[3줄 요약]
1. 프레임워크 유연한 적용 및 객관성 강조
2. 자산 식별·우선순위 설정 중요… “규제 준수 연연 아닌 지속 가능 자율성”
3. “관성적 보안, 공격자 진화 속도 못 따라가”
[보안뉴스 강현주 기자] 토스가 ‘자율 보안’ 구현 방안으로 기업 맞춤형 보안 프레임워크 설계의 중요성을 강조했다. 규제에 연연하거나 모범사례를 단순 적용하는 관성적 보안에서 벗어나 기업별 현실에 맞게 객관적이며 지속 가능하고 능동적인 보안 체계를 토스가 추구하는 보안의 모습으로 제시했다.
20일 토스 주최로 열린 연례 보안 컨퍼런스 ‘가디언스 25’(Guardians 25)에서 토스 보안 실무자들은 자율 보안 프레임워크 방향성, 공격자 관점의 객관적 보안, AI 기반 자동화 보안 등 자율 보안 역량 향상을 위한 인사이트를 공유했다.
▲토스 보안 리더들이 인사말을 하고 있다. [자료: 보안뉴스]
장현호 토스증권 인포메이션 시큐리티 매니저는 ‘사람에서 시스템으로: 지속 가능한 자율보안 프레임워크 구현가이드’라는 주제 발표에서 보안 프레임워크의 유연한 설계를 강조했다.
장 매니저는 글로벌 보안 프레임워크인 미국국립표준기술연구소(NIST) CSF(Cybersecurity Framework)와 이를 참고해 만든 금융권 CRI 프로필(Cyber Risk Institute Profile)을 사례로 들었다. CRI 프로필은 NIST CSF를 금융권에 특화해 확장한 프레임워크다.
장 매니저는 “NIST CSF가 모범 사례를 제시하는 반면, CRI 프로필은 자가 진단 가능한 구체적 진단 항목을 제공한다”며 “자율 보안을 위한 프레임워크는 모범 사례를 단순 적용하는 교과서가 아니라 기업 고유 환경에 따른 ‘맞춤형 해설서’와 같이 활용해야 한다”고 말했다.
해외 모범 사례를 참조하되, 국내 기업 특성과 위협 환경을 반영해야 한다는 설명이다. 신규 위협 대응을 위한 서브 카테고리를 추가하고 AI 관련 내용을 반영하는 등 지속적 개선 검토가 핵심이다.
자율 보안 프레임워크의 핵심 고려 사항으로 장 매니저는 △지속 가능성 △자산 관리의 중요성 △객관성 확보 △정책의 활용 등을 내세웠다.
장 매니저는 “자율 보안 프레임워크는 인증 심사 시기에 맞춘 일회성 과제가 아니라, 기업 인프라와 비즈니스 변화에 맞춰 진화하는 ‘지속 가능한 보안 시스템’을 구축하는 것”이라고 강조했다.
그는 “보호 대상 자산의 우선순위를 설정하기 위해 데이터 흐름 전반을 파악해야 하며, 누가 평가해도 동일한 결과가 도출돼야 한다”며 “문서화된 정책이 엔지니어 관점에서 어떻게 활용되는지가 중요하다”고 말했다.
▲장현호 토스증권 매니저가 발표하고 있다. [자료: 보안뉴스]
또 지정호 토스 CISO는 ‘지금 우리에게 필요한 보안 전략은?’이라는 주제의 기조연설애서 보안 역량 강화의 핵심 요소들을 제시했다.
지정호 CISO는 “관성적 보안으로는 공격자의 진화 속도를 따라가지 못한다”며 “경영진과 임직원의 공감과 동참, IT 자산 파악 및 관리 범위 확대, 보안 위협 식별 및 대응이 핵심”이라고 말했다. 대응 및 점검 범위를 확대하고, 자동화를 통해 주기를 단축하는 것이 진화 방향이라는 설명이다.
이번 컨퍼런스에서 토스는 기조연설 외에도 총 21개 세션을 통해 정보보호 관리체계 개선, 보안 위협 대응 기술 내재화, 위협 탐지 및 취약점 점검 자동화 등에 대한 인사이트를 공유했다. AI 기반 보안 관리체계, AI 자동화 등 AI 관련 보안 및 레드티밍 기반 공격적 보안, 위협 탐지 사례 등도 심도 깊게 다뤘다.
