.gif)
[보안 최전선 ④] 장현호 토스증권 매니저 “보안의 완성은 기술 아닌 ‘소통’에 있어”
단순 통제 벗어나 비즈니스 조력자로... 이해관계자 설득하는 ‘소프트 스킬’ 필수 역량
브라우저·앱·CLI 아우른 모니터링으로 AI 환경의 유연성과 안전성 동시 확보
[보안뉴스 조재호 기자] “보안팀은 회사의 ‘얼굴’이라기보다는 ‘허리’에 가까운 조직입니다. 허리가 무너지면 몸 전체의 균형이 무너지듯이, 보안은 전면에 드러나기보다는 조직 전체가 안정적으로 움직일 수 있도록 중심을 잡아주는 역할을 합니다. 결국 보안의 완성은 고도화된 기술이 아니라, 구성원들과 합의점을 찾아가는 ‘소통’에 있습니다.”
▲장현호 토스증권 정보보호정책 매니저 [출처: 보안뉴스]
장현호 토스증권 정보보호정책 매니저는 신규 보안 솔루션의 도입이나 복잡한 아키텍처 설계의 중요성을 말하기에 앞서, 사람과 사람을 잇는 소통 능력이 보안 실무자가 갖춰야 할 미덕으로 꼽았다.
그는 한국인터넷진흥원(KISA)이 주관하는 화이트햇 스쿨 등에서 후학을 양성하는 멘토로 활약하며, 통제와 규제 준수에 갇혀 있는 금융보안 관습을 개선하고 있다.
수백만명의 투자 자산과 AI 서비스 혁신이 실시간으로 교차하는 ‘토스증권’의 보안 최전선에서, 장 매니저는 비즈니스를 위한 방벽을 세우는 대신 철저한 데이터 모니터링과 유연한 가드레일을 제시하며 핀테크 플랫폼의 뼈대를 다시 세우고 있다.
보안의 마스터키는 완벽한 아키텍처 아닌 ‘소프트 스킬’
장 매니저는 보안 실무에 있어 ‘소통 역량’(Soft Skill)을 최우선의 기준으로 삼았다. 견고하고 잘 짜인 보안 아키텍처를 설계하고 구현하는 것으로 일이 끝나지 않기 때문이다. 회사 내 다양한 이해관계자들이 보안 정책의 필요성을 명확히 이해하고, 이를 실제 업무에 자발적으로 실행할 수 있도록 만드는 설득의 과정이 더 중요하기 때문이다. 이를 위해 소통의 중요성을 거듭 강조했다.
아무리 선진적이고 뛰어난 보안 정책이라도 내부 구성원들의 공감대를 얻지 못하면 거추장스러운 장애물이나 무용지물이 되기 십상이다. 장 매니저 역시 입사부터 이러한 소통 역량을 긍정적으로 평가받았고, 현장에서도 부서 간 이견을 조율하고 합의점을 도출하는 데 가장 많은 에너지를 쏟고 있다.
장 매니저는 “맞춤형 보안은 보안팀 혼자 짊어지는 역할이 아니라, 조직 문화가 함께 만들어가는 결과물” 이라며, 고도화되는 금융 IT 환경에서 보안의 성패는 단순한 기술력을 넘어 전사적인 인식과 문화 형성에 달려 있음을 거듭 강조했다.
핀테크 최전선의 AI 보안 ‘통제와 유연성’ 사이의 황금 비율은?
대형언어모델(LLM)을 비롯해 AI 서비스 도입이 늘어나면서 핀테크 보안팀의 고민도 한층 깊어졌다. 그는 “금융회사 특성상 보안에는 ‘명확한 오답’이 존재하지만, AI 보안에 대해서는 아직 정답이 정립되어 있지 않다”며 “무작정 신기술을 차단하기보다는 규제 범위 내에서 최대한 유연하게 AI를 활용할 수 있는 환경을 만들기 위해 끊임없이 논의하고 개선하는 중”이라고 밝혔다.
이들이 AI 보안에서 핵심으로 꼽는 요소는 ‘데이터와 모니터링’이다. 어떤 데이터를 활용하느냐에 따른 비식별화·익명화 혹은 강력한 가드레일을 적용하며, 데이터가 저장되는 리전과 연계될 외부 서비스 구조를 판단해 종합적인 적합성을 평가한다.
특히 가시성 확보를 위해 LLM 사용 환경을 브라우저와 애플리케이션, 명령어 인터페이스(CLI) 세 가지로 구분해 탐지 커버리지를 점검하고 있다. 각 영역에 대한 모니터링을 위해 컴플라이언스 API, 3rd party 솔루션 또는 오픈텔레메트리(Otel)와 같은 오픈소스를 적극 활용해 식별하고, 추적 가능성을 확보하는 등 철저히 사용자 ‘행위’ 기반으로 부적절한 접근을 솎아내는 입체적 검증 체계 구축에 집중하고 있다.
