.gif)
[3줄 요약]
1. “규제 준수 의존 아닌 스스로 설계하는 보안 체계”
2. 해킹 일상화 시대엔 ‘해킹 무력화’ 전략 필요
3. “보안인 업 떠나고 싶게 만들지 않는 문화돼야”
[보안뉴스 강현주 기자] “자율 보안이란 ‘규제 준수’를 넘어 각 조직마다 다른 환경에 맞는 보안 체계를 스스로 설계하고 운영할 수 있어야 한다는 것입니다. 경영진과 임직원이 지지하고 책임을 공유하는, 보안이 내재화된 조직문화가 자율 보안 실천의 원동력이 되고 있습니다.”
지정호 토스 정보보호최고책임자(CISO)는 자사가 실천하고 있는 ‘자율 보안’에 대해 이 같이 밝혔다.
▲지정호 토스 CISO [출처: 토스]
요즘처럼 해킹이 일상화된 시대에 토스 같은 국민 플랫폼의 보안은 누가 지키길래, 아무일 없이 금융의 일상이 멈추지 않는걸까?
이 회사는 핀테크 업계의 보안 수준을 끌어올린 공로를 인정받았으며, 이에 지정호 CISO는 ‘2025년 정보보호 유공자 정부포상’에서 국민포장을 수상했다. 토스는 전사에 내재화된 보안 문화 위에서 모든 계열사의 CISO들이 규제를 넘는 ‘자율 보안’을 펼칠 수 있다는 점에서 보안인들의 부러움을 사는 회사다.
<보안뉴스>는 토스를 운영하는 비바리퍼블리카의 CISO들을 대표해 지정호 토스 CISO를 만나봤다. 그는 윈스, 넥슨코리아 등에서 침해 사고 대응을 담당했으며 2017년 비바리퍼블리카에 합류, 2021년 토스증권 CISO·CPO를 역임했다. 한국CISO협의회 부회장을 맡으며 자율 보안 확산을 위한 목소리를 지속적으로 내고 있다.
“자율 보안, 전직원의 지지와 동참 토대 위에서 실현”
지정호 CISO는 한국CISO협의회 부회장으로 활동하면서 기회가 될때마다 ‘자율 보안’의 중요성을 강조한다.
그는 “자율 보안은 규제를 줄이자는 의미가 아니라, 외부 요구사항을 넘어 스스로 판단하고 실행할 수 있는 역량을 갖추는 것”이라며 “규제 준수에 의존하는 것을 넘어 각 회사가 마주하는 위협의 유형과 사업 환경이 다르기 때문에, 각자의 조직에 맞는 보안 체계를 스스로 설계하고 운영할 수 있어야 한다”고 설명했다.
지 CISO는 “자율보안 프레임워크를 정의하고 지속적으로 고도화하고 있다”며 “법규, 국내외 인증 기준, 위험평가 결과를 통합해 토스 환경에 최적화된 정보보호 체계를 설계하고, 각 보안 항목의 수준을 정량적으로 평가해 우선순위를 설정하며, 조직의 목표 수립에 반영하고 점검 방법을 고도화하고 있다”고 밝혔다.
토스는 이러한 자율 보안을 전사에 내재된 보안 문화라는 든든한 토대 위에서 실현하고 있다는 설명이다.
그는 “보안 부서에 협조하는 것보다 KPI가 중요한 회사, 보안은 특정 부서라는 인식이 강한 회사에서는 자율 보안 구현이 쉽지 않다”며 “반면 토스는 경영진과 임직원의 지지를 기반으로 정보보호 체계를 설계하고 있으며, 보안은 특정 조직의 역할이 아니라 전사적인 책임이라는 인식이 확립돼 있고, 위협의 식별과 해결 등 보안 업무에 적극적으로 협조하는 구조”라고 밝혔다.
이 같은 보안 내재화 문화는 창업 초기부터 시작됐다는 게 그의 설명이다. 지 CISO는 “설립때부터 ‘보안과 안정성이 무너지면 전통적 금융 서비스를 쓰던 고객들이 다시는 혁신적 금융 서비스를 신뢰하지 않을 것’이라는 전제로 서비스를 개발했다”며 “이러한 인식이 초반부터 자리잡아 경영진과 임직원 모두 보안에 동참해야 한다는 데 공감하고 전폭적인 지원을 해준다”고 했다.
