[金融圈视角]“有本事就来黑”——由白帽黑客守护的Toss

Published 26 Jul.2023 06:10(KST)

Updated 07 Aug.2023 13:31(KST)

open/close

横扫世界大赛的白帽黑客
专访 Toss 安全技术团队负责人 Lee Jongho
Toss 举办黑客漏洞悬赏活动
自信拥有金融业最高水准安全保障

编者按通俗地说，金融就是“资金的融通”。话虽简单，背后却有复杂的业务往来，凝聚着众多一线人员的专业能力与付出。本文将带您走近支撑并推动大型企业运转的这些隐形功臣。

Lee Jongho Toss安全技术团队负责人

在金融业，安全的重要性与日俱增。随着移动应用程序（App）的普及，便利性大幅提升，但各处也潜伏着黑客攻击威胁。尤其对直接处理客户“资金”的金融公司而言，安全能力已经成为关键竞争力也不为过。对信息技术属性浓厚的金融科技公司来说，这一问题更为敏感。以每月约1500万名用户使用的Toss为例，向外界树立“线上比线下更安全”的认知，已经上升为关乎生存的问题。也因此，Toss内部仅白帽黑客就有10名。其中的核心人物，是因“HelSonic”而闻名的世界级白帽黑客、Toss安全技术团队负责人 Lee Jongho。

Lee负责人近日在接受《亚洲经济》采访时表示：“Toss有足够的（安全）自信，甚至可以对国内所有黑客直接说‘来黑一下Toss试试’。”Toss每年都会公开对外发出攻击邀请，并举办“漏洞赏金”（Bug Bounty）活动，对发现系统漏洞并进行举报的人给予奖励。他解释称：“这表明我们在安全层面已经做了大量工作，举办活动的目的也是希望向外界展示这种自信。”

Lee负责人是曾在有“黑客奥运会”之称的DEF CON CTF中，首位夺冠的亚洲选手，是全球知名的白帽黑客。这样一位专家之所以选择Toss，是因为创始人、Viva Republica代表理事 Lee Seunggun 对安全“真心投入”。在此之前，他在安全行业工作了10年，起初曾拒绝跳槽到Toss，但在与Lee代表见面后改变了想法。Lee负责人表示：“很多企业并非真正严肃地看待安全，而是把组建白帽黑客团队当成一种赶潮流的举动”，“而Lee代表则做了大量市场调研，几乎不需要我再额外提供建议，这一点让我产生了信任感。”

Lee负责人表示，Toss在包括主要市中银行在内的第一层级金融圈中，已经具备业内最高水准的安全水平。为了维持这样的安全水平，Toss光白帽黑客就有10名。他们分为“红队”和“蓝队”，通过模拟实战的攻防演练不断提升Toss的安全性：红队学习最新黑客技术，对Toss系统发起攻击，蓝队则据此检视并完善监控体系和防御体系。这种方式，是那些尚未建立白帽黑客“团队”的其他金融机构难以实施的。未来，Toss计划进一步扩大白帽黑客团队的规模。

Toss的白帽黑客们也在客户视角的安全防护上投入大量精力。近期，通过恶意应用程序实施的电话诈骗案件频发，Toss为保护用户制定了相关对策。Lee负责人说明说：“例如，恶意App通常会内置各家银行或金融监管机构的语音提示文件，我们就是通过找出并研究这些共通特征，开发出恶意App检测技术。当用户启动Toss App时，系统会扫描整个智能手机中的应用程序，一旦检测到恶意App，就会进行拦截。”

Lee负责人指出，关于“越好用的服务在安全方面越薄弱”的误解，对Toss而言是一个“被冤枉”的地方。用户虽然对市中银行要求安装各种安全程序感到不便，但同时又相信那样更安全。然而，随着技术发展，即便不依赖这些传统安全程序，也能实现安全的金融交易，而研究这一方向正是白帽黑客的职责。尤其是黑客的攻击手法也在顺应技术进步不断演化，金融业要在技术上紧跟其后，就必须配置白帽黑客。