토스증권, ‘2023 정보보호산업인의 밤’에서 정보보호 대상 수상
ISO 27001·27701·27017·27018, ISMS-P 인증, 증권사 최초 ‘PCI-DSS v4.0’ 인증 획득
지정호 CISO “금융사기 범죄 예방하고 고객의 자산을 더 안전하게 보호할 것”
[보안뉴스 박은주 기자] “걱정하지 말고 투자하세요. 토스증권이 지켜드릴게요.” 앞으로 보안 걱정 없이 안전하고 편리한 서비스를 제공하겠다는 토스증권 지정호 CISO의 포부다. 토스증권(김승연 대표)은 2023년 한 해 동안 정보보호 대응을 잘한 기업에 수여되는 ‘2023 정보보호 대상(과학기술정보통신부 장관상)’을 받았다.
▲토스증권 지정호 CISO[사진=토스증권]
토스증권은 서비스를 시작한 지 34개월(2023년 12월 기준)로 비교적 짧은 기간으로 인해 보안이 아직은 미흡할지 모른다는 의구심을 받기도 했다. 그러나 기간보다는 실력에 비례한 보안 실력을 선보이며, 정부로부터 금융권의 정보보호를 잘 수행해 냈다고 인정받은 셈이 됐다.
지정호 CISO는 “토스증권 경영진과 임직원이 정보보호 활동의 중요성을 이해하고, 신뢰를 바탕으로 제약 없이 지원·동참해 준 덕분”이라며, “번거로움이 따를 수 있는 보안 과정을 비즈니스의 방해가 아닌 ‘보호’임을 알아줘서 감사하고, 토스증권 전체가 받는 상이라 의미가 더 크다”고 수상소감을 밝혔다.
2021년 3월 정식 출범한 ‘토스증권’은 2023년 기준 약 560만명의 고객을 보유하고, 약 300만명의 월간활성이용자(MAU)를 가진 토스 계열 증권사다. 토스증권은 모바일에 최적화된 설계를 바탕으로 편리한 투자 서비스를 제공하기 위해 기존 증권사 문법에 벗어난 획기적인 개편을 단행했다. 투자지표 등 잘 사용하지 않는 기능을 과감히 생략하고, MTS(Mobile Trading System)의 새 패러다임을 제시했다는 평가가 이어진다. 사용자에게 안전한 환경을 제공하며 편리한 투자환경도 조성한 것.
토스증권 보안을 담당하는 보안팀은 지정호 CISO(정보보호최고책임자)를 필두로 △금융 정보보호 정책 △개인정보보호 △보안 엔지니어 △보안 위협분석 △모의해킹 분야 등으로 구성돼 있다. 보안팀 인원은 총 18명으로 토스증권 전체 IT 인력의 약 9%를 차지한다. 지정호 CISO는 “보안관제 일부를 제외한 토스증권 전체의 보안을 책임지고 있다”고 말했다.
토스증권 보안팀은 취약점을 점검하고, 위협을 예방·대응하며 안전을 유지한다. 정형화된 대상의 취약점은 상용 또는 자체개발 스캐너를 통해 찾아내고, 신기술 등은 직접 분석해 잠재적인 위협을 제거한다. 클라우드 환경과 업무용 PC는 매일, 외부 공개 서비스는 매주, 서비스 근간 인프라는 매월 점검하고 있다.
토스증권은 시시각각 발생하는 보안 위협을 모니터링으로 발견하고, 직접 제작한 감시 시스템으로 막아낸다. 이와 함께 700여 종의 시나리오에 따라 위협을 분석 및 탐지하고 있다. 보안 위협 상황이 발생하면 담당자에게 신속히 알리고, 즉각 대응할 수 있는 체계를 갖췄다는 평가다. 또한 사내교육을 할 때는 ‘보안은 어렵다’는 인식을 바꾸고, 임직원의 보안 인식을 끌어올리기 위해 노력하고 있다. 매주 보안 이슈 공유는 물론, 임직원 참여를 독려하기 위한 여러 캠페인을 진행하고 있다.
이밖에도 토스증권은 증권사의 의무사항을 넘는 수준 높은 관리체계를 자랑한다. 4가지 ISO 인증(27001, 27701, 27017, 27018 인증)과 ISMS-P 인증을 취득했고, 증권사 최초로 ‘PCI-DSS v4.0’ 인증을 획득했다. PCI-DSS는 2004년 국제 카드 브랜드 5개 사(VISA, MasterCard, American Express, Discover, JCB)가 개발한 지불경제 산업의 정보보호를 목적으로 한 보안 표준 규칙이다.
지 CISO는 “토스증권은 내부적으로 보안을 관리하면서 특정 보안체계에 편향될 수 있다고 생각했고, 정보보안 수준을 끌어올리고 균형을 맞추기 위해 여러 인증을 받게 됐다”고 설명했다.
끝으로 지정호 CISO는 “이상금융거래탐지시스템(FDS)을 통해 보이스피싱 등과 같은 금융사기 범죄를 예방하고, 보안 인텔리전스 활용 및 제로트러스트 아키텍처 도입 등 세부적인 보안설계를 과감하게 추진해 나갈 것”이라며, “고객의 자산을 더 안전하게 보호할 것”이라는 각오를 밝혔다.
