국민 2명 중 1명이 사용하는 토스, “보안 이렇게 했다”

2024-11-25 18:04
  • 카카오톡
  • 네이버 블로그
  • url
’사용은 간편하게 보안은 강력하게’ 토스의 정보보호 방법 공유
토스 가디언즈 콘퍼러스에서 계열사 CISO가 밝히는 ‘토스의 정보보호 방법’


[보안뉴스 박은주 기자] IT 기술을 기반으로 금융 서비스를 제공하는 핀테크 산업이 발전하는 가운데, 국내 최대 핀테크 기업으로 ‘토스(Toss)’가 손꼽힌다. 누적 가입자 수가 약 2,800만명에 달해 국민 2명 중 한 사람은 토스를 사용하는 셈이다. 2013년 비바리퍼블리카 출범 이후 비약적인 성장을 이뤄 2023년 영업수익 1조 3,700억원을 기록하기도 했다.


▲(왼쪽부터) 장세인 CISO, 이종호 보안 리더, 이정하 CISO, 진기언 CISO, 강진희 CISO, 지정호 CISO[사진=보안뉴스]

토스가 이처럼 사랑받는 금융 서비스로 자리 잡을 수 있었던 데에는 수준 높은 정보보호 체계를 기반으로 쌓아온 신뢰가 큰 역할을 했다. 이러한 정보보호 노하우를 공유하고, 업계 전반의 보안 논의를 지속하기 위해 보안 콘퍼런스 ‘가디언즈(Guardians)’를 11월 25일 개최했다.

토스증권 지정호 CISO(정보보호최고책임자)는 토스의 계열사들을 ‘토스 커뮤니티’라고 소개하며 토스 커뮤니티의 전반적인 정보보호에 관해 설명했다.

지 CISO는 “토스는 ‘사용은 간편하게 보안은 강력하게’라는 철학으로 업무하고, 송금·은행·증권 등 다양한 서비스를 제공하며 금융 슈퍼 앱으로 거듭나고 있다”고 설명했다.

그는 “토스는 짧은 시간 동안 보안 관련 혁신을 이뤄왔다”고 말하며 △2020년, 앱 보안 솔루션 고객 토스가드 서비스 출시 △2020년, 금융권 최초 피해 안심 보장제 실시 △2020년, 사기 의심 계좌 사이렌 서비스 제공 △2022년, 피싱앱 자동 탐지 및 차단하는 토스 피싱제로서비스 출시 등에 관해 소개했다.

그는 “이렇듯 안전한 금융 서비스를 만들기 위해서 업계 최고의 인력을 모셔 왔다”고 말하며 “현재 토스 계열사에는 약 120명 정도의 핵심 보안 인력이 근무하고 있다”고 설명했다. 더불어 “계열사에 걸쳐 핵심 기술을 연구하고, 자체적으로 고객 보호를 위한 기술과 정책도 만들어내고 있다”고 밝혔다. 그 예로 이상행위를 감지하는 FDS 악성 앱 탐지 솔루션, 모바일 보안 솔루션 등을 들었다. 이 밖에도 ISO 27001, ISMS-P 등 보안 표준을 모든 계열사에 동일하게 취득해 토스 계열사의 전체적인 보안 수준을 끌어올렸다.

지 CISO는 “토스는 정보보호를 위해 적극적으로 투자를 진행하고 있다”며 “이러한 정보보호 모범 사례를 인정받아 금융보안 사이버 침해 위험 분석 대응 분야에서 4년 연속 우승하기도 했다”고 소개했다.

이처럼 토스 커뮤니티는 정보보호 방안을 공유하며 “같은 정보보호 업계는 정보 공동체라고 생각하고, 공격자와 싸우기 위해 집단 지성을 만들어내는 자리로 이번 콘퍼런스를 마련했다”며 “그동안 토스가 정보보호를 위해 활동한 내용을 허심탄회하게 공유할 테니 많은 정보를 얻는 유익한 시간 보내길 바란다”고 덧붙였다.


▲토스증권 지정호 CISO[사진=보안뉴스]

토스 CISO, 보안 리더가 말하는 토스 정보보호의 방향
토스에서 정보보호를 이끌어가는 계열사 CISO와 보안 리더가 토스 정보보호에 관한 소개하고 앞으로 방향을 제시하는 자리가 마련됐다.

첫 번째로 비바리퍼블리카 장세인 CISO는 “토스가 하는 고민, 기업 보안 담당자분들의 고민은 별반 다르지 않다”며 “저희(비바리퍼블리카)가 정보보호 하던 방식을 소개하고 피드백을 받으며, 서로 고민을 토로하면서 한층 업그레이드할 수 있는 시간이 됐으면 좋겠다”고 말했다.

이어서 토스의 보안 기술 리더이자 정보보안팀인 그린 팀과 퍼플 팀을 이끄는 이종호 리더가 마이크를 잡았다. 이 리더는 “그린팀은 보안 인프라 설계와 운영, 애플리케이션 보안 제품 자체 개발 등을 담당하고, 퍼플팀은 레드(공격)와 블루(수비)의 협업으로 공격자 관점에서 분석해 방어전략을 최적화하는 팀”이라고 설명했다.

그는 “IT 환경이 복잡해짐에 따라 자산을 명확히 식별하고 이를 기반으로 위험 모델을 설계해 우선순위를 정하는 작업을 진행하고 있다”며 “토스 환경에 최적화된 보안방식을 설계하고 구현하는 것을 목표로 한다”고 제언했다.

토스뱅크 이정하 CISO는 “이제는 규칙주의에서 원칙주의 보안(자율규제 보안)으로 이동하고 있고, 토스가 자율규제 혹은 자율보안 분야에서 앞장서 모범이 되고자 한다”며 “토스 계열사를 비롯해 정보보안 업무를 하는 보안 종사자들끼리 정보를 공유하며 시너지가 날 수 있었으면 좋겠다”고 밝혔다.

토스페이먼츠 진기언 CISO는 “페이먼츠 역시 획일적인 보안이 아닌 영역별로 점수를 매기고 리스크에 따른 보안을 유지하고자 노력하고 있다”며 “리스크 모델링을 활용해 보안 체계를 만들어가는 과정을 공유하고, 다양한 의견을 들으며 부족한 점을 보완하고자 한다”고 말했다.

토스모바일 강진희 CISO는 “토스모바일에서 제공하는 통신 서비스 역시 금융처럼 안전하고 편리하게 제공하고자 노력하고 있다”며 “금융, 통신, 이커머스 등 다양한 분야의 정보보호 전문가들과 협력해 더욱 발전된 정보보호 업무를 수행할 것”이라고 밝혔다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기