[지금부터 토스를 해킹합니다] 리뷰

https://www.youtube.com/watch?v=tAqgvP07RnQ&ab_channel=%ED%86%A0%EC%8A%A4 

 세상에는 다양한 기업들이 존재한다. 이번 포스팅에서는 다양한 기업들 가운데 대한민국의 스타트업인 비바리퍼블피카가 개발한 토스를 소개하고자 한다. 토스는 공인인증서나 보안 매체 없이 앱을 통해 빠르고 손쉽게 송금이 가능하다는 장점이 존재한다.  월간 활성 사용자는 1,500만을 돌파했고 1조 6천억원의 누적투자금액과 기업가치는 9조 1천억원에 달한다. 오늘은 이러한 토스를 해킹하는 시나리오에 대해 소개하고자 한다.

 영상  초반에 토스 보안기술팀의 리더이신 이종호님의 소개가 나온다. 해커들 사이에서는 HELLSONIC이라는 닉네임으로 세계 3대 해킹대회를 우승했다. 이러한 종호님께 토스 대표 이승건님께서 48시간 내로 토스를 해킹해달라고 요청했다. 외부자의 관점에서 회사 자산에 아무 관여 없이 해킹을 진행하기로 했고 그라운드 룰로는 '고객 정보와 같은 민감 정보는 절대 건드리지 않는다'로 정했다.

STEP1 정보수집

 정보수집 단계에서는 토스 본사의 위치, 층수, 대표명, 몇 개의 서비스를 운영하고 있는 지를 알아보았다.

STEP2 앱 서비스 공격과 대응 확인

 정한솔님이 토스 앱에 대해 위변조를 진행하였고 위변조 결과 토스 앱이 차단되었다. 이때 고객을 응대하는 팀과 보안기술팀과의 협업이 기 때문에 우진님의 계정(PD님)으로 다시 위변조를 진행하였고 차단된 앱에 대해 차단을 풀어달라는 요청을 고객 응대팀에게 전달하였다. 그결과 고객 응대팀에서는 계정이 잠시 보호처리 되었다는 것을 안내한 뒤 보안 팀 검토 후에 안내해드리겠다고 말했다. 이를 통해서 토스의 보안 대응방식이 뛰어나다는 것을 알 수 있었다.

STEP3 웹 서비스 공격과 대응 확인

공식 홈페이지에대가 이제 공격를 시도하고자 한다. 아이피는 노출되면 안되기 때문에 VPN을 설치해서 우회했다. 먼저 Nmap을 사용해서 포트 스캔을 진행했고 이후 SQL맵을 사용해서 맞는 열쇠가 있는 지 확인하여 뚫고 들어갈 수 있는 지 체크하였다. 이러한 행동들을 했을 때 제재를 해주는 것이 보안장비이다. SQL맵을 돌린지 2분 정도 지나니 차단이 됐고 Nmap은 10분 차단이 되었다.  서비스 공격같은 경우, 약간의 공격만으로 차단이 되는 상황이기 때문에 서비스 공격이 실패했을 때를 대비해서 물리 해킹도 진행하기로 했다.

STEP4 물리적 정찰

 토스에는 사내 편의점이 존재한다. 한별님이 사내 편의점을 운영해 주시는 업체의 조끼를 구해서 위장을 해서 토스에 침투했다. 사람들이 일상적인 부분에 있어서는 좀 의심을 하지 않는 경향이 있다. 그런 부분에 있어서 취약점을 찾았다. 

 

STEP5 블랙마켓 정보구매

 한별님이 물리 침투하고 계시는 동안 다크 웹에서 이제 데이터베이스 판매하시는 분들이라든지 그런 분들을 조사했다. 데이터베이스를 판매하시는 분들 중에 토스 데이터베이스를 판매하는 분들은 존재하지 않았다.

 

STEP6 물리적 침투

 토스에서는 오피스에 출입하기 위해서 인증시스템을 사용하고 있다. 앱 내부에는 출입할 수 있는 코드가 들어가 있다고 예측해서 케이블 연결을 통해서 노트북에다가 ADB( 안드로이드 디버그 브릿지, 안드로이드 기반 기기의 디버깅에 사용되는 도구)로 APK를 빼왔다. 그 결과 출입문이 열렸다. 안내 데스크 쪽에는 여러 장의 카드가 존재했다. 그 카드들을 핸드폰으로 읽어들여서 RFID 공카드에 태깅한 결과, 정상적으로 잘 복제가 되었다. 이를 통하여 승건님 자리까지 도달할 수 있게 되었다.

 

작전회의

 악성코드는 승건님 PC를 대상으로 진행하면 될 것이고 어버이날이나 각종 이벤트를 위장하여 스팸메일을 타겟팅하여 전송하면 어떤 지에 대한 의견도 나왔다. 보안에 있어 대부분의 투자를 하는 부분은 승건님 PC부터 이지만, 물리적으로 이를 훔친다 하더라도 하드디스크가 통째로 암호화되어 있어 지금 단계에서 뚫였다고 보기 어렵다.

 

Step7 해킹 툴 제작

 해킹잭은 생긴 거는 일반 C타입 USB핸드폰 충전하는 그 선이랑 똑같이 생겼다. 잭에다가 악성코드를 심어넣으면 이 장치를 꽃기만 해도 사용자의 컴퓨터를 원격해서 조종할 수 있는 상태가 된다. 해킹잭은 작다보니까 용량이 크지 않다. 그래서 작은 용량으로 구성된 페이로드를 작성해야 하지만, 이 과정에서 이미지도 올라가야 되고 하다보니 한줄한줄 코드를 줄이기 위해 노력했다.

 

STEP8 악성 메일 제작

 한별님 같은 경우, 한솔님이랑 같이 물리적인 침투에서 얻었던 팀원들의 메일 정보를 가지고 이메일 APT공격 시도하고자 한다. 메일에 첨부되는 엑셀 파일에 매크로를 심었는데 그 결과, 윈도우에서 매크로를 잡아버렸다. URL공격 역시 샌드박스를 통해 막혀버렸다. 오랜시간이 걸려서 악성 메일 테스트에 성공했다.

 

STEP9 악성 메일 공격

악성메일을 총 38분 대상으로 발송하였다. 그 결과, 열람 자체는 많이 했지만 안에 있는 링크를 누른다든지 아니면 이걸 다운로드 받아 실행을 한다든지에 있어서 한분도 걸려들지 않았다. 토스 내에서는 ‘파일을 다운로드 받지 말아주세요’라고 공지가 되었다.

이번 영상, 토스를 해킹하는 과정에서 토스가 얼마나 튼튼하게 보안을 잘 하고 있는 지 알 수 있었다. 어느 기업과는 다르게 고객의 개인정보과 유출되는 사고가 없었으며 고객의 정보를 지키는데 얼마나 기여를 하고 있는 지 알 수 있는 좋은 영상인 것 같다.