36세 직장인 김형근씨는 최근 택배업체로부터 스마트폰 문자메시지를 받았다. 마침 온라인 쇼핑몰에서 물건을 주문했던 그는 ‘고객님의 택배가 배송 불가한 상태입니다. 고객센터로 연락하세요’라는 내용에 심사가 뒤틀렸다. 이어 문제 해결을 위해 메시지 아래 첨부된 인터넷주소(URL)를 클릭했고, 택배업체 애플리케이션(앱) 설치파일(APK)을 통해 앱을 하나 내려 받았다. 스마트폰에 새로운 앱이 설치된 뒤 접속한 김씨는 개인정보를 입력하라는 요청에 이름 등을 넣으려고 했으나, 갑자기 걸려온 전화를 받느라 잠시 앱을 꺼뒀다.
10여분 뒤 김씨는 스마트폰 결제를 위해 카드사 앱인 ‘KB 페이(pay)’에 접속했다. 그러나 요란한 알림과 함께 앱에는 ‘제3자가 임의로 설치한 것으로 의심되는 악성 앱이 탐지됐습니다. 출처 불명의 이메일이나 문자메시지(SMS) 링크를 통해 설치된 악성 앱으로 의심됩니다. 금융 사고 예방을 위해 반드시 삭제 바랍니다’라는 문구가 떴다. 경고 문구 아래에는 10분 전에 내려받아 설치했던 택배업체 앱의 이름과 앱 삭제 버튼이 떴다. 무심결에 설치했던 앱이 해커의 피싱 파일이었던 것이다.
앱을 통한 피싱은 스마트폰 해킹, 전화 가로채기, 은행 사칭 등의 금융사고를 야기한다. 해커들은 피해자가 익숙한 안내를 통해 악성 앱을 깔도록 유도한 뒤, 금융사 앱 등에 피해자의 아이디와 비밀번호 등 민감정보를 빼낸다. 악성 앱은 피해자의 스마트폰을 원격조종하는 기능도 갖고 있다. 해커가 피해자 스마트폰에 침투한 뒤 금융사 앱에 접속해 피해자가 전혀 알지 못하는 결제나 계좌 이체 등으로 돈을 가로챈다.
알아채지 못한 사이에 설치된 앱이 개인정보를 탈취하는 걸 막기 위해 보안 업체 에버스핀은 악성 앱 탐지 및 피싱 보안 솔루션 ‘페이크파인더’를 고안했다. 김씨가 사용하는 KB 페이에 이 솔루션이 적용돼 있다. 페이크파인더는 전 세계에서 올라오는 앱 중 구글 플레이나 애플 앱스토어와 같은 공식 마켓을 통하지 않고, 교묘하게 만들어져 배포되는 악성 앱을 찾아내 차단한다. 악성 앱 차단을 위해 전 세계 1929만개의 앱을 4년 동안 조사해 방대한 데이터베이스를 구축했고, 지금도 계속 새로운 정상 앱에 대한 정보를 쌓고 있다. 이 데이터베이스에 포함돼 있지 않은 앱이 사용자의 스마트폰에 깔려 있으면, 해당 앱을 악성 앱으로 간주하고 차단하는 식이다.
KB국민카드는 에버스핀 솔루션으로 지난해 9월부터 올해 5월까지 총 4349건의 악성 앱 피싱 시도를 방지했다고 한다. 9개월간 하루 평균 25건의 피싱 앱을 막아낸 셈이다. 4349건의 피싱 시도가 모두 성공했을 경우 KB국만카드 고객이 입었을 피해액은 최소 484억원에 달할 것으로 추정된다. 페이크파인더의 능력이 입소문을 타면서 NH농협은행, KB국민은행, 한국투자증권, 신한금융투자, 한화생명, 일본 SBI그룹 등도 에버스핀의 솔루션을 사용하게 됐다.