▲지정호 토스 CISO가<보안뉴스>와 인터뷰하고 있다. [출처: 토스]
“공격자들은 공유하고 협업하는데... 방어자간 교류도 필요”
실제로 이 회사는 이미 규제 준수를 뛰어 넘어 자발적으로 글로벌 수준의 인증을 받고 버그바운티 등을 운영하고 자체 보안 기술들을 개발해왔다. 또 자체 보안 컨퍼런스 ‘토스 가디언스’를 통해 자사 보안 역량과 노하우를 공유하고 있다.
그 이유에 대해 지 CISO는 “공격자들은 서로 노하우를 공유하며 협력하며 발전하는데, 방어자들은 공유를 마치 기밀이나 취약점 노출같이 인식하는 정서가 있다”며 “상업적 기밀 노출이 아니고, 사업에 방해되지 않는 선에서 서로 공유하며 상생 발전하는 문화가 필요하고, 토스 가디언스를 통해 그런 장을 마련하려는 것”이라고 말했다.
또 “토스의 보안 사례들을 공유하면서 서비스에 대한 신뢰가 높아지는 효과도 있었다”고 밝혔다.
산업의 전반적 보안 수준을 높이면 결국 모두에게 이득이므로, 토스 가디언스를 통해 이 같은 문화를 확산 시킨다는 기대다.
지 CISO는 자율 보안 선진화를 위한 정책적 지원에 대해 “기업이 보안 위험을 정확히 이해할 수 있도록 위협정보와 실제 영향 사례를 투명하게 알 수 있는 정보 공유 체계가 더욱 활성화됐으면 한다”며 “보안 역량이 부족한 조직을 위해 구체적인 대응 가이드와 모범 사례를 제공하는 정책적 지원도 필요하다고 생각한다”고 견해를 밝혔다.
해킹 일상화... 공격 ‘무력화’ 등 사고 전제로 대비해야
국민 플랫폼이 돼버린 토스와 같은 서비스의 보안은 “단편적 대응이 아니라 기초체계를 단단히 구축하는 게 가장 중요한 과제”라고 그는 강조한다. 빠르게 성장하고 변화하는 서비스이기 때문에 보안 관리의 복잡성과 난이도 또한 높기 때문에, 단단한 보안 기초가 미래 성장 도모의 기반이 돼준다는 얘기다.
지 CISO는 “토스는 빠르게 성장하고 변화하는 서비스이기 때문에 보안 관리의 복잡성과 난이도도 높아 단단한 보안 기초가 필요하다. 이는 미래 성장 도모의 기반이 돼준다”며 “보안 활동의 사각지대를 줄이고, 점검 주기를 단축하며, 결과의 정확도를 높이는 등 관리 체계를 고도화하고 있으며 AI 기술 확산과 같은 변화에도 선제적으로 대비할 기준을 마련하고 있다”고 밝혔다.
특히 바뀌어야할 보안 패러다임으로 ‘해킹을 전제로한 대비’에 대해 그는 강조한다. 해킹 원천차단이 어려운 시대엔 ‘해킹 무력화’와 ‘피해 최소화’ 전략이 필요하다는 생각이다.
그는 “해킹이 뉴노멀이 된 지금은 ‘사고를 전제로 한 접근’도 필요한데, 공격을 당해도 타격이 없도록 하는 ‘해킹 무력화’ 전략이 중요하다”며 “탐지와 대응 뿐 아니라 복구까지 고려해서 설계해야 하고, 자산 중요도에 따라 차등화된 보안 시스템과 용도별 분리를 해야 한다”고 설명했다. 사고가 나도 빠르게 식별하고 조치를 하고, 연계 시스템으로 피해가 전이되지 않도록 하는 체계를 말한다.
지 CISO는 “암호화는 해킹 자체를 무력화할 수 있는데, 토스의 경우 암호화의 기준을 높게 수립하고 있다”며 “데이터베이스에 저장하는 것들은 암호화가 당연하고, 로그상 개인정보가 탐지되면 식별되지 않도록 마스킹이나 암호화를 적용하는 등 데이터가 나가도 공격자가 못알아보는 형태다”라고 했다.
