중고거래 사기꾼 "토스 싫어, 다른 계좌로"…왜?

“사기 친 적 있는 계좌로 토스 사용자가 돈 보내려 하면 경고해 알려줍니다. 첫 피해자는 못 막더라도 두 번째부터는 막아야죠. 그래서 '당근(마켓)' 같은 중고 거래에서 사기꾼이 '토스로 보내지 말고 다른 계좌로 보내라'고 한다네요.” 지정호 비바리퍼블리카(토스) 정보보호최고책임자(CISO)는 6일 서울 삼성동 그랜드인터컨티넨탈서울파르나스호텔에서 열린 '공격 표면 관리(ASM·Attack Surface Management)와 위협 인텔리전스(TI·Threat Intelligence) 콘퍼런스'에서 이같이 밝혔다. 국내 정보보호 기업 AI스페라가 이 행사를 개최했다. 토스는 '사용은 간편하게, 보안은 강력하게'라는 지침을 시행한다. 2020년 7월 고객 피해 보상 안심 제도를 만들어 '지켜주지 못한 고객'에게 금전적 피해를 구제한다. 보안 인력은 50명이 넘는다. 지 CISO는 “지나가는 사람이 '잠깐 스마트폰 빌려달라' 하면 빌려주지 말아야 한다”며 “신분증 빌려주지 않듯 스마트폰은 더욱 안 된다”고 말했다. 그는 “매년 보이스피싱 탓에 수천억원 날아간다”며 “앱을 위·변조해 가짜 앱을 깔게 하고, 개인정보를 입력하면 정보를 빼내, 사용자가 송금하면 해커 계좌로 돈이 들어가게 한다”고 전했다. 지 CISO는 “최근 보안 사고는 내부 임직원에서부터 시작되는 일이 많다”며 “그럼에도 토스는 악성코드(랜섬웨어) 감염된 적이 전혀 없다”고 강조했다. 회사에서 개인 메일과 유해 사이트에 접속할 수 없고, 일하는 데 필요한 소프트웨어(SW)를 사주기에 불법 프로그램 쓸 일이 없다는 설명이다. 데이터센터를 2개 운영하는 토스는 보안 솔루션을 50가지 갖췄다. 지 CISO는 “정보 침해 사고가 터지면 빠르게 대응하려 준비한다”며 “'토스', '한국', '금융', '정보기술(IT)'을 떠올려 공격할 만한 북한이나 단체를 모의 상대로 삼아 훈련한다”고 언급했다. 이어 “공격 표면과 보호할 자산을 파악하는 기초에 충실해야 한다”고 덧붙였다. 임종인 대통령실 사이버특별보좌관 겸 고려대 정보보호대학원 명예교수도 이날 “살아남으려면 스스로 지켜야 한다”며 “ASM의 미래는 새로운 공격 표면을 포괄하고 다양한 보안 도구를 연계해 인공지능(AI)과 인간 역량이 결합하는 것”이라고 주장했다. 그러면서 “일론 머스크 테슬라·스페이스X 최고경영자(CEO)가 요즘 세계에서 가장 영향력 있는 인물이라 반도체 공장 같은 주요 자산이 우주로 갈 것”이라며 “공격 표면이 늘어날 텐데 가시적으로 알 수 있는 건 70%가 안 된다”고 부연했다.