하영빈 에버스핀 대표는 지난 2008년 간편결제솔루션 업체를 창업했고, 이 경험을 살려 결제서비스 업체 ‘다날’ 서비스기획팀에서 바코드결제를 설계 및 개발했다. 당시 하 대표는 다수의 보안 업체와 협업하고, 때로는 직접 보안 서비스를 만들면서 기존 서비스의 문제점과 금융 보안의 중요성을 실감했다고 한다. 하 대표는 2014년 에버스핀을 설립했다. 지난달 27일 하 대표를 에버스핀 사무실이 위치한 서울 동작구 노량진에서 만났다.
ㅡ금융업계에서 다양한 창업 및 근무 경력이 있다. 이 분야에서 보안의 중요성을 깨닫게 된 계기가 있나.
“과거 다날 신사업팀에서 근무하면서 오프라인 매장에서 바코드 하나로 휴대폰 결제가 가능하도록 하는 바코드 결제 솔루션 서비스를 만들었다. 이때 기존 보안업계에 허점이 많다는 점을 알게 됐다.
바코드의 보안 로직과 패턴을 분석한 해커가 해킹을 할 수 있겠다는 생각이 들어 이를 보완하기 위해 여러 업체와 미팅을 진행했는데, 대다수 제품에 허점이 많았다. 제아무리 좋은 보안코드가 있어도 바코드가 한번 형성된 후 바뀌지 않으면 이 바코드의 보안코드의 원리와 우회로를 파악하는 건 먹잇감을 결정한 해커에게 그리 어려운 일이 아니니까 말이다. 제아무리 어려운 수학 문제도 문제와 숫자만 바뀌지 않으면 몇 날 며칠을 고민하면 결국 똑똑한 학생은 풀어낼 수 있다. 해커도 작심하고 그 코드만 촘촘하게 뜯어보면 된다. 그러나 어느 업체도 명확한 해결책을 내놓지 못했고 솔루션도 모두 큰 차별점 없이 엇비슷했다.”
ㅡ그래서 어떤 보안 업체를 골랐나.
“결국 특정 업체를 선정하는 데 실패했고, 회사에서 직접 바코드 결제 솔루션의 보안 시스템을 구축했다. 보안업계엔 큰 자금이 있어 연구개발(R&D)에 과감한 투자를 할 수 있는 개별 기업이 많지 않은 것이 안타까운 현실이다. 회사를 나와 보안회사를 창업해 다양한 R&D 활동을 진행하겠다고 결정한 계기이기도 하다.”
ㅡ창업 후 과감한 R&D로 내놓은 서비스가 궁금하다.
“고정된 하나의 바코드가 보안에 취약하다는 점을 깨닫고 일회용 바코드를 주기적으로 변경하는 방법을 이전 회사에서 택하지 않았나. 이 경험을 바탕으로 실시간으로 변하는 ‘다이내믹(동적인)’ 보안코드를 기반으로 해커에게 코드를 분석하고 공격할 시간조차 제공하지 않는 해킹 보안 솔루션 ‘에버세이프’를 개발했다.
기존 해킹 보안 솔루션은 하나의 고정된 보안 모듈이 계속해서 같은 패턴으로 작동했다. 하나의 솔루션만 만들면 되니까 훨씬 쉽고 저렴한, 어찌 보면 기업엔 효율적인 방식이다. 그러나 이 경우 해커가 계속 반복되는 패턴 하나만 분석하면 결국 해당 보안 모듈을 우회하는 방법을 언젠간 찾아낼 수 있다.
그래서 매일 새로운 보안 모듈이 서로 다른 패턴으로 작동하도록, 소스코드로 짜인 모듈을 무한대로 생성할 수 있는 모듈생성기를 만들었다. 현재 이 서비스를 바탕으로 카드사 등 금융사는 자사 웹사이트 등의 해킹을 막고 있다.”
ㅡ다른 서비스도 궁금하다.
