’사용은 간편하게 보안은 강력하게’ 토스의 정보보호 방법 공유
토스 가디언즈 콘퍼러스에서 계열사 CISO가 밝히는 ‘토스의 정보보호 방법’
[보안뉴스 박은주 기자] IT 기술을 기반으로 금융 서비스를 제공하는 핀테크 산업이 발전하는 가운데, 국내 최대 핀테크 기업으로 ‘토스(Toss)’가 손꼽힌다. 누적 가입자 수가 약 2,800만명에 달해 국민 2명 중 한 사람은 토스를 사용하는 셈이다. 2013년 비바리퍼블리카 출범 이후 비약적인 성장을 이뤄 2023년 영업수익 1조 3,700억원을 기록하기도 했다.
▲(왼쪽부터) 장세인 CISO, 이종호 보안 리더, 이정하 CISO, 진기언 CISO, 강진희 CISO, 지정호 CISO[사진=보안뉴스]
토스가 이처럼 사랑받는 금융 서비스로 자리 잡을 수 있었던 데에는 수준 높은 정보보호 체계를 기반으로 쌓아온 신뢰가 큰 역할을 했다. 이러한 정보보호 노하우를 공유하고, 업계 전반의 보안 논의를 지속하기 위해 보안 콘퍼런스 ‘가디언즈(Guardians)’를 11월 25일 개최했다.
토스증권 지정호 CISO(정보보호최고책임자)는 토스 계열사의 정보보안을 ‘토스 커뮤니티’라고 소개하며 토스의 전반적인 정보보호에 관해 설명했다.
지 CISO는 “토스는 ‘사용은 간편하게 보안은 강력하게’라는 철학으로 업무하고, 송금·은행·증권 등 다양한 서비스를 제공하며 금융 슈퍼 앱으로 거듭나고 있다”고 설명했다.
그는 “토스는 짧은 시간 동안 보안 관련 혁신을 이뤄왔다”고 말하며 △2020년, 앱 보안 솔루션 고객 토스가드 서비스 출시 △2020년, 금융권 최초 피해 안심 보장제 실시 △2020년, 사기 의심 계좌 사이렌 서비스 제공 △2022년, 피싱앱 자동 탐지 및 차단하는 토스 피싱제로서비스 출시 등에 관해 소개했다.
그는 “이렇듯 안전한 금융 서비스를 만들기 위해서 업계 최고의 인력을 모셔 왔다”고 말하며 “현재 토스 계열사에는 약 120명 정도의 핵심 보안 인력이 근무하고 있다”고 설명했다. 더불어 “계열사에 걸쳐 핵심 기술을 연구하고, 자체적으로 고객 보호를 위한 기술과 정책도 만들어내고 있다”고 밝혔다. 그 예로 이상행위를 감지하는 FDS 악성 앱 탐지 솔루션, 모바일 보안 솔루션 등을 들었다. 이 밖에도 ISO 27001, ISMS-P 등 보안 표준을 모든 계열사에 동일하게 취득해 토스 계열사의 전체적인 보안 수준을 끌어올렸다.
지 CISO는 “토스는 정보보호를 위해 적극적으로 투자를 진행하고 있다”며 “이러한 정보보호 모범 사례를 인정받아 금융보안 사이버 침해 위험 분석 대응 분야에서 4년 연속 우승하기도 했다”고 소개했다.
이처럼 토스 커뮤니티는 정보보호 방안을 공유하며 “같은 정보보호 업계는 정보 공동체라고 생각하고, 공격자와 싸우기 위해 집단 지성을 만들어내는 자리로 이번 콘퍼런스를 마련했다”며 “그동안 토스가 정보보호를 위해 활동한 내용을 허심탄회하게 공유할 테니 많은 정보를 얻는 유익한 시간 보내길 바란다”고 덧붙였다.
▲토스증권 지정호 CISO[사진=보안뉴스]
토스 CISO, 보안 리더가 말하는 토스 정보보호의 방향
토스에서 정보보호를 이끌어가는 계열사 CISO와 보안 리더가 토스 정보보호에 관한 소개하고 앞으로 방향을 제시하는 자리가 마련됐다.
