단순 통제 벗어나 비즈니스 조력자로... 이해관계자 설득하는 ‘소프트 스킬’ 필수
개발 단계부터 보안 내재화하는 ‘시프트 레프트(Shift-Left)’, 구성원 공감대 형성이 먼저
브라우저·앱·CLI 아우른 모니터링으로 AI 환경의 유연성과 안전성 동시 확보
[보안뉴스 조재호 기자] “보안팀은 회사의 ‘얼굴’이라기보다 ‘허리’에 가까운 조직입니다. 허리가 무너지면 몸 전체 균형이 무너지듯이, 보안은 전면에 드러나기보다는 조직 전체가 안정적으로 움직이도록 중심을 잡는 역할을 합니다. 보안의 완성은 고도화된 기술이 아니라, 구성원들과 합의점을 찾아가는 ‘소통’에 있습니다.”
▲장현호 토스증권 정보보호정책 매니저 [출처: 보안뉴스]
장현호 토스증권 정보보호정책 매니저는 첨단 보안 솔루션 도입이나 복잡한 아키텍처 설계의 중요성을 말하기에 앞서, 사람과 사람을 잇는 소통 능력을 보안 실무자가 갖춰야 할 미덕으로 꼽았다.
그는 한국인터넷진흥원(KISA)이 주관하는 차세대 보안 리더 양성 과정(BoB)과 화이트햇 스쿨 등에서 후학을 양성하는 멘토로 활약하며, 통제와 규제 준수에 갇혀 있는 금융보안 관습을 개선하고 있다.
수백만명의 투자 자산과 AI 서비스 혁신이 실시간 교차하는 ‘토스증권’의 보안 최전선에서, 장 매니저는 비즈니스를 위한 방벽을 세우는 대신 철저한 데이터 모니터링과 유연한 가드레일을 제시하며 핀테크 플랫폼의 뼈대를 다시 세우고 있다.
보안의 마스터키는 완벽한 아키텍처 아닌 ‘소프트 스킬’
장 매니저는 보안 실무에 있어 ‘소통 역량’(Soft Skill)을 최우선 기준으로 삼았다. 견고하고 잘 짜인 보안 아키텍처를 설계하고 구현하는 것으로 일이 끝나지 않기 때문이다. 사내 다양한 이해관계자들이 보안 정책의 필요성을 명확히 이해하고, 이를 실제 업무에 자발적으로 실행하도록 하는 설득 과정이 더 중요하기 때문이다.
아무리 선진적이고 뛰어난 보안 정책이라도 내부 구성원의 공감대를 얻지 못하면 거추장스러운 장애물이나 무용지물이 되기 십상이다. 장 매니저 역시 입사부터 이러한 소통 역량을 긍정적으로 평가받았고, 현장에서도 부서 간 이견 조율과 합의점 도출에 가장 많은 에너지를 쏟고 있다.
장 매니저는 “맞춤형 보안은 보안팀 혼자 짊어지는 역할이 아니라, 조직 문화가 함께 만들어가는 결과물” 이라며 고도화되는 금융 IT 환경에서 보안의 성패는 전사적 인식과 문화 형성에 달려 있음을 강조했다.
‘시프트 레프트’(Shift-Left)와 개발 문화의 유기적 융합
속도가 생명인 IT 업계에서 개발과 보안의 충돌은 오랜 딜레마다. 토스증권은 이를 단일 부서의 임무로 남겨두지 않고, 모든 구성원이 필수적으로 공유해야 할 ‘마인드셋’으로 정의하며 근본적인 체질 개선에 나섰다.
최근 글로벌 보안 업계의 화두인 ‘보안 내재화’(Secure by Design)를 애자일(Agile)한 핀테크 개발 환경에 적용하는 것은 험난한 과제다. 이에 회사는 지속적 통합 및 배포(CI/CD) 파이프라인 안에 취약점을 사전에 잡아내는 ‘시프트 레프트’(Shift-Left) 방식을 적극 추진해 현실적 해법을 찾고 있다.
