[뉴스웍스=유한새 기자] 개인정보 유출 사건은 하루가 멀게 발생하고 있다. 언젠가부터는 자신도 모르게 유출되는 일이 빈번하게 발생하고 있다. 하지만 금융권은 다르다. 주민등록번호부터 계좌번호까지 모든 정보가 담겨있다. 사소한 보안 문제가 금융 범죄로 이어지는 등 걷잡을 수 없이 커질 수 있다.

토스증권은 출범한 지 2년도 채 되지 않아 기존 증권사보다 보안이 취약할 것이라고 오해할 수 있다. 하지만 토스증권은 그런 오해를 부수고 보안 수준을 향상시키기 위해 스스로 추가적인 인증을 획득하고, 내부 임직원에게 보안에 대한 중요성을 끊임없이 환기시키고 있었다.

다음은 지정호 토스증권 정보보호최고책임자(CISO)와의 일문일답이다.

-토스증권 보안팀은 무슨 일을 하는가.

"토스증권 보안팀은 고객을 위해 내·외부 위협을 찾아서 대응하고, 임직원이 안전하게 서비스를 만들 수 있도록 임직원을 보호하는 역할을 하고 있다.

현재 토스증권 보안팀의 인원은 리더인 저를 포함해 ▲금융 정보보호 정책(2명) ▲개인정보보호(1명) ▲보안 엔지니어(4명) ▲보안 위협 분석(2명) ▲모의해킹(2명) ▲IT 매니저(2명) 등 총 14명으로 구성돼 있다.

먼저 금융 정보보호 정책 담당자는 회사가 정보 보호를 위해 지켜야 할 규칙을 만들고, 규칙에 따라 정보보호 관리체계가 잘 운영되는지를 주기적으로 점검하는 역할을 한다.

개인정보보호 담당자는 정보보호 관리체계에서 고객의 개인정보를 특화해서 지키는 역할을 하고 있다. 개인정보 수집부터 폐기까지 전체 과정을 총괄하고 있다.

보안 엔지니어는 네트워크 보안 엔지니어와 엔드포인트 보안 엔지니어로 나뉜다. 네트워크 담당 엔지니어는 내부의 시스템들을 경유하는 각 경로에 있는 모든 네트워크 보안 시스템에서 보안 위협을 찾아내 대응하는 역할을 하고 있고 엔드포인트 담당은 임직원 PC의 엔드포인트 단의 보안 위협을 찾아 대응하는 역할을 하고 있다.

모의해킹 담당자는 모든 인프라와 서비스를 대상으로 모의해킹을 수행하여 해킹 공격이 가능한 취약점을 찾아 조치하는 예방 점검의 역할을 한다. 

IT 매니저들은 임직원 PC보호를 위한 보안 설정이나 보안 프로그램에 문제가 생겼을 때 해결해 주는 역할을 하고 있다.

현재 토스증권 보안팀은 토스증권 IT 인력의 약 10%가량 차지하고 있으며 올해 21명까지 늘릴 계획이다"

-토스증권 보안팀 스스로 역량을 평가해본다면.

"전통적인 금융회사는 보안 수준이 매우 높고, 토스증권과 같은 신생 회사는 보안 수준이 미흡할 것으로 오해할 수 있다. 서비스를 출시한 지 2년도 안 됐기 때문이다.

하지만 토스증권은 관련 규제에서 요구하는 의무사항 준수는 물론, 정보보호를 위한 과제를 끊임없이 발굴하고 도전하며 보안 수준 향상을 위해 노력하고 있다.

지난 2021년 증권업계 최초로 정보보호 공시에 참여했고, 지난해에도 참여했다. 지난해에도 증권업계에서 정보보호 공시에 참여한 기업은 토스증권을 포함해 2개사뿐이다. 

지난해는 ISO 27001+27701과 ISMS-P 보안인증도 획득했다. 특히 ISO 27001+27701, ISMS-P 인증 획득과 정보보호 공시는 의무사항이 아닌 데도 토스증권 스스로 보안 수준 향상을 위해 자발적으로 이뤄낸 성과다.

지난해에는 토스 커뮤니티에서 자체적으로 개최한 '토스 버그바운티 챌린지(Toss Bugbounty Challenge)' 에도 참여했다. 버그바운티란 서비스 내 보안 취약점을 찾아낸 참가자에게 보상을 지급하는 제도다. 외부에 취약점을 찾아 달라고 공개하는 것은 그만큼 보안을 위한 적극적인 의지와 자신감이 뒷받침돼야 한다고 생각한다. 토스증권은 버그바운티로 취약점이 발견된 사례가 없었다"

-사실 투자자들은 기업들이 획득한 보안 인증에 생소하다. 토스증권이 획득한 보안 인증에 대해 자세하게 설명해줄 수 있는가.

"보안 수준은 어느 한 분야가 월등하다고 해서 높아지지 않는다. 오히려 어느 한 분야만 수준이 낮아도 전체 보안 수준이 낮아진다. 그래서 체계적이고 균형 있는 정보보호 관리체계가 필요하다. 토스증권은 위와 같은 목적으로 보안인증을 획득하고 있다.