[강현주 기자(jjoo@boannews.com)]
1. 프레임워크 유연한 적용 및 객관성 강조
2. 자산 식별·우선순위 설정 중요… “규제 준수 연연 아닌 지속 가능 자율성”
3. “관성적 보안, 공격자 진화 속도 못 따라가”
[보안뉴스 강현주 기자] 토스가 ‘자율 보안’ 구현 방안으로 기업 맞춤형 보안 프레임워크 설계의 중요성을 강조했다. 규제에 연연하거나 모범사례를 단순 적용하는 관성적 보안에서 벗어나 기업별 현실에 맞게 객관적이며 지속 가능하고 능동적인 보안 체계를 토스가 추구하는 보안의 모습으로 제시했다.
20일 토스 주최로 열린 연례 보안 컨퍼런스 ‘가디언스 25’(Guardians 25)에서 토스 보안 실무자들은 자율 보안 프레임워크 방향성, 공격자 관점의 객관적 보안, AI 기반 자동화 보안 등 자율 보안 역량 향상을 위한 인사이트를 공유했다.
▲토스 보안 리더들이 인사말을 하고 있다. [자료: 보안뉴스]
장현호 토스증권 인포메이션 시큐리티 매니저는 ‘사람에서 시스템으로: 지속 가능한 자율보안 프레임워크 구현가이드’라는 주제 발표에서 보안 프레임워크의 유연한 설계를 강조했다.
장 매니저는 글로벌 보안 프레임워크인 미국국립표준기술연구소(NIST) CSF(Cybersecurity Framework)와 이를 참고해 만든 금융권 CRI 프로필(Cyber Risk Institute Profile)을 사례로 들었다. CRI 프로필은 NIST CSF를 금융권에 특화해 확장한 프레임워크다.
장 매니저는 “NIST CSF가 모범 사례를 제시하는 반면, CRI 프로필은 자가 진단 가능한 구체적 진단 항목을 제공한다”며 “자율 보안을 위한 프레임워크는 모범 사례를 단순 적용하는 교과서가 아니라 기업 고유 환경에 따른 ‘맞춤형 해설서’와 같이 활용해야 한다”고 말했다.
해외 모범 사례를 참조하되, 국내 기업 특성과 위협 환경을 반영해야 한다는 설명이다. 신규 위협 대응을 위한 서브 카테고리를 추가하고 AI 관련 내용을 반영하는 등 지속적 개선 검토가 핵심이다.
자율 보안 프레임워크의 핵심 고려 사항으로 장 매니저는 △지속 가능성 △자산 관리의 중요성 △객관성 확보 △정책의 활용 등을 내세웠다.
장 매니저는 “자율 보안 프레임워크는 인증 심사 시기에 맞춘 일회성 과제가 아니라, 기업 인프라와 비즈니스 변화에 맞춰 진화하는 ‘지속 가능한 보안 시스템’을 구축하는 것”이라고 강조했다.
그는 “보호 대상 자산의 우선순위를 설정하기 위해 데이터 흐름 전반을 파악해야 하며, 누가 평가해도 동일한 결과가 도출돼야 한다”며 “문서화된 정책이 엔지니어 관점에서 어떻게 활용되는지가 중요하다”고 말했다.
▲장현호 토스증권 매니저가 발표하고 있다. [자료: 보안뉴스]
또 지정호 토스 CISO는 ‘지금 우리에게 필요한 보안 전략은?’이라는 주제의 기조연설애서 보안 역량 강화의 핵심 요소들을 제시했다.
지정호 CISO는 “관성적 보안으로는 공격자의 진화 속도를 따라가지 못한다”며 “경영진과 임직원의 공감과 동참, IT 자산 파악 및 관리 범위 확대, 보안 위협 식별 및 대응이 핵심”이라고 말했다. 대응 및 점검 범위를 확대하고, 자동화를 통해 주기를 단축하는 것이 진화 방향이라는 설명이다.
이번 컨퍼런스에서 토스는 기조연설 외에도 총 21개 세션을 통해 정보보호 관리체계 개선, 보안 위협 대응 기술 내재화, 위협 탐지 및 취약점 점검 자동화 등에 대한 인사이트를 공유했다. AI 기반 보안 관리체계, AI 자동화 등 AI 관련 보안 및 레드티밍 기반 공격적 보안, 위협 탐지 사례 등도 심도 깊게 다뤘다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
