[3줄 요약]
1. 토스페이먼츠, PQC 도입·IT 대비 보안 인력-예산 10% 이상
2. “선제적 자율 보안, 기업 문화와 IT 부서 적극 협업 덕 ”
3. 민-관 아우르는 역량 ‘소통’ 에 활용
[보안뉴스 강현주 기자] 사이버안보비서관에서 기업으로 돌아온 신용석 정보보호최고책임자(CISO)는 이제 민간 영역에서 어떤 변화를 이끌고 있을까?
그가 CISO를 맡은 토스페이먼츠는 10년 앞서 양자내성암호(PQC)를 도입하고, 업계 최상위 보안 투자를 단행하는 등 강도 높은 자율보안을 ‘실천’하고 있다.
민관을 아우르는 보안 전문가로 평가받는 신용석 CISO를 만나 복귀 이후 그의 9개월을 되짚어 봤다. 특히 토스 전사적으로 추구하는 ‘선제적 자율보안’을 토스페이먼츠가 어떻게 구현하고 있는지 들을 수 있었다.
신용석 CISO는 한국마이크로소프트, 넥슨코리아를 거쳐 비바리퍼블리카(토스) 초기 보안팀 1호 멤버라는 이력을 가졌다. 또 청와대 정보보안팀장과 국가안보실 사이버안보비서관을 역임했다. 지난해 9월 토스의 전자지급결제대행(PG)사인 토스페이먼츠로 복귀했다.
민간으로 돌아온 그는 현장 목소리를 전하기 위해 한국CISO협의회, 한국CPO협의회 에서 임원으로 활동하며 정책 제언 앞장서고 있다.
▲신용석 토스페이먼츠 CISO [출처: 토스페이먼츠]
“10년 앞선 PQC 도입... 가맹점 설득한 기술지원팀 빛나”
토스페이먼츠는 최근 정부가 수립한 양자내성암호(PQC) 마스터플랜의 목표 시점인 2035년보다 무려 10년 앞서 선제적으로 PQC를 도입해 이목을 끌었다.
미국 표준기술연구소(NIST)가 표준으로 선정한 ML-KEM 기반 하이브리드 키 교환 방식 알고리즘을 고객 서비스와 연결된 전체 웹과 API 서비스에 전면 적용했다. 단말과 통신 구간, 서버 등 서비스가 이뤄지는 전 구간이 대상이었다. 하이브리드 방식을 통해 기존 암호화 방식과 양자내성 알고리즘을 동시에 지원한다.
신 CISO는 “평소 마음에 품어 온 말이 ‘언젠가 해야 될 일이면 지금 하고, 누군가 해야 될 일이면 내가 하고, 어차피 해야 될 일이면 최선을 다하자’인데, 이게 PQC 도입을 결심할 때 딱 들어맞는 얘기였다”며 “구글 등 글로벌 연구에 따르면 기존 암호체계가 와해되는 시점이 예상보다 빠른 2029년이 될 수 있다는 경고가 나오고, ‘선수집 후해독’(HNDL)의 위험도 잠재된 만큼 지금 바로 준비해나가는 것이 옳다는 판단이었다”고 밝혔다.
토스페이먼츠는 PQC 연동을 위해, 인터넷 상에 데이터를 보낼 때 암호화를 하는 보안 프로토콜인 전송계층보안(TLS)를 1.2버전에서 1.3으로 업그레이드 하는 작업을 선행했다. 이에 대해 신 CISO는 기술지원팀에 공을 돌렸다.
신 CISO는 “TLS 1.2에서 1.3으로의 전환은 의무가 아닌데, 1.3으로 올려놔야지만 PQC 도입이 가능하다”며 “의무 사항이 아닌 업그레이드는 쉬운 결정이 아닌데, 수많은 가맹점들과 소통하며 TLS 1.3으로의 전환을 설득해 낸 기술 지원팀의 공로가 매우 크다”고 말했다.
▲신용석 토스페이먼츠 CISO가 <보안뉴스>와 인터뷰하고 있다. [출처: 토스페이먼츠]
10%넘는 보안 투자·CVD/VDP 참여 등 의무 넘는 자율보안 지속
지난해 9월 신 CISO 합류 이후 토스페이먼츠의 전체 IT 인력 대비 보안 인력 비중은 처음으로 10%를 돌파해 11.7%를 기록했다. IT 투자액 대비 보안 투자 비율 역시 10.8%로, 3년 연속 10% 이상을 기록하며 업계 최상위권을 유지하고 있다. 또 정부의 정책 기조에 발맞춰 올해 처음으로 이사회 대면 보고를 진행했다.