“집요하게 R&D를 거듭한 결과 전 세계 정식 앱 마켓에 존재하는 모든 앱을 실시간으로 파악해, 교묘하게 위조된 가짜 앱을 탐지해 피싱을 예방하는 ‘페이크파인더’ 솔루션을 내놓았다. 앞서 말했듯이 기존 보안 솔루션은 하나의 고정된 솔루션만 만들어두는 형태였다. 피싱 보안 솔루션도 마찬가지였는데, 이미 피싱 사고가 발생해 악성 앱이라고 확인된 리스트에 새로운 앱을 대조하는 ‘블랙리스트’ 방식이 다였다. 이 경우 과거에 악성 앱임이 확인되지 않은 신규 악성 앱은 탐지가 불가능하지 않나.
그래서 인력과 시간을 투입해 약 4년간 전 세계 존재하는 악성 앱이 아닌 모든 정상 앱에 대한 데이터베이스를 구축했다. 이를 기반으로 이용자의 기기에 깔린 앱이 데이터베이스에 있는 정상 앱인지 아닌지 여부를 바로 확인하고, 정상이 아닌 경우 바로 차단하는 ‘화이트리스트’ 방식의 ‘페이크파인더’를 개발할 수 있었다. 과거에 이미 문제가 있다고 신고되지 않은 앱도 위험의 소지만 있으면 바로 차단할 수 있다. 우리에겐 방대한 DB가 있으니 말이다. 이 서비스를 기반으로 KB국민카드가 4349건의 악성 앱 피싱 시도를 막은 것이다. 2016년 코스콤과 미래에셋으로부터 핀테크펀드 1호 투자기업에 선정되는 등 지속적으로 투자를 계속 받았기 때문에 가능한 성과이기도 하다.”
ㅡ악성 앱을 차단한 구체적인 예시가 있을까.
“최근 KB Pay 앱을 이용하는 한 소비자가 보이스피싱을 예방한 사례를 공유했다. 이 소비자는 KB Pay 앱에 접속했다가 국민카드 직원으로부터 악성 앱이 발견됐으니 확인해보라며 대처방안을 설명하는 전화를 받았다. 에버스핀의 악성 앱 탐지 솔루션이 제대로 작동한 결과 국민카드 측에서 해당 소비자에게 신속하게 연락해 조치를 취할 수 있도록 했기 때문이다.”
ㅡ카드나 은행 등 금융권 내 보안에 집중하는 이유는 무엇인가. 왜 이들에게 보안이 특히 중요한가.
“돈의 가치는 누구나 잘 알고 있다. 제조업의 기술 자산의 경우 누군가에겐 의미 없을 수도 있고, 단순 생산만 하는 기업에겐 기술 자산이 그리 중요하지 않은 경우가 있을 수도 있겠다. 그러나 돈이 가치 있다는 점에 대해선 누구나 공감할 것이다. 그 해커가 누구든지 간에 말이다. 게다가 일반 기업과 달리 해킹당하면 금융권에선 손해배상을 해야 한다. 더 보안에 민감할 수밖에 없고, 그만큼 해커에겐 더 좋은 타깃일 수밖에 없다.”
ㅡ최근 한국을 넘어 해외 진출에 박차를 가하는 것 같다.
“금융업체의 보안에 대한 관심은 전 세계적으로 계속 커지고 있다. 2018년엔 일본 최대 온라인 증권사가 포함된 현지 대형 금융그룹 SBI와 합작법인(JV)을 설립했으며 SBI그룹에서도 에버세이프를 사용하고 있다. 이외에도 인도와 인도네시아에 JV를 설립하는 등 사업을 확장하고 있다.”
ㅡ앞으로의 목표는.
“기존 보안업체들보다 더 집요하고 더 과감하게 투자해 다양한 기술 혁신으로 새로운 보안서비스를 계속 내놓겠다. 남들이 고정된 제품을 선보이면 우린 움직이는 제품을 만들고, 또 그들이 택한 보안 방식을 아예 거꾸로 뒤집어 ‘블랙리스트’를 ‘화이트리스트’로 만들겠다. 새로운 시도를 계속 하겠다.”