신용석 CPO, 2016년 비바리퍼블리카(토스) 입사...CISO와 CPO 역임하며 보안 강화
기업보안 ‘피플(People)’, ‘프로세스(Process)’, ‘프로덕트(Product)’의 3P 중요해
보안교육은 ‘사람 중심의 정보보안’ 관점에서 지속적으로 개선할 필요가 있는 영역
[보안뉴스 원병철 기자] 기업의 사이버 침해사고 예방과 대응역량을 강화하기 위해서 ‘정보보호최고책임자(CISO : Chief Information Security Officer)’의 제도 개선이 ‘정보통신망법 개정’으로 이뤄진 후, 각 기업들은 CISO나 CPO(개인정보보호최고책임자, Chief Privacy Officer) 모시기에 여념이 없다. 하지만 일반 보안전문가도 모자라 ‘10만 인재 육성’ 정책까지 나온 마당에, 보안업무를 총괄하는 CISO/CPO를 찾기란 하늘의 별따기와 같다.
이에 <보안뉴스>에서는 국내 주요 기업들의 CISO/CPO를 찾아 그동안 그들이 조직의 보안 강화를 위해 수행했던 노력과 축적한 노하우를, 기업과 보안전문가들에게 공유하고자 한다. 특히, 첫 번째로 소개하는 이는 보안인력이 부족했던 초창기 스타트업에 들어와 보안체계의 기틀을 잡은 것은 물론, 금융권에서도 손꼽히는 보안체계를 구축한 것으로 정평이 난 사람이다. 바로 한국CISO협의회 부회장이자 비바리퍼블리카(토스 운영사)에서 보안의 기초를 다져온 신용석 CPO다.
▲신용석 토스 CPO[사진=비바리퍼블리카]
신용석 CPO는 2016년부터 비바리퍼블리카(이하 토스)의 정보보호최고책임자(CISO)겸 개인정보보호 최고책임자(CPO)로 일해 왔다. 토스에 합류하기 전에는 한국을 대표하는 글로벌 게임사 넥슨의 글로벌보안센터장으로 5년간 근무하는 등 10년 이상을 CISO와 CPO로 근무(현재는 CPO)해왔다. 그 이전인 1998년부터 실리콘밸리에서 IT 업무를 경험했고, 공공기관과 글로벌 기업에서도 정보보안 업무를 담당하는 등 다양한 환경에서 IT 및 정보보안 업무를 경험했다. 이러한 노력은 2014년 장관 표창과 함께 2018년 세계 최대 보안전문가 단체 (ISC)2에서의 공로상, 그리고 2021년에 ‘올해의 CISO’에 선정되면서 인정받을 수 있었다. 또한, 토스가 2018년 정보보호대상과 2021년 과기정통부 장관 표창을 수상하는 데도 크게 기여했다.
이러한 신용석 CPO가 토스에 합류한 것은 어떤 이유였을까? 현재 비바리퍼블리카가 제공하는 토스의 각종 금융 서비스는 혁신적인 금융 플랫폼으로 확고히 자리매김했고, 핀테크 스타트업으로 출발해 유니콘(기업가치 10억 달러 이상 스타트업)을 넘어 이젠 데카콘(기업가치 100억 달러 이상 스타트업)을 향해 달려가고 있다. 하지만 당시만 해도 가능성만 엿보인 핀테크 스타트업이었기 때문이다.
“여러 이유가 있지만, 창업자인 이승건 대표님이 창업 초기부터 정보보안의 중요성을 인식하고 우선적으로 정보보안에 투자해 주셨다는 것을 꼽을 수 있겠네요. 이승건 대표님은 국내 최대 보안 컨퍼런스인 ISEC 2018에서 키노트 스피치를 통해 정보보안의 중요성을 강조하실 정도로 보안에 진심을 보여주셨습니다.” 이렇듯 신 CPO는 이승건 대표가 드러낸 보안에 대한 진심에 감동했던 셈이다.