첫 번째로 비바리퍼블리카 장세인 CISO는 “토스가 하는 고민, 기업 보안 담당자분들의 고민은 별반 다르지 않다”며 “저희(비바리퍼블리카)가 정보보호 하던 방식을 소개하고 피드백을 받으며, 서로 고민을 토로하면서 한층 업그레이드할 수 있는 시간이 됐으면 좋겠다”고 말했다.
이어서 토스의 보안 기술 리더이자 정보보안팀인 그린 팀과 퍼플 팀을 이끄는 이종호 리더가 마이크를 잡았다. 이 리더는 “그린팀은 보안 인프라 설계와 운영, 애플리케이션 보안 제품 자체 개발 등을 담당하고, 퍼플팀은 레드(공격)와 블루(수비)의 협업으로 공격자 관점에서 분석해 방어전략을 최적화하는 팀”이라고 설명했다.
그는 “IT 환경이 복잡해짐에 따라 자산을 명확히 식별하고 이를 기반으로 위험 모델을 설계해 우선순위를 정하는 작업을 진행하고 있다”며 “토스 환경에 최적화된 보안방식을 설계하고 구현하는 것을 목표로 한다”고 제언했다.
토스뱅크 이정하 CISO는 “이제는 원칙주의 보안에서 자율규제 보안으로 이동하고 있고, 토스가 자율규제 혹은 자율보안 분야에서 앞장서 모범이 되고자 한다”며 “토스 계열사를 비롯해 정보보안 업무를 하는 보안 종사자들끼리 정보를 공유하며 시너지가 날 수 있었으면 좋겠다”고 밝혔다.
토스페이먼츠 진기언 CISO는 “페이먼츠 역시 획일적인 보안이 아닌 영역별로 점수를 매기고 리스크에 따른 보안을 유지하고자 노력하고 있다”며 “리스크 모델링을 활용해 보안 체계를 만들어가는 과정을 공유하고, 다양한 의견을 들으며 부족한 점을 보완하고자 한다”고 말했다.
토스모바일 강진희 CISO는 “토스모바일에서 제공하는 통신 서비스 역시 금융처럼 안전하고 편리하게 제공하고자 노력하고 있다”며 “금융, 통신, 이커머스 등 다양한 분야의 정보보호 전문가들과 협력해 더욱 발전된 정보보호 업무를 수행할 것”이라고 밝혔다.
[박은주 기자(boan5@boannews.com)]
토스 가디언즈 콘퍼러스에서 계열사 CISO가 밝히는 ‘토스의 정보보호 방법’
[보안뉴스 박은주 기자] IT 기술을 기반으로 금융 서비스를 제공하는 핀테크 산업이 발전하는 가운데, 국내 최대 핀테크 기업으로 ‘토스(Toss)’가 손꼽힌다. 누적 가입자 수가 약 2,800만명에 달해 국민 2명 중 한 사람은 토스를 사용하는 셈이다. 2013년 비바리퍼블리카 출범 이후 비약적인 성장을 이뤄 2023년 영업수익 1조 3,700억원을 기록하기도 했다.
▲(왼쪽부터) 장세인 CISO, 이종호 보안 리더, 이정하 CISO, 진기언 CISO, 강진희 CISO, 지정호 CISO[사진=보안뉴스]
토스가 이처럼 사랑받는 금융 서비스로 자리 잡을 수 있었던 데에는 수준 높은 정보보호 체계를 기반으로 쌓아온 신뢰가 큰 역할을 했다. 이러한 정보보호 노하우를 공유하고, 업계 전반의 보안 논의를 지속하기 위해 보안 콘퍼런스 ‘가디언즈(Guardians)’를 11월 25일 개최했다.
토스증권 지정호 CISO(정보보호최고책임자)는 토스 계열사의 정보보안을 ‘토스 커뮤니티’라고 소개하며 토스의 전반적인 정보보호에 관해 설명했다.
지 CISO는 “토스는 ‘사용은 간편하게 보안은 강력하게’라는 철학으로 업무하고, 송금·은행·증권 등 다양한 서비스를 제공하며 금융 슈퍼 앱으로 거듭나고 있다”고 설명했다.
그는 “토스는 짧은 시간 동안 보안 관련 혁신을 이뤄왔다”고 말하며 △2020년, 앱 보안 솔루션 고객 토스가드 서비스 출시 △2020년, 금융권 최초 피해 안심 보장제 실시 △2020년, 사기 의심 계좌 사이렌 서비스 제공 △2022년, 피싱앱 자동 탐지 및 차단하는 토스 피싱제로서비스 출시 등에 관해 소개했다.