이 과정에서 개발자들이 보안 프로세스를 단순히 귀찮은 허들로 느끼지 않도록, 개발 방향성을 명확히 제시하고 강력한 동기를 부여하는데 보안팀의 능동적 커뮤니케이션이 구심점 역할을 맡는다.
▲장현호 토스증권 정보보호정책 매니저 [출처: 보안뉴스]
핀테크 최전선의 AI 보안, ‘통제와 유연성’ 사이 황금 비율은?
대형언어모델(LLM)을 비롯해 AI 서비스 도입이 늘어나면서 핀테크 보안팀의 고민도 한층 깊어졌다. 그는 “금융회사 특성상 보안에는 ‘명확한 오답’이 존재하지만, AI 보안에 대해서는 아직 정답이 정립되어 있지 않다”며 “무작정 신기술을 차단하기보다는 규제 범위 내에서 최대한 유연하게 AI를 활용할 수 있는 환경을 만들기 위해 끊임없이 논의하고 개선하는 중”이라고 밝혔다.
이들이 AI 보안에서 핵심으로 꼽는 요소는 ‘데이터와 모니터링’이다. 어떤 데이터를 활용하느냐에 따라 비식별화·익명화 혹은 강력한 가드레일을 적용하며, 데이터가 저장되는 리전과 연계될 외부 서비스 구조를 판단해 종합적 적합성을 평가한다.
특히 가시성 확보를 위해 LLM 사용 환경을 브라우저와 애플리케이션, 명령어 인터페이스(CLI) 세 가지로 구분해 탐지 커버리지를 점검하고 있다. 컴플라이언스 API로 덮을 수 없는 영역은 오픈텔레메트리(Otel)와 같은 오픈소스를 적극 활용해 식별하고, 추적 가능성을 확보하는 등 철저히 사용자 ‘행위’ 기반으로 부적절한 접근을 솎아내는 입체적 검증 체계 구축에 집중하고 있다.
보안팀을 아우르는 ‘워크 앤 하모니’ 리더십
쉴틈 없이 돌아가는 금융보안의 최전선에서 팀원들의 심리적 번아웃을 막고 조직을 건강하게 이끌기 위한 리더십도 ‘소통’에서 출발한다. 토스증권 보안팀은 실전 경험이 풍부한 시니어 비중이 높은 편이다. 따라서 단순한 외적 팽창보다 ‘워크 앤 하모니’(Work & Harmony)를 유지하며 지속 가능한 컨디션을 관리할 업무 환경 조성이 필수다.
장 매니저는 무엇보다 자기 신체적, 심리적 상태를 솔직하게 표현할 수 있는 문화를 조직 운영의 핵심으로 꼽았다. 그는 “바쁜 환경일수록 무리하기 쉽지만, 자신의 상태를 솔직하게 표현하고 ‘아플 때 아프다고 말할 수 있는 문화’가 조직의 지속 가능성을 만든다” 고 말했다.
이러한 철학은 업무 강도와 리듬을 조율하며 일했던 긍정적 경험을 바탕으로, 구성원의 숙련도에 맞춘 리더십으로 발전하고 있다. 최근 합류한 신입에겐 사수로서 명확한 목표와 기대치를 충분히 이해시키는 데 긴 시간을 쏟는다. 반면, 업무 숙련도가 궤도에 오른 시니어들에게는 불필요한 간섭을 줄이고 업무에 몰입할 수 있는 독립적 환경을 열어주는 맞춤형 소통에 신경을 쓴다.
장 매니저는 “대고객 서비스는 단순한 체크리스트 점검을 넘어, 외부 공격자와 사용자 관점에서 발생할 수 있는 리스크까지 다각도로 꼼꼼하게 검토돼야 세상에 나올 수 있다”며 “보이지 않는 곳에서 지속적 모니터링 체계를 가동하며 단단하게 중심을 잡는 것, 그 기반 위에서 전 임직원이 하나 되어 만들어 가는 ‘고객의 신뢰’가 보안팀이 지켜야 할 궁극적 비전”이라고 말했다.