실제 토스는 전체 인원이 40명이었던 2016년에 처음으로 보안전담부서를 설치한 이후, 지속적으로 보안인력을 늘려오고 있다. 현재는 보안팀, 보안기술팀, 개인정보보호팀 소속으로 24명이 일하고 있으며, 외주 인력까지 합하면 30명 이상의 전담인력이 토스의 보안을 담당하고 있다. 특히, 보안기술팀은 악성 피싱앱을 탐지해 제거하는 솔루션을 자체 개발해 토스 앱에 내재화함으로써 고객을 보이스피싱 및 피싱 공격으로부터 보호하는 데 큰 성과를 거두고 있다. 보안기술팀은 2021년 1월에 구성된 레드팀으로, 미국 데프콘, 일본 세콘, 대만 히트콘 등 세계 3대 해킹방어대회를 석권한 이종호 리더가 팀을 이끌고 있다.
이처럼 토스의 급속한 성장과 함께 보안담당 부서의 역량과 인재풀, 그리고 노하우도 더욱 축적되고 있다. 지난 5년간 매년 정보보호 공시에 참여하면서 정보보호 인력과 투자가 어떻게 증가되어 왔는지 투명하게 공개하고 있다. 주목할 점은 지난 3년간 IT 인력 대비 보안인력의 비율이 10%를 상회하고 있다는 점이다. 신용석 CPO는 “다른 IT 기업과 마찬가지로 IT인력이 전체 인력의 절반 정도를 차지하는 핀테크 기업이기 때문에 10%가 넘는 (IT 인력 대비 보안인력) 비율은 다른 IT 기업과 비교했을 때 매우 높은 수준이라고 할 수 있다”면서, “토스는 대체로 개인정보보호 및 정보보안 전담인력의 비율을 전체 인원의 4% 정도로 유지해 왔는데, 이는 세계적으로도 최고 수준이라고 할 수 있다”고 설명했다.
공격자 관점에서도 사람이 가장 약한 고리...보안의식 가장 낮은 직원이 해당 조직의 수준 결정
그렇다면 신용석 CPO가 토스에서 보안 강화를 위해 가장 중점을 둔 것은 무엇일까? 이에 대해 그는 ‘피플(People)’, ‘프로세스(Process)’, ‘프로덕트(Product)’의 3P를 꼽으며, 특히 그 중에서도 조직의 구성원, 즉 피플(사람)이 가장 중요하다고 강조했다.
“예를 들면, 공격자의 관점에서도 사람을 가장 약한 고리라고 생각해 다양한 스피어피싱 공격을 시도하고 있죠. 식물학 이론인 최소량의 법칙을 정보보안에 적용하면, 가장 낮은 보안의식을 가진 조직구성원에 의해 조직의 정보보안 수준이 결정된다고 말할 수 있습니다. 따라서 저는 보안교육을 가장 중요하게 생각하고 실천해 왔습니다. 단지 정보보안과 관련된 정보를 제공하는데 그치거나 법령을 설명하는 것으로는 보안교육의 목표를 달성할 수 없다고 생각하기에, 정보보안과 개인정보보호를 자발적으로 실천하려는 의지를 만들어 내는 것이 가장 중요한 목표입니다.”
그러면서 신용석 CPO는 정보보안을 축구에서의 수비에 비유했다. 전방의 공격수도 세트피스 상황에서는 수비 가담이 필요하다는 것. 이 때문에 보안교육을 통해 조직 구성원 모두가 정보보안에 있어 의미 있는 역할을 하고 있다는 메시지를 전달할 필요가 있다고 그는 강조했다. 보안교육은 ‘사람 중심의 정보보안’이라는 관점에서 지속적으로 개선할 필요가 있는 영역이라는 설명이다.
