief White Hacker Officer)’와 같은 보안 기술 전반을 책임지는 포지션이 필요한 환경을 만들고 싶습니다. 그러려면 제가 먼저 회사 내에서 화이트해커라는 역할의 필요성과 역량을 증명해야겠죠. 제가 토스팀에서 제 역할을 확장해 가고 커리어를 발전시켜 나간다면, 후배 해커들도 다양한 길을 개척할 수 있을 것 같아요.”

Q. 목표를 이뤄가시는 과정에서 팀의 규모도 더욱 확대되어야 할텐데요. 어떤 역량과 태도를 갖춘 동료가 합류하길 기대하나요? 

“책임감을 가지고 주도적으로 일하는 분들과 함께 하고 싶습니다. 특히 화이트해커라는 직업은 자신이 가진 기술을 올바르게 사용하는 윤리의식과 사명감도 중요합니다. 새로운 기술과 최신 이슈에 민감하게 반응하고 연구하면서도, 이를 통해 달성하고자 하는 목표나 가치가 명확한 분들이 합류해 주셨으면 합니다.”