이어 “법적 암호화 대상이 아닌 정보에도 암호화를 적용하기 때문에 처음엔 이렇게까지 해야 하나 질문도 받았지만 지금은 모두가 공감해주고 있다”고 말했다.
“책임 무게만큼 사회적 인정도 높아져야 보안인 안 떠나”
지정호 CISO는 평소 “보안인이 업을 떠나고 싶지 않은 사회를 만들어달라”고 목소리를 높여왔다.
잇따른 대형 해킹 사고 시 평소 외로운 싸움을 해 온 보안 담당자들에게만 무거운 책임이 몰리면서 비난은 독차지하는 구조와 인식은 위험하다는 얘기다. 국가와 기업, 국민의 일상이 위협받는 시기에 정작 가장 중요한 인재들이 업을 떠나게 만들어선 안된다고 그는 강조한다.
그는 “보안 담당자들은 경력이 쌓이면서 점점 역량이 높아지고 책임 역시 무거워진다”며 “평소에는 드러나지 않는 곳에서 공격과 싸우다가 사고가 나면 질타만이 쏟아지는 구조는 보안인이 업을 떠나게 만든다”고 밝혔다.
이어 “무거워진 책임만큼 사회적 인정도 뒷받침돼야 하며, 무사고를 당연한 것으로 여기지 않고 공로로 치하해주는 문화가 더욱 정착돼야 한다”며 “CISO를 꿈꾸게 만드는 문화가 나라와 기업의 보안 향상으로도 이어질 것”이라고 강조했다.
하루가 멀다하고 줄줄이 터지는 사고, 이제는 해킹이 일상화된 ‘해킹 뉴노멀’이다. 기업도 정부도 언제 누가 타깃이 될지 모른다. <보안뉴스>는 이제 해킹을 ‘뉴노멀’로 받아들이고 바뀐 시대에 맞는 보안 패러다임을 이끌어갈 리더들을 차례로 만나보는 인터뷰 시리즈 ‘해킹 뉴노멀’을 연재한다. [편집자주]
[강현주 기자(jjoo@boannews.com)]
1. “규제 준수 의존 아닌 스스로 설계하는 보안 체계”
2. 해킹 일상화 시대엔 ‘해킹 무력화’ 전략 필요
3. “보안인 업 떠나고 싶게 만들지 않는 문화돼야”
[보안뉴스 강현주 기자] “자율 보안이란 ‘규제 준수’를 넘어 각 조직마다 다른 환경에 맞는 보안 체계를 스스로 설계하고 운영할 수 있어야 한다는 것입니다. 경영진과 임직원이 지지하고 책임을 공유하는, 보안이 내재화된 조직문화가 자율 보안 실천의 원동력이 되고 있습니다.”
지정호 토스 정보보호최고책임자(CISO)는 자사가 실천하고 있는 ‘자율 보안’에 대해 이 같이 밝혔다.
▲지정호 토스 CISO [출처: 토스]
요즘처럼 해킹이 일상화된 시대에 토스 같은 국민 플랫폼의 보안은 누가 지키길래, 아무일 없이 금융의 일상이 멈추지 않는걸까?
이 회사는 핀테크 업계의 보안 수준을 끌어올린 공로를 인정받았으며, 이에 지정호 CISO는 ‘2025년 정보보호 유공자 정부포상’에서 국민포장을 수상했다. 토스는 전사에 내재화된 보안 문화 위에서 모든 계열사의 CISO들이 규제를 넘는 ‘자율 보안’을 펼칠 수 있다는 점에서 보안인들의 부러움을 사는 회사다.
<보안뉴스>는 토스를 운영하는 비바리퍼블리카의 CISO들을 대표해 지정호 토스 CISO를 만나봤다. 그는 윈스, 넥슨코리아 등에서 침해 사고 대응을 담당했으며 2017년 비바리퍼블리카에 합류, 2021년 토스증권 CISO·CPO를 역임했다. 한국CISO협의회 부회장을 맡으며 자율 보안 확산을 위한 목소리를 지속적으로 내고 있다.