정보보안과 개인정보보호 수준을 실질적으로 높이는 동시에 이를 객관적으로 입증하는 것도 매우 중요하다. 보안인증 취득을 그런 점에서 매우 중요하다고 생각한다는 신용석 CPO. 토스도 2017년 5월 ISO 27001을 시작으로 PCI-DSS와 ISMS-P, 그리고 ISO 27701 인증을 취득해 현재까지 유지하고 있는데, 인증 취득을 통해 보안수준이 한층 향상됐다고 평가했다. “2021년에는 정부부처 4곳으로부터 1개씩의 인허가에 도전했는데, 몇 년간 보안인증을 취득하고 유지한 경험이 큰 도움이 되었기 때문에 4개의 인허가에 모두 성공할 수 있었다”고 신 CPO는 설명했다.
마지막으로 신용석 CPO는 CISO와 CPO를 꿈꾸는 후배들에게 실질적인 조언을 남겼다. 그는 현장에서의 보안인력 수요는 계속 증가할 것이라고 강조했는데, 정보보안과 개인정보보호가 기업의 가장 큰 리스크 중 하나이기 때문이라는 설명이다. 공격자에게는 국경의 경계가 없으며, 새로운 공격은 기존의 방어체계를 무력화시키고 있어 조직의 정보보안을 책임지는 전문가의 역할이 더욱 중요해질 것이라는 얘기다.
“말씀드렸던 것처럼, 사람에 대해 공부하고 연구하는 것이 중요합니다. 조직 구성원의 정보보안 인식을 제고하고 보안수칙을 준수하는 문화를 만들기 위해서는 사람의 의식과 행동에 대한 고민이 필요합니다. 이를 위해서는 사람 중심의 정보보안이라는 관점을 가질 필요가 있으며, 그런 점에서 경제학, 경영학, 심리학 등 다양한 전공을 가진 사람들도 도전해 볼 수 있는 분야라고 생각합니다. 물론 기술에 대한 이해는 필수적이지만요. 정부도 인재양성 측면에서 사건사고에 대한 담당자 처벌보다 정보보안과 개인정보보호를 위해 선도적으로 노력해온 기업과 담당자에 대한 격려와 응원을 해주셨으면 좋겠습니다.” 신용석 CPO의 마지막 당부가 더욱 큰 울림으로 다가왔다.
[원병철 기자(boanone@boannews.com)]
기업보안 ‘피플(People)’, ‘프로세스(Process)’, ‘프로덕트(Product)’의 3P 중요해
보안교육은 ‘사람 중심의 정보보안’ 관점에서 지속적으로 개선할 필요가 있는 영역
[보안뉴스 원병철 기자] 기업의 사이버 침해사고 예방과 대응역량을 강화하기 위해서 ‘정보보호최고책임자(CISO : Chief Information Security Officer)’의 제도 개선이 ‘정보통신망법 개정’으로 이뤄진 후, 각 기업들은 CISO나 CPO(개인정보보호최고책임자, Chief Privacy Officer) 모시기에 여념이 없다. 하지만 일반 보안전문가도 모자라 ‘10만 인재 육성’ 정책까지 나온 마당에, 보안업무를 총괄하는 CISO/CPO를 찾기란 하늘의 별따기와 같다.
이에 <보안뉴스>에서는 국내 주요 기업들의 CISO/CPO를 찾아 그동안 그들이 조직의 보안 강화를 위해 수행했던 노력과 축적한 노하우를, 기업과 보안전문가들에게 공유하고자 한다. 특히, 첫 번째로 소개하는 이는 보안인력이 부족했던 초창기 스타트업에 들어와 보안체계의 기틀을 잡은 것은 물론, 금융권에서도 손꼽히는 보안체계를 구축한 것으로 정평이 난 사람이다. 바로 한국CISO협의회 부회장이자 비바리퍼블리카(토스 운영사)에서 보안의 기초를 다져온 신용석 CPO다.