민간 기업에서는 드문 자발적 개인정보영향평가(PIA)도 완료했다. 정부가 주관하는 ‘선제적 보안’의 대표적인 예인 ‘보안 취약점 신고·조치·공개 제도’(CVD/VDP) 시범사업’에 민간 7개 기업 중 하나로 참여하고 있다. 조만간 개인정보보호위원회의 소프트웨어 분야 ‘개인정보 중심 설계(PBD)’ 인증도 신청해 선도적 사례를 만들 계획이다.
이처럼 규제와 의무를 훌쩍 뛰어넘는 자율보안을 선제적으로 실천할 수 있는 비결에 대해 신 CISO는 토스의 기업 문화와 IT 부서의 적극적인 협력을 내세운다.
그는 “토스 전체의 핵심 가치는 ‘더 높은 목표를 갖고 스스로를 자극하는 것’과 ‘신속하게 실행하는 것’으로, 이 일하는 문화가 보안 영역에도 그대로 스며들어 선제적 자율보안의 원동력이 된다”며 “특히 IT 부서의 적극적인 협력이 큰 힘”이라고 말했다.
이어 “보안팀이 정책을 제시하면 IT 부서와 갈등이 생기거나 인프라 작업 단계에서 지연되는 기업들이 다수인데, 토스페이먼츠 IT 부서는 자발적으로 일정을 앞당기며 적극 협력해준다”며 “PQC 도입 역시 이러한 협력에 힘입은 결과”라고 밝혔다.
“미토스 충격? 패배주의 안돼... 보안팀 번아웃 막아야”
신 CISO는 “글로벌 결제카드 데이터 보안 인증인 PCI-DSS가 요구하는 연 4회 취약점 스캔을 넘어 월 1회로 단축하기로 했다”며 “이는 점점 현실화 되는 AI 위협에 대응하기 위해 자율적으로 점검 주기를 3배속으로 높인 것”이라고 말했다.
최근 ‘미토스’로 불거진 AI 위협에 대해신 CISO는 패배주의와 보안팀 번아웃을 경계해야 한다고 조언했다.
신 CISO는 “AI로 인해 다 뚫린다는 식의 패배주의는 안되고, 충분히 막을 수 있다”며 “다만 취약점이 쏟아지는 속도가 상상을 초월하게 되는 만큼 방어자가 아주 힘들어질 것”이라고 지적했다. 그는 “클라우드 시큐리티 얼라이언스(CSA)에서도 AI 시대 우려 사항으로 ‘보안팀의 과로와 탈진’을 꼽았다”며 “폭증하는 취약점 공격에 대응하다 보안팀과 IT팀이 쓰러지면 결국 대응 실패로 이어진다”고 강조햇다.
“민-관 소통에 적극적으로 힘 보탤 것”
정부에서 민간으로 돌아온 신 CISO는 “사이버안보비서관으로 일할 때 민간 CISO들로부터 현장의 목소리를 많이 들으려고 노력했었다”며 “민간으로 돌아온 현재는 정부 부처가 현장의 목소리를 듣고자 할 때마다 적극적으로 의견을 내고 있다”고 말했다.
이어 “정부의 정책과 민간기업의 노력이 한 방향으로 모아질 수 있도록 이러한 소통에 힘을 보태고자 한다”며 “한국CISO협의회, 한국CPO(개인정보보호책임자)협의회에서 임원으로 활동하는 것이 그러한 노력의 일환”이라고 밝혔다.
