토스 CISO “보안 잘 지키는 것, 고객 신뢰 지키는 일”

최근 금융권에서 보안사고가 잇따라 발생한 가운데, 지정호 토스 정보보호 최고책임자(CISO)는 “보안을 잘 지키는 것이 곧 고객 신뢰를 지키는 일”이라고 밝혔다. 

◇ “공격자는 진화하는데, 보안은 제자리”

20일, 토스는 강남 코엑스에서 토스 내부 보안 전문가들이 직접 경험한 사례와 성과를 공유하는 ’가디언즈 2025’를 개최했다.

이날 스트레이트뉴스는 “토스에서도 해외 회사들처럼 ‘프라이버시 바이 디자인(Privacy by Design)’을 활용해 고객의 정보 보안을 보장하는지”에 대해 질문했다. 

지정호 CISO는 “고객에게 어떤 서비스가 제공되는지, 얼마나 편리하게 쓸 수 있는지 고민하는 만큼 백(Back)단에서는 어떤 보안 요소를 더 강화해야 하는지도 함께 신경 쓰고 있다”며 “프라이버시 바이 디자인 관점에서 서비스를 설계하려고 노력하고 있다”고 말했다.

프라이버시 바이 디자인은 디바이스·앱·서비스를 만들기 시작하는 단계부터 폐기할 때까지, 각 단계에 걸쳐 개인정보 보호를 시스템 설계에 포함하도록 요구하는 접근법이다. 단순히 나중에 보안을 덧붙이는 것이 아니라, 처음부터 기술·정책을 함께 설계에 녹여 넣는 방식이다.

예를 들어 민감정보를 수집하는 기능은 ‘기본값 비활성화’를 원칙으로 두고, 네트워크 전송 구간은 암호화하며, IT 자산을 폐기할 때는 개인정보가 실제로 삭제됐는지 확인하는 절차를 의무화하는 식이다. 유럽연합(EU) 개인정보보호법(제25조)은 2008년부터 PbD를 새로운 개인정보 침해 위협에 대응하는 최적의 해법 가운데 하나로 제시해 왔다.

지정호 CISO는 “보안을 잘 지키는 것이 결국 토스를 이용하는 고객에게 신뢰를 지키는 기회라고 생각한다”며 “이런 믿음을 지키기 위해 보안 체계를 계속 다듬고 있고, 그 과정 자체를 업계와 함께 나누고 싶다”고 덧붙였다.

그는 “사실 토스의 보안 노하우를 공개적으로 나누기 시작했던 것은 시간이 좀 흘렀다”며 “서비스 론칭 초기 시점에선 보안을 구축하는 과정에서 여러 선배 기업들에 노하우를 여쭤봤지만 ‘보안 때문에 말해 줄 수 없다’는 답을 많이 들었다”고 말했다.

지정호 CISO는 “당시에는 보안 수준을 자신 있게 이야기하는 것 자체가 부담스러운 분위기였던 것 같다”며 “뒤늦게 많이 배운 만큼 이제는 그동안 쌓은 노하우를 공유해야 할 때라고 판단해 공개와 공유를 하고 있다”고 덧붙였다.

◇ “공격자는 진화하는데...금융보안은 제자리”

이어 “2003년 인터넷 대란, 2009년 7·7 디도스 사태, 2013년 3·20 전산 대란을 겪으며 보안 태세를 정비해 왔지만 여전히 보안사고가 계속되고 있다”며 “이제는 각 조직에게  어떤 보안 전략이 필요한지 보안 철학부터 다시 고민해야 한다”고 말했다.

지정호 CISO는 “공격자는 IT 기술과 디지털 전환에 맞춰 새로운 기술을 빠르게 흡수하며 방어 체계를 우회하는 공격을 계속하고 있다”며 “반면 방어자는 관성적인 보안 활동에 머물러 진화 속도를 따라가지 못하고 있다”고 말했다. 이어 “보안팀이 정해진 규정과 반복 업무에 대부분의 시간을 쓰다 보니 클라우드·컨테이너·AI 같은 새로운 환경의 위협에 대응할 담당자와 여력이 없다”고 설명했다.