그는 “이렇듯 안전한 금융 서비스를 만들기 위해서 업계 최고의 인력을 모셔 왔다”고 말하며 “현재 토스 계열사에는 약 120명 정도의 핵심 보안 인력이 근무하고 있다”고 설명했다. 더불어 “계열사에 걸쳐 핵심 기술을 연구하고, 자체적으로 고객 보호를 위한 기술과 정책도 만들어내고 있다”고 밝혔다. 그 예로 이상행위를 감지하는 FDS 악성 앱 탐지 솔루션, 모바일 보안 솔루션 등을 들었다. 이 밖에도 ISO 27001, ISMS-P 등 보안 표준을 모든 계열사에 동일하게 취득해 토스 계열사의 전체적인 보안 수준을 끌어올렸다.
지 CISO는 “토스는 정보보호를 위해 적극적으로 투자를 진행하고 있다”며 “이러한 정보보호 모범 사례를 인정받아 금융보안 사이버 침해 위험 분석 대응 분야에서 4년 연속 우승하기도 했다”고 소개했다.
이처럼 토스 커뮤니티는 정보보호 방안을 공유하며 “같은 정보보호 업계는 정보 공동체라고 생각하고, 공격자와 싸우기 위해 집단 지성을 만들어내는 자리로 이번 콘퍼런스를 마련했다”며 “그동안 토스가 정보보호를 위해 활동한 내용을 허심탄회하게 공유할 테니 많은 정보를 얻는 유익한 시간 보내길 바란다”고 덧붙였다.
▲토스증권 지정호 CISO[사진=보안뉴스]
토스 CISO, 보안 리더가 말하는 토스 정보보호의 방향
토스에서 정보보호를 이끌어가는 계열사 CISO와 보안 리더가 토스 정보보호에 관한 소개하고 앞으로 방향을 제시하는 자리가 마련됐다.
첫 번째로 비바리퍼블리카 장세인 CISO는 “토스가 하는 고민, 기업 보안 담당자분들의 고민은 별반 다르지 않다”며 “저희(비바리퍼블리카)가 정보보호 하던 방식을 소개하고 피드백을 받으며, 서로 고민을 토로하면서 한층 업그레이드할 수 있는 시간이 됐으면 좋겠다”고 말했다.
이어서 토스의 보안 기술 리더이자 정보보안팀인 그린 팀과 퍼플 팀을 이끄는 이종호 리더가 마이크를 잡았다. 이 리더는 “그린팀은 보안 인프라 설계와 운영, 애플리케이션 보안 제품 자체 개발 등을 담당하고, 퍼플팀은 레드(공격)와 블루(수비)의 협업으로 공격자 관점에서 분석해 방어전략을 최적화하는 팀”이라고 설명했다.
그는 “IT 환경이 복잡해짐에 따라 자산을 명확히 식별하고 이를 기반으로 위험 모델을 설계해 우선순위를 정하는 작업을 진행하고 있다”며 “토스 환경에 최적화된 보안방식을 설계하고 구현하는 것을 목표로 한다”고 제언했다.
토스뱅크 이정하 CISO는 “이제는 원칙주의 보안에서 자율규제 보안으로 이동하고 있고, 토스가 자율규제 혹은 자율보안 분야에서 앞장서 모범이 되고자 한다”며 “토스 계열사를 비롯해 정보보안 업무를 하는 보안 종사자들끼리 정보를 공유하며 시너지가 날 수 있었으면 좋겠다”고 밝혔다.
토스페이먼츠 진기언 CISO는 “페이먼츠 역시 획일적인 보안이 아닌 영역별로 점수를 매기고 리스크에 따른 보안을 유지하고자 노력하고 있다”며 “리스크 모델링을 활용해 보안 체계를 만들어가는 과정을 공유하고, 다양한 의견을 들으며 부족한 점을 보완하고자 한다”고 말했다.
토스모바일 강진희 CISO는 “토스모바일에서 제공하는 통신 서비스 역시 금융처럼 안전하고 편리하게 제공하고자 노력하고 있다”며 “금융, 통신, 이커머스 등 다양한 분야의 정보보호 전문가들과 협력해 더욱 발전된 정보보호 업무를 수행할 것”이라고 밝혔다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