▲장현호 토스증권 정보보호정책 매니저 [출처: 보안뉴스]
보안팀을 아우르는 ‘워크 앤 하모니’ 리더십
쉴틈없이 돌아가는 금융보안의 최전선에서 팀원들의 심리적 번아웃을 막고 조직을 건강하게 이끌기 위한 리더십도 ‘소통’에서 출발한다. 토스증권 보안팀은 실전 경험이 풍부한 시니어 비중이 높은 편이다. 따라서 단순한 외적 팽창보다 ‘워크 앤 하모니’(Work & Harmony)를 유지하며 지속 가능한 컨디션을 관리할 업무 환경 조성이 필수적이다.
장 매니저는 무엇보다 자신의 신체적, 심리적 상태를 솔직하게 표현할 수 있는 문화를 조직 운영의 핵심으로 꼽았다. 그는 “바쁜 환경일수록 무리하기 쉽지만, 자신의 상태를 솔직하게 표현하고 ‘아플 때 아프다고 말할 수 있는 문화’가 결국 조직의 지속 가능성을 만든다” 고 강조했다.
이러한 정책팀의 철학은 업무 강도와 리듬을 조율하며 일했던 긍정적 경험을 바탕으로, 구성원의 숙련도에 맞춘 리더십으로 발전하고 있다. 최근 합류한 신입에는 사수로서 명확한 목표와 기대치를 충분히 이해시키는 데 긴 시간을 쏟는다. 반면, 업무 숙련도가 궤도에 오른 시니어들에게는 불필요한 간섭을 줄이고 업무에 몰입할 수 있는 환경을 구성하는데 초점을 맞추고 있다.
장 매니저는 인터뷰를 마무리하며 “대고객 서비스는 단순한 체크리스트 점검을 넘어, 외부 공격자와 사용자 관점에서 발생할 수 있는 리스크까지 다각도로 꼼꼼하게 검토되어야만 세상에 나올 수 있다”며 “보이지 않는 곳에서 지속적인 모니터링 체계를 가동하며 단단하게 중심을 잡는 것, 바로 그 든든한 기반 위에서 전 임직원이 하나 되어 만들어 가는 ‘고객의 신뢰’가 보안팀이 지켜야 할 궁극적인 비전”이라고 말했다.
[조재호 기자(zephyr@boannews.com)]
단순 통제 벗어나 비즈니스 조력자로... 이해관계자 설득하는 ‘소프트 스킬’ 필수 역량
브라우저·앱·CLI 아우른 모니터링으로 AI 환경의 유연성과 안전성 동시 확보
[보안뉴스 조재호 기자] “보안팀은 회사의 ‘얼굴’이라기보다는 ‘허리’에 가까운 조직입니다. 허리가 무너지면 몸 전체의 균형이 무너지듯이, 보안은 전면에 드러나기보다는 조직 전체가 안정적으로 움직일 수 있도록 중심을 잡아주는 역할을 합니다. 결국 보안의 완성은 고도화된 기술이 아니라, 구성원들과 합의점을 찾아가는 ‘소통’에 있습니다.”
▲장현호 토스증권 정보보호정책 매니저 [출처: 보안뉴스]
장현호 토스증권 정보보호정책 매니저는 신규 보안 솔루션의 도입이나 복잡한 아키텍처 설계의 중요성을 말하기에 앞서, 사람과 사람을 잇는 소통 능력이 보안 실무자가 갖춰야 할 미덕으로 꼽았다.
그는 한국인터넷진흥원(KISA)이 주관하는 화이트햇 스쿨 등에서 후학을 양성하는 멘토로 활약하며, 통제와 규제 준수에 갇혀 있는 금융보안 관습을 개선하고 있다.
수백만명의 투자 자산과 AI 서비스 혁신이 실시간으로 교차하는 ‘토스증권’의 보안 최전선에서, 장 매니저는 비즈니스를 위한 방벽을 세우는 대신 철저한 데이터 모니터링과 유연한 가드레일을 제시하며 핀테크 플랫폼의 뼈대를 다시 세우고 있다.
보안의 마스터키는 완벽한 아키텍처 아닌 ‘소프트 스킬’
장 매니저는 보안 실무에 있어 ‘소통 역량’(Soft Skill)을 최우선의 기준으로 삼았다. 견고하고 잘 짜인 보안 아키텍처를 설계하고 구현하는 것으로 일이 끝나지 않기 때문이다. 회사 내 다양한 이해관계자들이 보안 정책의 필요성을 명확히 이해하고, 이를 실제 업무에 자발적으로 실행할 수 있도록 만드는 설득의 과정이 더 중요하기 때문이다. 이를 위해 소통의 중요성을 거듭 강조했다.