하루가 멀다하고 줄줄이 터지는 사고, 이제는 해킹이 일상화된 ‘해킹 뉴노멀’이다. 기업도 정부도 언제 누가 타깃이 될지 모른다. <보안뉴스>는 이제 해킹을 ‘뉴노멀’로 받아들이고 바뀐 시대에 맞는 보안 패러다임을 이끌어갈 리더들을 차례로 만나보는 인터뷰 시리즈 ‘해킹 뉴노멀’을 연재한다. [편집자주]
[강현주 기자(jjoo@boannews.com)]
1. 토스페이먼츠, PQC 도입·IT 대비 보안 인력-예산 10% 이상
2. “선제적 자율 보안, 기업 문화와 IT 부서 적극 협업 덕 ”
3. 민-관 아우르는 역량 ‘소통’ 에 활용
[보안뉴스 강현주 기자] 사이버안보비서관에서 기업으로 돌아온 신용석 정보보호최고책임자(CISO)는 이제 민간 영역에서 어떤 변화를 이끌고 있을까?
그가 CISO를 맡은 토스페이먼츠는 10년 앞서 양자내성암호(PQC)를 도입하고, 업계 최상위 보안 투자를 단행하는 등 강도 높은 자율보안을 ‘실천’하고 있다.
민관을 아우르는 보안 전문가로 평가받는 신용석 CISO를 만나 복귀 이후 그의 9개월을 되짚어 봤다. 특히 토스 전사적으로 추구하는 ‘선제적 자율보안’을 토스페이먼츠가 어떻게 구현하고 있는지 들을 수 있었다.
신용석 CISO는 한국마이크로소프트, 넥슨코리아를 거쳐 비바리퍼블리카(토스) 초기 보안팀 1호 멤버라는 이력을 가졌다. 또 청와대 정보보안팀장과 국가안보실 사이버안보비서관을 역임했다. 지난해 9월 토스의 전자지급결제대행(PG)사인 토스페이먼츠로 복귀했다.
민간으로 돌아온 그는 현장 목소리를 전하기 위해 한국CISO협의회, 한국CPO협의회 에서 임원으로 활동하며 정책 제언 앞장서고 있다.
▲신용석 토스페이먼츠 CISO [출처: 토스페이먼츠]
“10년 앞선 PQC 도입... 가맹점 설득한 기술지원팀 빛나”
토스페이먼츠는 최근 정부가 수립한 양자내성암호(PQC) 마스터플랜의 목표 시점인 2035년보다 무려 10년 앞서 선제적으로 PQC를 도입해 이목을 끌었다.
미국 표준기술연구소(NIST)가 표준으로 선정한 ML-KEM 기반 하이브리드 키 교환 방식 알고리즘을 고객 서비스와 연결된 전체 웹과 API 서비스에 전면 적용했다. 단말과 통신 구간, 서버 등 서비스가 이뤄지는 전 구간이 대상이었다. 하이브리드 방식을 통해 기존 암호화 방식과 양자내성 알고리즘을 동시에 지원한다.
신 CISO는 “평소 마음에 품어 온 말이 ‘언젠가 해야 될 일이면 지금 하고, 누군가 해야 될 일이면 내가 하고, 어차피 해야 될 일이면 최선을 다하자’인데, 이게 PQC 도입을 결심할 때 딱 들어맞는 얘기였다”며 “구글 등 글로벌 연구에 따르면 기존 암호체계가 와해되는 시점이 예상보다 빠른 2029년이 될 수 있다는 경고가 나오고, ‘선수집 후해독’(HNDL)의 위험도 잠재된 만큼 지금 바로 준비해나가는 것이 옳다는 판단이었다”고 밝혔다.
토스페이먼츠는 PQC 연동을 위해, 인터넷 상에 데이터를 보낼 때 암호화를 하는 보안 프로토콜인 전송계층보안(TLS)를 1.2버전에서 1.3으로 업그레이드 하는 작업을 선행했다. 이에 대해 신 CISO는 기술지원팀에 공을 돌렸다.
신 CISO는 “TLS 1.2에서 1.3으로의 전환은 의무가 아닌데, 1.3으로 올려놔야지만 PQC 도입이 가능하다”며 “의무 사항이 아닌 업그레이드는 쉬운 결정이 아닌데, 수많은 가맹점들과 소통하며 TLS 1.3으로의 전환을 설득해 낸 기술 지원팀의 공로가 매우 크다”고 말했다.
▲신용석 토스페이먼츠 CISO가 <보안뉴스>와 인터뷰하고 있다. [출처: 토스페이먼츠]
10%넘는 보안 투자·CVD/VDP 참여 등 의무 넘는 자율보안 지속
지난해 9월 신 CISO 합류 이후 토스페이먼츠의 전체 IT 인력 대비 보안 인력 비중은 처음으로 10%를 돌파해 11.7%를 기록했다. IT 투자액 대비 보안 투자 비율 역시 10.8%로, 3년 연속 10% 이상을 기록하며 업계 최상위권을 유지하고 있다. 또 정부의 정책 기조에 발맞춰 올해 처음으로 이사회 대면 보고를 진행했다.
