Top
검색버튼 메뉴버튼

SR4. Interview: 토스뱅크의 이정하 CISO와 전승재 변호사

“금융이 간편해야 보안이 강력해져 상품 기획부터 보안 담당자 참여”

이규열 | 343호 (2022년 04월 Issue 2)
Article at a Glance

비바리퍼블리카의 계열사인 토스뱅크는 2021년 10월 출범 이후 현재까지 고객이 크게 급증했음에도 보안 사고 없이 안정적으로 운영되고 있다. 토스뱅크는 빠른 소통과 수평적인 조직 문화를 바탕으로 서비스 초기 기획 단계부터 보안 담당자들이 참여하는 보안 내재화를 추구했다. 또한 안면 인증이나 국내외 인증 등 자체 보안 역량을 확보하고 있다. 외부 헤드헌터가 아닌 내부 리크루터가 구인 대상을 직접 접촉하는 방식으로 보안 관련 인재를 채용하는 것도 특징이다.



‘회색 코뿔소’란 말이 있다. 지속적인 경고로 충분히 예상할 수 있지만 쉽게 간과하게 되는 위험요인을 뜻한다. 현재 기업의 보안 정책을 회색 코뿔소에 비유할 수 있다. 마이크로소프트, 삼성전자 등 굵직한 기업들이 해커로부터 사이버 공격을 받았다는 소식이 연이어 보도되고 있다. 지난 3월 도요타는 해커의 공격으로 일본 내 모든 공장이 중단되는 사태를 겪기도 했다. 사이버 공격의 빈도와 규모는 점점 커지고 해커들의 전략도 점점 교묘해지지만 보안 전문가들은 기업들이 디지털 전환(Digital Transformation)에 쏟는 노력만큼 보안에는 큰 노력을 기울이지 않는다고 입을 모은다.

그 와중에도 비교적 보안에 큰 공을 들이는 업계가 있다. 바로 핀테크 업계다. 금융업계는 고객들의 민감한 개인정보를 다루는 만큼 과거부터 보안을 중요하게 여겨왔다. 금융에 디지털을 더한 핀테크 업체들의 경우 해커들의 표적이 되기 쉬우며 더더욱 보안을 신경 쓸 수밖에 없다. 게다가 핀테크 업계는 태동하던 때부터 보안이 고객들의 진입장벽으로 작용했다. 지금은 공인인증서 없이 비밀번호나 생채 인증으로 간편하게 송금을 하는 게 낯설지 않지만 처음 간편 송금 서비스가 시장에 출시됐을 때 대부분의 사람은 ‘과연 안전한 거래가 맞나’ 하는 의구심이 앞섰다. 따라서 핀테크 업계에서는 보안 자체가 성장을 위한 전제 조건이다.

실제 핀테크 기업들은 기존 금융사보다 보안에 더 공격적으로 투자하는 것으로 알려졌다. 2021년 10월 더불어민주당 민형배 의원이 금융감독원으로부터 입수한 자료에 따르면 카카오페이, 네이버파이낸셜, 비바리퍼블리카(토스), NHN페이코 등 4개 빅테크 플랫폼의 평균 매출액 대비 보안 투자 비율은 2.41%로 0.32%를 투자하는 은행, 카드사, 증권사보다 7.5배가량 높았다. 4개사 중 비율이 가장 높은 기업은 NHN페이코(3.54%)이며 비바리퍼블리카(3.45%), 카카오페이(2.23%), 네이버파이낸셜(0.44%)이 뒤를 이었다. 실제 보안에 투자한 금액으로는 비바리퍼블리카가 60억8500만 원으로 가장 컸다. 카카오페이는 54억7500만 원, 네이버파이낸셜은 30억8400만 원, NHN페이코는 9억8000만 원을 썼다. 보안 인력에 대한 투자 역시 기존 금융사들보다 핀테크 기업들이 앞서는 것으로 나타났다. 전체 임직원 수 대비 보안 인력 비율은 4개사 평균 3.53%로 0.88%의 기존 금융사보다 4배가량 높다. 비바리퍼블리카(4.9%), 네이버파이낸셜(4.26%), 카카오페이(2.59%), NHN페이코(2.38%) 순이다.