[조재호 기자(zephyr@boannews.com)]
개발 단계부터 보안 내재화하는 ‘시프트 레프트(Shift-Left)’, 구성원 공감대 형성이 먼저
브라우저·앱·CLI 아우른 모니터링으로 AI 환경의 유연성과 안전성 동시 확보
[보안뉴스 조재호 기자] “보안팀은 회사의 ‘얼굴’이라기보다 ‘허리’에 가까운 조직입니다. 허리가 무너지면 몸 전체 균형이 무너지듯이, 보안은 전면에 드러나기보다는 조직 전체가 안정적으로 움직이도록 중심을 잡는 역할을 합니다. 보안의 완성은 고도화된 기술이 아니라, 구성원들과 합의점을 찾아가는 ‘소통’에 있습니다.”
▲장현호 토스증권 정보보호정책 매니저 [출처: 보안뉴스]
장현호 토스증권 정보보호정책 매니저는 첨단 보안 솔루션 도입이나 복잡한 아키텍처 설계의 중요성을 말하기에 앞서, 사람과 사람을 잇는 소통 능력을 보안 실무자가 갖춰야 할 미덕으로 꼽았다.
그는 한국인터넷진흥원(KISA)이 주관하는 차세대 보안 리더 양성 과정(BoB)과 화이트햇 스쿨 등에서 후학을 양성하는 멘토로 활약하며, 통제와 규제 준수에 갇혀 있는 금융보안 관습을 개선하고 있다.
수백만명의 투자 자산과 AI 서비스 혁신이 실시간 교차하는 ‘토스증권’의 보안 최전선에서, 장 매니저는 비즈니스를 위한 방벽을 세우는 대신 철저한 데이터 모니터링과 유연한 가드레일을 제시하며 핀테크 플랫폼의 뼈대를 다시 세우고 있다.
보안의 마스터키는 완벽한 아키텍처 아닌 ‘소프트 스킬’
장 매니저는 보안 실무에 있어 ‘소통 역량’(Soft Skill)을 최우선 기준으로 삼았다. 견고하고 잘 짜인 보안 아키텍처를 설계하고 구현하는 것으로 일이 끝나지 않기 때문이다. 사내 다양한 이해관계자들이 보안 정책의 필요성을 명확히 이해하고, 이를 실제 업무에 자발적으로 실행하도록 하는 설득 과정이 더 중요하기 때문이다.
아무리 선진적이고 뛰어난 보안 정책이라도 내부 구성원의 공감대를 얻지 못하면 거추장스러운 장애물이나 무용지물이 되기 십상이다. 장 매니저 역시 입사부터 이러한 소통 역량을 긍정적으로 평가받았고, 현장에서도 부서 간 이견 조율과 합의점 도출에 가장 많은 에너지를 쏟고 있다.
장 매니저는 “맞춤형 보안은 보안팀 혼자 짊어지는 역할이 아니라, 조직 문화가 함께 만들어가는 결과물” 이라며 고도화되는 금융 IT 환경에서 보안의 성패는 전사적 인식과 문화 형성에 달려 있음을 강조했다.
‘시프트 레프트’(Shift-Left)와 개발 문화의 유기적 융합
속도가 생명인 IT 업계에서 개발과 보안의 충돌은 오랜 딜레마다. 토스증권은 이를 단일 부서의 임무로 남겨두지 않고, 모든 구성원이 필수적으로 공유해야 할 ‘마인드셋’으로 정의하며 근본적인 체질 개선에 나섰다.
최근 글로벌 보안 업계의 화두인 ‘보안 내재화’(Secure by Design)를 애자일(Agile)한 핀테크 개발 환경에 적용하는 것은 험난한 과제다. 이에 회사는 지속적 통합 및 배포(CI/CD) 파이프라인 안에 취약점을 사전에 잡아내는 ‘시프트 레프트’(Shift-Left) 방식을 적극 추진해 현실적 해법을 찾고 있다.