그는 “보안 이슈가 비즈니스를 방해하는 게 아니라 안전한 비즈니스를 만들기 위한 활동”이라며 “각사 보안팀은 위협 제거를, 개발팀은 빠른 서비스 출시를, IT팀은 가용성을 최우선 가치로 본다는 점을 서로 이해하고, 그 위에서 보안의 가치를 설득해야 경영진과 임직원의 공감을 얻을 수 있다”고 말했다.

지정호 CISO는 “전통적으로 서버·네트워크·단말기를 자산으로 관리해 왔지만 공격 표면은 그보다 훨씬 넓다”며 “엔드(End) 포인트뿐 아니라 가상머신, 애플리케이션, 프로그램, 서비스 과정에서 수집되는 고객 데이터까지 공격 가능한 모든 대상을 자산으로 정의해 관리해야 한다”고 말했다. 이어 “자산을 파악한 뒤에는 어떤 위협이 어떤 경로로 노출될 수 있는지 명확히 이해하고, 그에 맞는 보안 전략을 설계해야 한다”고 덧붙였다.

지 CISO는 “토스는 실제로 발생할 수 있는 리스크, 관련 법규, 보안 인증 표준을 기반으로 정책을 만들고, 이를 규정·지침으로 내재화하는 것까지가 기본 단계”라며 “내부·외부 점검에서 나온 문제를 운영 절차에 반영하고, 점검 범위를 넓히며 연 1회·분기 1회 수준인 점검 주기를 더 촘촘하게 줄여야 한다”고 말했다.

그는 “새로운 취약점·공격·방어 기술의 동향을 파악해 내부 자산에 대한 가시성을 확보하고, 솔루션 운영 안정화와 정책 튜닝을 통해 이벤트 신뢰도를 높여야 한다”며 “상용 솔루션으로 해결되지 않는 영역은 자체 기술을 내재화하고, 관리 사각지대까지 대응 범위를 넓히며 위협 식별부터 대응까지 걸리는 시간을 줄이는 것이 중요하다”고 설명했다.

◇ “모범사례 코드 복사로는 조직 보안 지킬 수 없다”

장현호 토스증권 정보보안 매니저는 “기존 보안 체계를 그대로 유지한 채 인프라와 데이터 환경이 급변하는 상황을 버티기 어렵다”고 말했다. 그는 “클라우드·하이브리드로, 연구·개발망까지 포함한 환경 변화가 이어지면서 식별·관리해야 할 대상과 체크리스트 자체를 재설계해야 하는 시점이 왔다”고 설명했다.

그는 “그동안 보안업계는 남들이 만든 모범 사례를 복사하듯 가져와 쓰는 교과서형 접근에 익숙했던 게 사실”이라며 “이제는 각 조직의 환경과 운영 현실에 맞게 설계·운영할 수 있는 도구가 필요하다”고 말했다.

장 매니저는 “원칙은 누구나 이해할 수 있을 만큼 명료해야 하고, 세부 원칙에는 ‘무엇을 어떻게 할지’가 분명히 서술돼야 한다”며 “그 위에 동일 기준으로 반복 측정 가능한 성숙도 지표를 올려야 조직이 실제로 얼마나 개선되고 있는지 확인할 수 있다”고 설명했다.

그는 “서버·DB·네트워크만 나열하는 자산 목록으로는 실제 보호 대상을 제대로 파악하기 어렵다”며 “제로 트러스트 관점에서 자산을 재분류하고, 자동화·수동을 막론하고 ‘최신성이 유지되고 있는지’를 성숙도 평가에 반영해야 한다”고 설명했다. 이어 “보안 솔루션 로그를 그냥 SIEM에 쌓는 것이 아니라, 탐지명을 다듬고 시나리오를 정교화해 이상행위 탐지 속도와 대응 시간을 줄이는 것이 이상적인 체계”라고 덧붙였다.

[스트레이트뉴스 조성진 기자]