민간 기업에서는 드문 자발적 개인정보영향평가(PIA)도 완료했다. 정부가 주관하는 ‘선제적 보안’의 대표적인 예인 ‘보안 취약점 신고·조치·공개 제도’(CVD/VDP) 시범사업’에 민간 7개 기업 중 하나로 참여하고 있다. 조만간 개인정보보호위원회의 소프트웨어 분야 ‘개인정보 중심 설계(PBD)’ 인증도 신청해 선도적 사례를 만들 계획이다.
이처럼 규제와 의무를 훌쩍 뛰어넘는 자율보안을 선제적으로 실천할 수 있는 비결에 대해 신 CISO는 토스의 기업 문화와 IT 부서의 적극적인 협력을 내세운다.
그는 “토스 전체의 핵심 가치는 ‘더 높은 목표를 갖고 스스로를 자극하는 것’과 ‘신속하게 실행하는 것’으로, 이 일하는 문화가 보안 영역에도 그대로 스며들어 선제적 자율보안의 원동력이 된다”며 “특히 IT 부서의 적극적인 협력이 큰 힘”이라고 말했다.
이어 “보안팀이 정책을 제시하면 IT 부서와 갈등이 생기거나 인프라 작업 단계에서 지연되는 기업들이 다수인데, 토스페이먼츠 IT 부서는 자발적으로 일정을 앞당기며 적극 협력해준다”며 “PQC 도입 역시 이러한 협력에 힘입은 결과”라고 밝혔다.
“미토스 충격? 패배주의 안돼... 보안팀 번아웃 막아야”
신 CISO는 “글로벌 결제카드 데이터 보안 인증인 PCI-DSS가 요구하는 연 4회 취약점 스캔을 넘어 월 1회로 단축하기로 했다”며 “이는 점점 현실화 되는 AI 위협에 대응하기 위해 자율적으로 점검 주기를 3배속으로 높인 것”이라고 말했다.
최근 ‘미토스’로 불거진 AI 위협에 대해신 CISO는 패배주의와 보안팀 번아웃을 경계해야 한다고 조언했다.
신 CISO는 “AI로 인해 다 뚫린다는 식의 패배주의는 안되고, 충분히 막을 수 있다”며 “다만 취약점이 쏟아지는 속도가 상상을 초월하게 되는 만큼 방어자가 아주 힘들어질 것”이라고 지적했다. 그는 “클라우드 시큐리티 얼라이언스(CSA)에서도 AI 시대 우려 사항으로 ‘보안팀의 과로와 탈진’을 꼽았다”며 “폭증하는 취약점 공격에 대응하다 보안팀과 IT팀이 쓰러지면 결국 대응 실패로 이어진다”고 강조햇다.
“민-관 소통에 적극적으로 힘 보탤 것”
정부에서 민간으로 돌아온 신 CISO는 “사이버안보비서관으로 일할 때 민간 CISO들로부터 현장의 목소리를 많이 들으려고 노력했었다”며 “민간으로 돌아온 현재는 정부 부처가 현장의 목소리를 듣고자 할 때마다 적극적으로 의견을 내고 있다”고 말했다.
이어 “정부의 정책과 민간기업의 노력이 한 방향으로 모아질 수 있도록 이러한 소통에 힘을 보태고자 한다”며 “한국CISO협의회, 한국CPO(개인정보보호책임자)협의회에서 임원으로 활동하는 것이 그러한 노력의 일환”이라고 밝혔다.
하루가 멀다하고 줄줄이 터지는 사고, 이제는 해킹이 일상화된 ‘해킹 뉴노멀’이다. 기업도 정부도 언제 누가 타깃이 될지 모른다. <보안뉴스>는 이제 해킹을 ‘뉴노멀’로 받아들이고 바뀐 시대에 맞는 보안 패러다임을 이끌어갈 리더들을 차례로 만나보는 인터뷰 시리즈 ‘해킹 뉴노멀’을 연재한다. [편집자주]
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