“자율 보안, 전직원의 지지와 동참 토대 위에서 실현”
지정호 CISO는 한국CISO협의회 부회장으로 활동하면서 기회가 될때마다 ‘자율 보안’의 중요성을 강조한다.
그는 “자율 보안은 규제를 줄이자는 의미가 아니라, 외부 요구사항을 넘어 스스로 판단하고 실행할 수 있는 역량을 갖추는 것”이라며 “규제 준수에 의존하는 것을 넘어 각 회사가 마주하는 위협의 유형과 사업 환경이 다르기 때문에, 각자의 조직에 맞는 보안 체계를 스스로 설계하고 운영할 수 있어야 한다”고 설명했다.
지 CISO는 “자율보안 프레임워크를 정의하고 지속적으로 고도화하고 있다”며 “법규, 국내외 인증 기준, 위험평가 결과를 통합해 토스 환경에 최적화된 정보보호 체계를 설계하고, 각 보안 항목의 수준을 정량적으로 평가해 우선순위를 설정하며, 조직의 목표 수립에 반영하고 점검 방법을 고도화하고 있다”고 밝혔다.
토스는 이러한 자율 보안을 전사에 내재된 보안 문화라는 든든한 토대 위에서 실현하고 있다는 설명이다.
그는 “보안 부서에 협조하는 것보다 KPI가 중요한 회사, 보안은 특정 부서라는 인식이 강한 회사에서는 자율 보안 구현이 쉽지 않다”며 “반면 토스는 경영진과 임직원의 지지를 기반으로 정보보호 체계를 설계하고 있으며, 보안은 특정 조직의 역할이 아니라 전사적인 책임이라는 인식이 확립돼 있고, 위협의 식별과 해결 등 보안 업무에 적극적으로 협조하는 구조”라고 밝혔다.
이 같은 보안 내재화 문화는 창업 초기부터 시작됐다는 게 그의 설명이다. 지 CISO는 “설립때부터 ‘보안과 안정성이 무너지면 전통적 금융 서비스를 쓰던 고객들이 다시는 혁신적 금융 서비스를 신뢰하지 않을 것’이라는 전제로 서비스를 개발했다”며 “이러한 인식이 초반부터 자리잡아 경영진과 임직원 모두 보안에 동참해야 한다는 데 공감하고 전폭적인 지원을 해준다”고 했다.
▲지정호 토스 CISO가<보안뉴스>와 인터뷰하고 있다. [출처: 토스]
“공격자들은 공유하고 협업하는데... 방어자간 교류도 필요”
실제로 이 회사는 이미 규제 준수를 뛰어 넘어 자발적으로 글로벌 수준의 인증을 받고 버그바운티 등을 운영하고 자체 보안 기술들을 개발해왔다. 또 자체 보안 컨퍼런스 ‘토스 가디언스’를 통해 자사 보안 역량과 노하우를 공유하고 있다.
그 이유에 대해 지 CISO는 “공격자들은 서로 노하우를 공유하며 협력하며 발전하는데, 방어자들은 공유를 마치 기밀이나 취약점 노출같이 인식하는 정서가 있다”며 “상업적 기밀 노출이 아니고, 사업에 방해되지 않는 선에서 서로 공유하며 상생 발전하는 문화가 필요하고, 토스 가디언스를 통해 그런 장을 마련하려는 것”이라고 말했다.
또 “토스의 보안 사례들을 공유하면서 서비스에 대한 신뢰가 높아지는 효과도 있었다”고 밝혔다.
산업의 전반적 보안 수준을 높이면 결국 모두에게 이득이므로, 토스 가디언스를 통해 이 같은 문화를 확산 시킨다는 기대다.
지 CISO는 자율 보안 선진화를 위한 정책적 지원에 대해 “기업이 보안 위험을 정확히 이해할 수 있도록 위협정보와 실제 영향 사례를 투명하게 알 수 있는 정보 공유 체계가 더욱 활성화됐으면 한다”며 “보안 역량이 부족한 조직을 위해 구체적인 대응 가이드와 모범 사례를 제공하는 정책적 지원도 필요하다고 생각한다”고 견해를 밝혔다.