이 자료에 따르면 보안 예산과 인력에 가장 많은 투자를 기울이는 기업은 토스를 운영하는 비바리퍼블리카다. 비바리퍼블리카가 다른 3개 회사와 구별되는 점은 IT 공룡이나 금융사로부터 파생되지 않은 ‘본투비 핀테크’, 즉 태생부터 핀테크 기업이라는 점이다. IT나 금융 보안에 대한 노하우를 전수해 줄 모기업은 없지만 비바리퍼블리카는 구성원들의 역량과 자율을 기반으로 한 조직 문화를 앞세워 ‘간편한 금융’ 혁신을 이뤄나가고 있다. 특히 2021년 10월 론칭한 토스뱅크는 하루만 입금해도 연 2% 이자를 지급하는 파격적인 혜택으로 큰 관심을 끌며 출범 5개월 만인 지난 3월 고객 수 235만 명을 돌파하는 등 초고속 성장을 이어가고 있다. 무엇보다도 2022년 4월 초까지 보안 관련 이슈에 있어서는 무사고 순항 중이다.1

기업 내 보안 담당자들과 보안 임원들이 가장 큰 어려움을 호소하는 점이 ‘보안 내재화(Security by Design)’가 이뤄지지 않는다는 점이다. 제품이나 서비스가 기획되는 과정부터 보안 담당자들이 개입하지 못하고 마무리 단계가 돼서야 보안 담당자들을 찾아온다는 것이다. 보안을 지원의 역할 정도로 이해하기 때문이다. 그러나 토스뱅크의 이정하 CISO(Chief Information Security Officer, 최고정보보호책임자)는 “토스뱅크에서는 보안 담당자들이 서비스 기획 초기 단계부터 참여한다”고 말한다. 올해 1월에는 화이트 해커 출신의 전승재 변호사가 개인정보 보호 담당 변호사로 합류하며 더욱 탄탄한 보안 역량을 갖추게 됐다. 토스뱅크는 어떻게 보안 내재화를 이룰 수 있었을까. DBR가 토스뱅크의 이정하 CISO와 전승재 변호사를 만나 보안 정책과 전략에 대해 들었다.

047


여러 기업 보안 담당자가 예산 부족에 시달리고 있다는 지적이 나온다. 토스뱅크의 경우 보안에 얼마나 투자하고 있나.

이정하(이) 금융사는 보안 관련된 투자를 판단하는 기준으로 IT 투자 대비 보안 투자 비율을 따진다. 법적인 효력은 없지만 금융감독원(금감원)에서는 이 비율을 7% 이상 확보하라고 권고한다. 보통 금융사들의 경우 이 비율이 10% 정도로 알려져 있다. 금감원이 제시한 기준에 상회하는 예산을 확보하고 있는 것이다. 2022년 토스뱅크는 약 12% 정도의 예산이 잡혀 있다.

금융권이야 과거부터 보안을 중요하게 생각해왔지만 보통 기업들에서 보안팀은 성과를 내기보다는 돈을 쓰는 팀이라는 인식이 강하다. 충분한 투자보다는 최소한의 예산만 들이려는 게 일반적이다. 인력 채용도 마찬가지다. 당장 팀에 사람이 필요해도 지금 채용 여지가 있는지, 회사 전체 사정을 먼저 따지면서 눈치를 보기 일쑤다. 예산을 더 확보하는 건 둘째 치고 예산을 지키는 게 현실적인 문제다.

보안에 대한 투자는 경영진의 인식에 달려 있다. 토스뱅크의 경우 핀테크 업계 특성상 경영진 선에서 고객들의 신뢰가 가장 중요한 가치 중 하나라는 인식이 강하게 형성돼 있다. 이승건 비바리퍼블리카 대표2 는 2018년 국제 사이버 시큐리티 콘퍼런스에서 키노트 연사로 참여한 경험도 있다. 아시아에서 최대 규모로 열리는 사이버 보안 관련 콘퍼런스인데 핀테크 기업의 대표가 키노트 연사로 참여한 건 이례적이다. 학계와 업계의 인정과 더불어 대표 스스로가 보안에 대한 관심과 이해 없이는 불가능한 일이다. 토스뱅크에서는 예산과 인력이 필요한 이유가 타당하다면 보안 이슈에 대해서도 추가적인 지원을 받을 수 있다.

보안은 조직 전체가 조심해야 할 이슈인데 여러 기업 사례를 보건대 보안팀 담당자들을 제외하곤 크게 신경 쓰지 않는 분위기인 듯하다. 개인정보 보호 교육도 면피에 그친다는 지적도 있는데.