▲신용석 토스 CPO[사진=비바리퍼블리카]
신용석 CPO는 2016년부터 비바리퍼블리카(이하 토스)의 정보보호최고책임자(CISO)겸 개인정보보호 최고책임자(CPO)로 일해 왔다. 토스에 합류하기 전에는 한국을 대표하는 글로벌 게임사 넥슨의 글로벌보안센터장으로 5년간 근무하는 등 10년 이상을 CISO와 CPO로 근무(현재는 CPO)해왔다. 그 이전인 1998년부터 실리콘밸리에서 IT 업무를 경험했고, 공공기관과 글로벌 기업에서도 정보보안 업무를 담당하는 등 다양한 환경에서 IT 및 정보보안 업무를 경험했다. 이러한 노력은 2014년 장관 표창과 함께 2018년 세계 최대 보안전문가 단체 (ISC)2에서의 공로상, 그리고 2021년에 ‘올해의 CISO’에 선정되면서 인정받을 수 있었다. 또한, 토스가 2018년 정보보호대상과 2021년 과기정통부 장관 표창을 수상하는 데도 크게 기여했다.
이러한 신용석 CPO가 토스에 합류한 것은 어떤 이유였을까? 현재 비바리퍼블리카가 제공하는 토스의 각종 금융 서비스는 혁신적인 금융 플랫폼으로 확고히 자리매김했고, 핀테크 스타트업으로 출발해 유니콘(기업가치 10억 달러 이상 스타트업)을 넘어 이젠 데카콘(기업가치 100억 달러 이상 스타트업)을 향해 달려가고 있다. 하지만 당시만 해도 가능성만 엿보인 핀테크 스타트업이었기 때문이다.
“여러 이유가 있지만, 창업자인 이승건 대표님이 창업 초기부터 정보보안의 중요성을 인식하고 우선적으로 정보보안에 투자해 주셨다는 것을 꼽을 수 있겠네요. 이승건 대표님은 국내 최대 보안 컨퍼런스인 ISEC 2018에서 키노트 스피치를 통해 정보보안의 중요성을 강조하실 정도로 보안에 진심을 보여주셨습니다.” 이렇듯 신 CPO는 이승건 대표가 드러낸 보안에 대한 진심에 감동했던 셈이다.
실제 토스는 전체 인원이 40명이었던 2016년에 처음으로 보안전담부서를 설치한 이후, 지속적으로 보안인력을 늘려오고 있다. 현재는 보안팀, 보안기술팀, 개인정보보호팀 소속으로 24명이 일하고 있으며, 외주 인력까지 합하면 30명 이상의 전담인력이 토스의 보안을 담당하고 있다. 특히, 보안기술팀은 악성 피싱앱을 탐지해 제거하는 솔루션을 자체 개발해 토스 앱에 내재화함으로써 고객을 보이스피싱 및 피싱 공격으로부터 보호하는 데 큰 성과를 거두고 있다. 보안기술팀은 2021년 1월에 구성된 레드팀으로, 미국 데프콘, 일본 세콘, 대만 히트콘 등 세계 3대 해킹방어대회를 석권한 이종호 리더가 팀을 이끌고 있다.
이처럼 토스의 급속한 성장과 함께 보안담당 부서의 역량과 인재풀, 그리고 노하우도 더욱 축적되고 있다. 지난 5년간 매년 정보보호 공시에 참여하면서 정보보호 인력과 투자가 어떻게 증가되어 왔는지 투명하게 공개하고 있다. 주목할 점은 지난 3년간 IT 인력 대비 보안인력의 비율이 10%를 상회하고 있다는 점이다. 신용석 CPO는 “다른 IT 기업과 마찬가지로 IT인력이 전체 인력의 절반 정도를 차지하는 핀테크 기업이기 때문에 10%가 넘는 (IT 인력 대비 보안인력) 비율은 다른 IT 기업과 비교했을 때 매우 높은 수준이라고 할 수 있다”면서, “토스는 대체로 개인정보보호 및 정보보안 전담인력의 비율을 전체 인원의 4% 정도로 유지해 왔는데, 이는 세계적으로도 최고 수준이라고 할 수 있다”고 설명했다.