해킹 일상화... 공격 ‘무력화’ 등 사고 전제로 대비해야
국민 플랫폼이 돼버린 토스와 같은 서비스의 보안은 “단편적 대응이 아니라 기초체계를 단단히 구축하는 게 가장 중요한 과제”라고 그는 강조한다. 빠르게 성장하고 변화하는 서비스이기 때문에 보안 관리의 복잡성과 난이도 또한 높기 때문에, 단단한 보안 기초가 미래 성장 도모의 기반이 돼준다는 얘기다.
지 CISO는 “토스는 빠르게 성장하고 변화하는 서비스이기 때문에 보안 관리의 복잡성과 난이도도 높아 단단한 보안 기초가 필요하다. 이는 미래 성장 도모의 기반이 돼준다”며 “보안 활동의 사각지대를 줄이고, 점검 주기를 단축하며, 결과의 정확도를 높이는 등 관리 체계를 고도화하고 있으며 AI 기술 확산과 같은 변화에도 선제적으로 대비할 기준을 마련하고 있다”고 밝혔다.
특히 바뀌어야할 보안 패러다임으로 ‘해킹을 전제로한 대비’에 대해 그는 강조한다. 해킹 원천차단이 어려운 시대엔 ‘해킹 무력화’와 ‘피해 최소화’ 전략이 필요하다는 생각이다.
그는 “해킹이 뉴노멀이 된 지금은 ‘사고를 전제로 한 접근’도 필요한데, 공격을 당해도 타격이 없도록 하는 ‘해킹 무력화’ 전략이 중요하다”며 “탐지와 대응 뿐 아니라 복구까지 고려해서 설계해야 하고, 자산 중요도에 따라 차등화된 보안 시스템과 용도별 분리를 해야 한다”고 설명했다. 사고가 나도 빠르게 식별하고 조치를 하고, 연계 시스템으로 피해가 전이되지 않도록 하는 체계를 말한다.
지 CISO는 “암호화는 해킹 자체를 무력화할 수 있는데, 토스의 경우 암호화의 기준을 높게 수립하고 있다”며 “데이터베이스에 저장하는 것들은 암호화가 당연하고, 로그상 개인정보가 탐지되면 식별되지 않도록 마스킹이나 암호화를 적용하는 등 데이터가 나가도 공격자가 못알아보는 형태다”라고 했다.
이어 “법적 암호화 대상이 아닌 정보에도 암호화를 적용하기 때문에 처음엔 이렇게까지 해야 하나 질문도 받았지만 지금은 모두가 공감해주고 있다”고 말했다.
“책임 무게만큼 사회적 인정도 높아져야 보안인 안 떠나”
지정호 CISO는 평소 “보안인이 업을 떠나고 싶지 않은 사회를 만들어달라”고 목소리를 높여왔다.
잇따른 대형 해킹 사고 시 평소 외로운 싸움을 해 온 보안 담당자들에게만 무거운 책임이 몰리면서 비난은 독차지하는 구조와 인식은 위험하다는 얘기다. 국가와 기업, 국민의 일상이 위협받는 시기에 정작 가장 중요한 인재들이 업을 떠나게 만들어선 안된다고 그는 강조한다.
그는 “보안 담당자들은 경력이 쌓이면서 점점 역량이 높아지고 책임 역시 무거워진다”며 “평소에는 드러나지 않는 곳에서 공격과 싸우다가 사고가 나면 질타만이 쏟아지는 구조는 보안인이 업을 떠나게 만든다”고 밝혔다.
이어 “무거워진 책임만큼 사회적 인정도 뒷받침돼야 하며, 무사고를 당연한 것으로 여기지 않고 공로로 치하해주는 문화가 더욱 정착돼야 한다”며 “CISO를 꿈꾸게 만드는 문화가 나라와 기업의 보안 향상으로도 이어질 것”이라고 강조했다.
하루가 멀다하고 줄줄이 터지는 사고, 이제는 해킹이 일상화된 ‘해킹 뉴노멀’이다. 기업도 정부도 언제 누가 타깃이 될지 모른다. <보안뉴스>는 이제 해킹을 ‘뉴노멀’로 받아들이고 바뀐 시대에 맞는 보안 패러다임을 이끌어갈 리더들을 차례로 만나보는 인터뷰 시리즈 ‘해킹 뉴노멀’을 연재한다. [편집자주]
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