보안은 하나의 ‘업무’가 아니라 ‘문화’로 자리 잡아야 한다. 그 중요성을 충분히 인지하고 실생활에서 적용할 수 있는 방안을 몸으로 익혀야 한다. 토스뱅크에서는 온보딩 과정에 보안 교육이 포함돼 있다. 입사 1∼2주 내에 CISO인 내가 직접 이들을 만나 1시간30분 정도 교육을 진행한다. 기본적으로 핀테크 업계에 발을 들인 사람들이다 보니 보안이 중요하다는 사실 자체는 모두가 알고 있다. 업무에서 발생할 수 있는 보안 위반 사항에는 어떤 점들이 있는지 등 실제 현장에서 마주할 수 있는 보안 문제들을 사례 중심으로 설명한다. 여기에 더해 수시로 경영진도 보안에 대한 중요성을 설파한다. 그 덕인지 업무 중 잠시 자리를 비울 때 화면 잠금 처리를 하는 등 보안의 생활화가 비교적 원활하게 이뤄지고 있다. 누군가 깜빡하고 화면을 잠그지 않은 채로 자리를 뜨면 주변에 있던 동료가 대신 화면을 잠가 주기도 한다.

전승재(전) 보안 정책을 비현실적으로 까다롭게 만드는 것도 문제가 될 수 있다. 꼼꼼하게 보안을 지키고자 복잡한 보안 정책을 만들지만 되레 임직원들이 예외적인 상황에서만 써야 하는 예외적인 프로세스를 남용하게 만드는 부작용을 낳을 수 있다. 정식적인 보안 정책을 잘 지키면 오히려 일을 더 힘들게 해야 하는, 즉 착한 사람만 바보가 되는 분위기가 형성되면 임직원들은 보안 정책의 존재 자체에 의문을 갖게 된다. 그리고 이는 필연적으로 보안 실패로 연결된다. 자리를 비울 때 화면 잠금 처리와 같이 모두가 어렵지 않게 따를 수 있는 보안 정책이 필요한 이유다.

이 이처럼 보안이 하나의 문화처럼 자리 잡으면 현장 실무자들이 먼저 거리낌 없이 보안팀에 정책을 제안하기도 한다. 특히 고객 서비스 담당자들의 경우 고객과의 접점에서 직접 개인정보를 다루다 보니 실무를 하면서 개선이 필요한 점들이나 자신이 생각하는 개선 방향성 등을 적극적으로 제안하기도 한다. 고객들의 관점이 담긴 제안이라 매우 값진 정보들이다. 여러 이해관계자의 의견을 반영한 보안 정책을 임직원들과 함께 강화해 나가고 있다.

임직원들 사이에 보안이 중요하다는
공동의 합의가 형성된 것 같다.

그렇다. 모두가 보안의 중요성에 공감하고 있어서 보안 담당자들이 다른 조직들과 협업하는 일이 원만하게 이뤄진다. 토스뱅크의 조직 역시 다른 IT 기업과 마찬가지로 메이커 조직과 서포팅 조직, 즉 기획 조직과 지원 조직으로 구분되며 보안팀은 서포팅 조직이다. 그렇지만 보안팀이 직접 제품의 초기 개발 단계부터 참여한다. 최종 사용자에게 제품이 노출되기 전까지 메이커 조직과 함께하며 보안을 강화해 나간다. 즉, 첫 단계에서부터 보안 내재화가 이뤄지는 것이다.

보안 내재화가 이뤄지기 위해서는 보안 담당자들이 서비스에 대해 이해하고 있어야 한다. 토스뱅크에는 은행을 비롯한 다양한 출신의 금융 전문가가 있다. 이들이 자체적으로 은행 업무에 필요한 지식을 전수하는 세미나를 열기도 한다. 보안 담당자들 역시 인터넷 전문 은행 상품과 서비스에 대한 지식을 바탕으로 보안을 강화하기 위해 적극적으로 세미나에 참여하고 있다.

간편한 사용자 경험(UX)이 오히려 보안에는
악영향을 미치는 게 아니냐는 우려도 있다.

오히려 반대다. 애플리케이션(앱)과 사용자 경험(UX)이 단순할수록 보안이 강해진다. 보안은 성을 지키는 일과 같다. 앱과 사용자 경험이 복잡하다는 건 지켜야 할 성문이 많다는 뜻이다. 해커들이 침입할 수 있는 경로도 다양해지고 보안 담당자들이 점검해야 할 사항도 많아지는 것이다.