이 과정에서 개발자들이 보안 프로세스를 단순히 귀찮은 허들로 느끼지 않도록, 개발 방향성을 명확히 제시하고 강력한 동기를 부여하는데 보안팀의 능동적 커뮤니케이션이 구심점 역할을 맡는다.
▲장현호 토스증권 정보보호정책 매니저 [출처: 보안뉴스]
핀테크 최전선의 AI 보안, ‘통제와 유연성’ 사이 황금 비율은?
대형언어모델(LLM)을 비롯해 AI 서비스 도입이 늘어나면서 핀테크 보안팀의 고민도 한층 깊어졌다. 그는 “금융회사 특성상 보안에는 ‘명확한 오답’이 존재하지만, AI 보안에 대해서는 아직 정답이 정립되어 있지 않다”며 “무작정 신기술을 차단하기보다는 규제 범위 내에서 최대한 유연하게 AI를 활용할 수 있는 환경을 만들기 위해 끊임없이 논의하고 개선하는 중”이라고 밝혔다.
이들이 AI 보안에서 핵심으로 꼽는 요소는 ‘데이터와 모니터링’이다. 어떤 데이터를 활용하느냐에 따라 비식별화·익명화 혹은 강력한 가드레일을 적용하며, 데이터가 저장되는 리전과 연계될 외부 서비스 구조를 판단해 종합적 적합성을 평가한다.
특히 가시성 확보를 위해 LLM 사용 환경을 브라우저와 애플리케이션, 명령어 인터페이스(CLI) 세 가지로 구분해 탐지 커버리지를 점검하고 있다. 컴플라이언스 API로 덮을 수 없는 영역은 오픈텔레메트리(Otel)와 같은 오픈소스를 적극 활용해 식별하고, 추적 가능성을 확보하는 등 철저히 사용자 ‘행위’ 기반으로 부적절한 접근을 솎아내는 입체적 검증 체계 구축에 집중하고 있다.
보안팀을 아우르는 ‘워크 앤 하모니’ 리더십
쉴틈 없이 돌아가는 금융보안의 최전선에서 팀원들의 심리적 번아웃을 막고 조직을 건강하게 이끌기 위한 리더십도 ‘소통’에서 출발한다. 토스증권 보안팀은 실전 경험이 풍부한 시니어 비중이 높은 편이다. 따라서 단순한 외적 팽창보다 ‘워크 앤 하모니’(Work & Harmony)를 유지하며 지속 가능한 컨디션을 관리할 업무 환경 조성이 필수다.
장 매니저는 무엇보다 자기 신체적, 심리적 상태를 솔직하게 표현할 수 있는 문화를 조직 운영의 핵심으로 꼽았다. 그는 “바쁜 환경일수록 무리하기 쉽지만, 자신의 상태를 솔직하게 표현하고 ‘아플 때 아프다고 말할 수 있는 문화’가 조직의 지속 가능성을 만든다” 고 말했다.
이러한 철학은 업무 강도와 리듬을 조율하며 일했던 긍정적 경험을 바탕으로, 구성원의 숙련도에 맞춘 리더십으로 발전하고 있다. 최근 합류한 신입에겐 사수로서 명확한 목표와 기대치를 충분히 이해시키는 데 긴 시간을 쏟는다. 반면, 업무 숙련도가 궤도에 오른 시니어들에게는 불필요한 간섭을 줄이고 업무에 몰입할 수 있는 독립적 환경을 열어주는 맞춤형 소통에 신경을 쓴다.
장 매니저는 “대고객 서비스는 단순한 체크리스트 점검을 넘어, 외부 공격자와 사용자 관점에서 발생할 수 있는 리스크까지 다각도로 꼼꼼하게 검토돼야 세상에 나올 수 있다”며 “보이지 않는 곳에서 지속적 모니터링 체계를 가동하며 단단하게 중심을 잡는 것, 그 기반 위에서 전 임직원이 하나 되어 만들어 가는 ‘고객의 신뢰’가 보안팀이 지켜야 할 궁극적 비전”이라고 말했다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