[박은주 기자(boan5@boannews.com)]
ISO 27001·27701·27017·27018, ISMS-P 인증, 증권사 최초 ‘PCI-DSS v4.0’ 인증 획득
지정호 CISO “금융사기 범죄 예방하고 고객의 자산을 더 안전하게 보호할 것”
[보안뉴스 박은주 기자] “걱정하지 말고 투자하세요. 토스증권이 지켜드릴게요.” 앞으로 보안 걱정 없이 안전하고 편리한 서비스를 제공하겠다는 토스증권 지정호 CISO의 포부다. 토스증권(김승연 대표)은 2023년 한 해 동안 정보보호 대응을 잘한 기업에 수여되는 ‘2023 정보보호 대상(과학기술정보통신부 장관상)’을 받았다.
▲토스증권 지정호 CISO[사진=토스증권]
토스증권은 서비스를 시작한 지 34개월(2023년 12월 기준)로 비교적 짧은 기간으로 인해 보안이 아직은 미흡할지 모른다는 의구심을 받기도 했다. 그러나 기간보다는 실력에 비례한 보안 실력을 선보이며, 정부로부터 금융권의 정보보호를 잘 수행해 냈다고 인정받은 셈이 됐다.
지정호 CISO는 “토스증권 경영진과 임직원이 정보보호 활동의 중요성을 이해하고, 신뢰를 바탕으로 제약 없이 지원·동참해 준 덕분”이라며, “번거로움이 따를 수 있는 보안 과정을 비즈니스의 방해가 아닌 ‘보호’임을 알아줘서 감사하고, 토스증권 전체가 받는 상이라 의미가 더 크다”고 수상소감을 밝혔다.
2021년 3월 정식 출범한 ‘토스증권’은 2023년 기준 약 560만명의 고객을 보유하고, 약 300만명의 월간활성이용자(MAU)를 가진 토스 계열 증권사다. 토스증권은 모바일에 최적화된 설계를 바탕으로 편리한 투자 서비스를 제공하기 위해 기존 증권사 문법에 벗어난 획기적인 개편을 단행했다. 투자지표 등 잘 사용하지 않는 기능을 과감히 생략하고, MTS(Mobile Trading System)의 새 패러다임을 제시했다는 평가가 이어진다. 사용자에게 안전한 환경을 제공하며 편리한 투자환경도 조성한 것.
토스증권 보안을 담당하는 보안팀은 지정호 CISO(정보보호최고책임자)를 필두로 △금융 정보보호 정책 △개인정보보호 △보안 엔지니어 △보안 위협분석 △모의해킹 분야 등으로 구성돼 있다. 보안팀 인원은 총 18명으로 토스증권 전체 IT 인력의 약 9%를 차지한다. 지정호 CISO는 “보안관제 일부를 제외한 토스증권 전체의 보안을 책임지고 있다”고 말했다.
토스증권 보안팀은 취약점을 점검하고, 위협을 예방·대응하며 안전을 유지한다. 정형화된 대상의 취약점은 상용 또는 자체개발 스캐너를 통해 찾아내고, 신기술 등은 직접 분석해 잠재적인 위협을 제거한다. 클라우드 환경과 업무용 PC는 매일, 외부 공개 서비스는 매주, 서비스 근간 인프라는 매월 점검하고 있다.
토스증권은 시시각각 발생하는 보안 위협을 모니터링으로 발견하고, 직접 제작한 감시 시스템으로 막아낸다. 이와 함께 700여 종의 시나리오에 따라 위협을 분석 및 탐지하고 있다. 보안 위협 상황이 발생하면 담당자에게 신속히 알리고, 즉각 대응할 수 있는 체계를 갖췄다는 평가다. 또한 사내교육을 할 때는 ‘보안은 어렵다’는 인식을 바꾸고, 임직원의 보안 인식을 끌어올리기 위해 노력하고 있다. 매주 보안 이슈 공유는 물론, 임직원 참여를 독려하기 위한 여러 캠페인을 진행하고 있다.
이밖에도 토스증권은 증권사의 의무사항을 넘는 수준 높은 관리체계를 자랑한다. 4가지 ISO 인증(27001, 27701, 27017, 27018 인증)과 ISMS-P 인증을 취득했고, 증권사 최초로 ‘PCI-DSS v4.0’ 인증을 획득했다. PCI-DSS는 2004년 국제 카드 브랜드 5개 사(VISA, MasterCard, American Express, Discover, JCB)가 개발한 지불경제 산업의 정보보호를 목적으로 한 보안 표준 규칙이다.
지 CISO는 “토스증권은 내부적으로 보안을 관리하면서 특정 보안체계에 편향될 수 있다고 생각했고, 정보보안 수준을 끌어올리고 균형을 맞추기 위해 여러 인증을 받게 됐다”고 설명했다.
끝으로 지정호 CISO는 “이상금융거래탐지시스템(FDS)을 통해 보이스피싱 등과 같은 금융사기 범죄를 예방하고, 보안 인텔리전스 활용 및 제로트러스트 아키텍처 도입 등 세부적인 보안설계를 과감하게 추진해 나갈 것”이라며, “고객의 자산을 더 안전하게 보호할 것”이라는 각오를 밝혔다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