공격자 관점에서도 사람이 가장 약한 고리...보안의식 가장 낮은 직원이 해당 조직의 수준 결정
그렇다면 신용석 CPO가 토스에서 보안 강화를 위해 가장 중점을 둔 것은 무엇일까? 이에 대해 그는 ‘피플(People)’, ‘프로세스(Process)’, ‘프로덕트(Product)’의 3P를 꼽으며, 특히 그 중에서도 조직의 구성원, 즉 피플(사람)이 가장 중요하다고 강조했다.
“예를 들면, 공격자의 관점에서도 사람을 가장 약한 고리라고 생각해 다양한 스피어피싱 공격을 시도하고 있죠. 식물학 이론인 최소량의 법칙을 정보보안에 적용하면, 가장 낮은 보안의식을 가진 조직구성원에 의해 조직의 정보보안 수준이 결정된다고 말할 수 있습니다. 따라서 저는 보안교육을 가장 중요하게 생각하고 실천해 왔습니다. 단지 정보보안과 관련된 정보를 제공하는데 그치거나 법령을 설명하는 것으로는 보안교육의 목표를 달성할 수 없다고 생각하기에, 정보보안과 개인정보보호를 자발적으로 실천하려는 의지를 만들어 내는 것이 가장 중요한 목표입니다.”
그러면서 신용석 CPO는 정보보안을 축구에서의 수비에 비유했다. 전방의 공격수도 세트피스 상황에서는 수비 가담이 필요하다는 것. 이 때문에 보안교육을 통해 조직 구성원 모두가 정보보안에 있어 의미 있는 역할을 하고 있다는 메시지를 전달할 필요가 있다고 그는 강조했다. 보안교육은 ‘사람 중심의 정보보안’이라는 관점에서 지속적으로 개선할 필요가 있는 영역이라는 설명이다.
정보보안과 개인정보보호 수준을 실질적으로 높이는 동시에 이를 객관적으로 입증하는 것도 매우 중요하다. 보안인증 취득을 그런 점에서 매우 중요하다고 생각한다는 신용석 CPO. 토스도 2017년 5월 ISO 27001을 시작으로 PCI-DSS와 ISMS-P, 그리고 ISO 27701 인증을 취득해 현재까지 유지하고 있는데, 인증 취득을 통해 보안수준이 한층 향상됐다고 평가했다. “2021년에는 정부부처 4곳으로부터 1개씩의 인허가에 도전했는데, 몇 년간 보안인증을 취득하고 유지한 경험이 큰 도움이 되었기 때문에 4개의 인허가에 모두 성공할 수 있었다”고 신 CPO는 설명했다.
마지막으로 신용석 CPO는 CISO와 CPO를 꿈꾸는 후배들에게 실질적인 조언을 남겼다. 그는 현장에서의 보안인력 수요는 계속 증가할 것이라고 강조했는데, 정보보안과 개인정보보호가 기업의 가장 큰 리스크 중 하나이기 때문이라는 설명이다. 공격자에게는 국경의 경계가 없으며, 새로운 공격은 기존의 방어체계를 무력화시키고 있어 조직의 정보보안을 책임지는 전문가의 역할이 더욱 중요해질 것이라는 얘기다.
“말씀드렸던 것처럼, 사람에 대해 공부하고 연구하는 것이 중요합니다. 조직 구성원의 정보보안 인식을 제고하고 보안수칙을 준수하는 문화를 만들기 위해서는 사람의 의식과 행동에 대한 고민이 필요합니다. 이를 위해서는 사람 중심의 정보보안이라는 관점을 가질 필요가 있으며, 그런 점에서 경제학, 경영학, 심리학 등 다양한 전공을 가진 사람들도 도전해 볼 수 있는 분야라고 생각합니다. 물론 기술에 대한 이해는 필수적이지만요. 정부도 인재양성 측면에서 사건사고에 대한 담당자 처벌보다 정보보안과 개인정보보호를 위해 선도적으로 노력해온 기업과 담당자에 대한 격려와 응원을 해주셨으면 좋겠습니다.” 신용석 CPO의 마지막 당부가 더욱 큰 울림으로 다가왔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