단순히 인증서의 획득이 목표가 아니라 체계적이고 균형 있는 정보보호 관리체계를 위한 것이기 때문에 외부 컨설팅 등의 도움 없이 자체 역량만으로 보안인증을 획득하고 있다.

토스증권은 지난해 ISO 27001+27701과 ISMS-P 보안인증을 획득했는데 ISO 27001과 27701은 각각 정보보호와 개인정보보호 관리체계의 표준이 되는 보안인증이다. 다른 보안 인증도 대부분 이 ISO 인증에 근간을 두고, 목적에 특화된 요구사항을 추가하는 형태로 이루어져 있을 정도다.

ISMS-P는 정보보호 관리체계와 개인정보보호 관리체계 인증이 합쳐진 보안인증이다. 심사기관은 인터넷진흥원(KISA)과 금융보안원(FIS)가 있는데, 토스증권은 금융보안원으로부터 심사를 받았다. 금융보안원의 심사는 ISMS-P-FIS라고 부른다. 기존 ISMS-P 요구사항에 더해 금융회사에 특화된 보안 요구사항까지 심사받는다"

-보안 강화를 위해 중점에 두는 것은 무엇인가.

"먼저 정보보호에 대한 임직원과 경영진의 공감을 만드는 것이 가장 중요하다.

정보보호 활동이 보안팀을 위한 활동이 아니라 회사를 지키기 위한 활동이라는 공감이 바탕이 되지 않으면 아무리 열심히 노력해도 보안 취약점이 생길 수밖에 없다.

두 번째는 보안팀의 인력 구성을 중요하게 생각하고 있다. 보안팀의 멤버 한 명 한 명이 각자의 분야에 대해서 탁월한 역량을 가지고 있는 분들로 팀을 구성하고 있다. 하나의 보안 위협에 대해서 서로 의견을 주고받으면서 완성도 있는 보안 전략을 만들어 낼 수 있다.

세 번째는 자동화다. 보안 위협을 모두 대응하고자 보안팀을 계속 키워갈 수 없기에 식별되는 보안 위협에 대해 대응 전략을 만들고, 위협의 식별과 대응을 최대한 자동화하려고 한다. 자동화로 인해 보안 위협을 신속하고 대응할 수 있고, 인적 리소스는 더욱 고도화된 위협을 대응하는데 활용할 수 있다"

-회사 내부에서 보안 교육은 어떻게 이루어지고 있는가.

"모든 임직원은 입사 첫 주에 정보보호 교육을 받는다. 정보보호를 위한 규칙을 빨리 알려주고, 보안팀의 의지를 잘 전달하기 위해 보안팀 리더가 매주 직접 교육을 진행하고 있다.

매년 의무적으로 수행하는 정보보호 교육도 최대한 재미있게 참여하고 호응할 수 있도록 제작하고 있다. 올해는 보안팀의 팀원들이 직접 교육자료의 더빙에 참여하기도 했다.

사회적으로 이슈가 되는 보안 위협 등이 발생하면 전사 위클리 세션이나 공지사항을 통해 보안 이슈의 내용과 대응 방법을 안내하고 있다.

또한 임직원의 보안 인식 점검 및 제고를 위해 이메일 모의훈련이나, 월간 보안점검 등을 시행하고 결과를 공유하고 있다.

재택근무나 외근과 같이 회사 외부에서도 인터넷을 하더라도 모든 트래픽이 회사 내부 보안망을 경유하도록 해 외부에서 침투하는 해킹 및 악성코드에 노출되지 않게 하는 시스템도 구축해 놨다. 

사소하지만 컴퓨터 화면을 켜 놓고 자리를 비운 직원을 발견해서 신고하는 제도가 있다. 특별한 페널티는 없지만 일상에서도 보안을 신경 쓸 수 있도록 환기시켜 주는 제도로 사용되고 있다"

-보안 관련 사건은 대형 사건이 많다. 그 외로 개인 투자자 스스로 보안을 지키기 위해서는 어떤 노력이 필요한가.

"비대면 금융 활동이 활발한 시기에 가장 중요한 것은 핸드폰 관리다.

예를 들어 지나가는 사람이 잠깐 전화 좀 빌려 달라고 했을 때 선뜻 빌려주는 사람이 많다. 하지만 주민등록증을 빌려 달라고 했을 때는 당연히 경계한다. 이제는 핸드폰에 주민등록증과 비교도 안 될 정도로 정보가 많이 담겨있기 때문이다. 핸드폰 관리의 책임은 본인 스스로에게 있다.

그래서 토스증권은 휴대폰을 타인의 사용으로부터 보호해주기 위해 토스 앱을 켤 때나 중요한 거래를 할 때마다 항상 인증받아야 하는 시스템으로 만들었다. 자신의 핸드폰은 자신만 쓸 수 있도록 유의하면 문제가 없을 것이다. 그 외 보안은 토스증권에서 관리해 줄 것이다"