토스뱅크를 비롯해 비바리퍼블리카의 핵심 가치는 간편한 금융이다. 고객에게 편리한 금융 서비스를 제공하되 보안 측면에서도 안전을 보장해야 한다. 과거에는 전자 금융 거래에 보안을 적용하기 위해 Active X와 같은 설치형 보안 소프트웨어를 이용했다. 이 같은 설치형 보안 소프트웨어는 매끄러운 사용자 경험의 흐름을 끊는 주범으로 인식됐다. 2021년부터 공인인증서가 폐지되자 더 이상 인증서 발급을 위해 Active X를 비롯한 보안 프로그램을 설치할 필요가 없게 됐다. 토스뱅크를 비롯한 금융사들 역시 더욱 간편하면서도 안전한 금융 서비스를 선보이기 위해 인증, 기술 등 자체적인 보안 역량을 확보하는 데 고군분투하고 있다.

토스, 토스뱅크, 토스증권 등 비바리퍼블리카의 핵심 서비스들이 모두 ‘원 앱’, 즉 하나의 앱으로 구현되는 것도 서비스 간 시너지를 일으켜 편리성과 안전성을 한 차원 더 업그레이드하기 위함이다. 토스와 같은 앱을 사용하는 토스뱅크는 토스가 적용하는 보안을 모두 적용한다. 토스는 자체 역량으로 취득한 국내 정보보호 관리 체계 인증인 ISMS, 정보보안 분야 국제표준인증 ISO 27001, 글로벌 데이터 정보보안표준 PCI-DSS 등을 취득했다. 작년 10월에는 금융보안원이 주최하는 금융보안 위협분석대회에서 주어진 32개 문제를 모두 해결해 1위를 차지하기도 했다. 계열사의 보안팀들이 모여 주기적으로 각 서비스를 모의 해킹하며 보안을 점검하기도 한다.

토스뱅크 보안팀은 토스뱅크만을 위한 보안을 추가로 설계해 반영한다. 토스뱅크는 인터넷 전문은행으로 비대면 상품을 중심으로 영업하고 있으며 마찬가지로 비대면 서비스에 대한 보안에 주력하고 있다. 예컨대 고객의 편리한 거래를 위해 금융위원회로부터 혁신금융서비스로 지정받은 안면 인증 기술을 고액 송금에 적용했다. 토스뱅크 역시 자체 보안 역량을 강화하기 위해 국내 및 국제 정보보호 관리 체계 인증을 획득할 예정이다.3

토스뱅크의 보안을 책임지면서 겪는 어려움은 없는지?

팀을 꾸리는 팀 빌딩이 가장 까다로웠다. 2020년 6월 토스뱅크에 합류하며 보안팀을 구축하는 과정부터 참여했다. 보안팀을 확대 운영할 계획이라 현재까지도 인재 채용을 계속하고 있기에 꾸준히 보안 인재 시장을 탐색하고 있다. 살펴보면 인재가 없다는 표현보다 인력 자체가 부족하다는 표현이 더 정확한 것 같다. 20년 넘게 보안 업무를 맡고 있는데 요즘은 ‘보안을 하는 사람이 이렇게까지 없었나’ 하는 생각이 들 정도다. 핀테크뿐 아니라 IT 스타트업들이 늘어나면서 자연스럽게 보안 인재에 대한 수요가 높아진 것 같다. 이런 인재 가뭄 속에서 팀에 필요한 역량을 갖춘 우수한 인재를 발굴하고 섭외하기 위해 사내 리크루터들이 직접 발로 뛰고 있다. 나 역시 링크트인 등 커리어 플랫폼에 직접 채용 공고를 올려 인재 영입에 적극 참여하고 있다. IT 업계에서는 익숙한 채용 프로세스지만 기존 기업이나 금융사에서 주로 활동하던 보안 담당자들에게는 꽤나 신선한 방식이다.