아무리 선진적이고 뛰어난 보안 정책이라도 내부 구성원들의 공감대를 얻지 못하면 거추장스러운 장애물이나 무용지물이 되기 십상이다. 장 매니저 역시 입사부터 이러한 소통 역량을 긍정적으로 평가받았고, 현장에서도 부서 간 이견을 조율하고 합의점을 도출하는 데 가장 많은 에너지를 쏟고 있다.
장 매니저는 “맞춤형 보안은 보안팀 혼자 짊어지는 역할이 아니라, 조직 문화가 함께 만들어가는 결과물” 이라며, 고도화되는 금융 IT 환경에서 보안의 성패는 단순한 기술력을 넘어 전사적인 인식과 문화 형성에 달려 있음을 거듭 강조했다.
핀테크 최전선의 AI 보안 ‘통제와 유연성’ 사이의 황금 비율은?
대형언어모델(LLM)을 비롯해 AI 서비스 도입이 늘어나면서 핀테크 보안팀의 고민도 한층 깊어졌다. 그는 “금융회사 특성상 보안에는 ‘명확한 오답’이 존재하지만, AI 보안에 대해서는 아직 정답이 정립되어 있지 않다”며 “무작정 신기술을 차단하기보다는 규제 범위 내에서 최대한 유연하게 AI를 활용할 수 있는 환경을 만들기 위해 끊임없이 논의하고 개선하는 중”이라고 밝혔다.
이들이 AI 보안에서 핵심으로 꼽는 요소는 ‘데이터와 모니터링’이다. 어떤 데이터를 활용하느냐에 따른 비식별화·익명화 혹은 강력한 가드레일을 적용하며, 데이터가 저장되는 리전과 연계될 외부 서비스 구조를 판단해 종합적인 적합성을 평가한다.
특히 가시성 확보를 위해 LLM 사용 환경을 브라우저와 애플리케이션, 명령어 인터페이스(CLI) 세 가지로 구분해 탐지 커버리지를 점검하고 있다. 각 영역에 대한 모니터링을 위해 컴플라이언스 API, 3rd party 솔루션 또는 오픈텔레메트리(Otel)와 같은 오픈소스를 적극 활용해 식별하고, 추적 가능성을 확보하는 등 철저히 사용자 ‘행위’ 기반으로 부적절한 접근을 솎아내는 입체적 검증 체계 구축에 집중하고 있다.
▲장현호 토스증권 정보보호정책 매니저 [출처: 보안뉴스]
보안팀을 아우르는 ‘워크 앤 하모니’ 리더십
쉴틈없이 돌아가는 금융보안의 최전선에서 팀원들의 심리적 번아웃을 막고 조직을 건강하게 이끌기 위한 리더십도 ‘소통’에서 출발한다. 토스증권 보안팀은 실전 경험이 풍부한 시니어 비중이 높은 편이다. 따라서 단순한 외적 팽창보다 ‘워크 앤 하모니’(Work & Harmony)를 유지하며 지속 가능한 컨디션을 관리할 업무 환경 조성이 필수적이다.
장 매니저는 무엇보다 자신의 신체적, 심리적 상태를 솔직하게 표현할 수 있는 문화를 조직 운영의 핵심으로 꼽았다. 그는 “바쁜 환경일수록 무리하기 쉽지만, 자신의 상태를 솔직하게 표현하고 ‘아플 때 아프다고 말할 수 있는 문화’가 결국 조직의 지속 가능성을 만든다” 고 강조했다.
이러한 정책팀의 철학은 업무 강도와 리듬을 조율하며 일했던 긍정적 경험을 바탕으로, 구성원의 숙련도에 맞춘 리더십으로 발전하고 있다. 최근 합류한 신입에는 사수로서 명확한 목표와 기대치를 충분히 이해시키는 데 긴 시간을 쏟는다. 반면, 업무 숙련도가 궤도에 오른 시니어들에게는 불필요한 간섭을 줄이고 업무에 몰입할 수 있는 환경을 구성하는데 초점을 맞추고 있다.
장 매니저는 인터뷰를 마무리하며 “대고객 서비스는 단순한 체크리스트 점검을 넘어, 외부 공격자와 사용자 관점에서 발생할 수 있는 리스크까지 다각도로 꼼꼼하게 검토되어야만 세상에 나올 수 있다”며 “보이지 않는 곳에서 지속적인 모니터링 체계를 가동하며 단단하게 중심을 잡는 것, 바로 그 든든한 기반 위에서 전 임직원이 하나 되어 만들어 가는 ‘고객의 신뢰’가 보안팀이 지켜야 할 궁극적인 비전”이라고 말했다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