나 역시 리크루터의 제안을 계기로 토스뱅크에 합류하게 됐다. 사실 로펌에 있을 때 매주 수차례씩 채용 제안이 왔다. 토스뱅크로부터 채용 제안을 받았을 때 마침 경쟁사 1곳으로부터도 채용 제안을 받았다. 그런데 두 회사의 제안은 매우 달랐다. 경쟁사에서는 외부 헤드헌터를 통해 연락이 왔다. 자격 조건을 충족하는 변호사들에게 일괄적으로 메시지를 뿌리는 형식이었다. 예컨대, “고연차의 개인정보 보호 전문 변호사님 구합니다” 같은 식이었다. 반면 토스뱅크에서는 나의 활동 이력과 토스뱅크에서 필요로 하는 직무에 대한 설명이 상세히 적힌 담긴 제안이 왔다. ‘나만을 위한 편지’를 받은 느낌이었다. 크게 이직을 고려하던 때도 아니었는데 ‘한번 만나서 얘기나 들어볼까’ 하는 생각이 들었다. 그런 이유로 인터뷰를 갖게 됐고, 결국 토스뱅크에 합류하게 됐다.

051


사내 변호사로서 겪는 어려움은 혁신적인 서비스를 만들다 보니 기존 법 제도에서는 심각하게 고민해보지 않았던 문제들을 현실에서 고민하게 된다는 것이다. 선례가 없는 서비스를 만들다 보니 법적으로도 참고할 선례가 없는 경우가 있다. 이때에도 법적으로 발생할 수 있는 위험은 없는지 점검해야 한다. 법뿐만 아니라 서비스와 기술에 대한 이해도 필요해 보안 담당자를 비롯해 기획자, 개발자와의 끈끈한 소통이 필요하다. 보통 기업에서는 팀 간 커뮤니케이션이 필요할 때는 각 팀의 팀장을 통해 질문을 전달한다. 또한 형식적인 결재나 공문이 필요한 경우도 다반사다. 법률 검토에도 제동이 걸린다. 토스뱅크에서는 직급과 상관없이 실무자들끼리 직통으로 소통이 가능하다. 궁금한 게 있으면 바로 담당자에게 물어볼 수 있어 빠르고 정확한 법률 검토가 가능하다.

보안 사고는 아무리 조심해도 발생할 수 있다.
사후 대응도 중요한 것 같은데.

어느 회사든 보안 사고에 대한 대응 매뉴얼이 마련돼 있다. 보안 담당자, 개발자부터 커뮤니케이션 담당자까지 어떤 단계에, 어떤 일을 해야 하는지, 누구에게 보고가 필요한지 등 상세히 기록돼 있다. 토스뱅크도 마찬가지다. 다만 사고가 자주 발생하지는 않는 터라 실제 상황이 발생할 경우 우왕좌왕할 수 있다. 주기적인 대응 훈련이 필요한 이유다.

보안 사고는 교통사고와 비슷하다. 아무리 조심해도 언제 사고가 날지 모른다. 사고율이 0%가 될 수는 없다. 교통사고가 나면 현장에서는 경찰을 불러야 할지, 보험사만 부르면 될지 판단을 내린다. 정보보호의 영역에서도 서비스 장애, 고객 정보 유출 등 사고 유형을 빠르게 파악해야 한다. 사고 유형에 따라 법적으로 필요한 대응 절차가 다르기 때문이다. 사고의 규모와 파급 효과에 따라서도 필요한 조치가 다르다. 사고에 따라 기업은 참고인이 될 수도 있고, 피의자가 될 수도 있다. 지금 당면한 사고의 번지수를 빠르고 정확하게 판단하는 게 급선무다.

052


전승재 변호사는 정보보호 사고의 판결 사례를
분석한 책을 내기도 했다. 법적으로 잘 대응한 사례와 그렇지 않은 사례는 무엇인지?

소송 판결을 모은 책이다 보니 잘 대응한 경우를 꼽기는 어렵다. 그래도 비교적으로 잘 대응한 경우를 따져 보자면 앞서 이야기한 것처럼 번지수를 바로 잘 찾은 케이스다. 예컨대, 고객 계정 도용이 발생했지만 재빠르게 사고가 발생한 사실을 파악하고 조치를 취해 고객의 돈이 인출되는 등의 피해 확산을 막은 경우다. 계정 도용 자체를 막지 못한 데 대한 과실이 일부 있더라도 후속조치를 통해 금전 손해를 막았다는 점을 외부에 소명할 수 있고 소송까지 가지 않을 수도 있다. 가장 잘못 대처한 케이스는 사고 사실을 은폐하려다 일을 더 크게 키운 사례다. 2017년 A사에서 해커들의 공격으로 정보 유출 사고가 발생했고 고객들의 재산이 억 단위 이상 출금됐다. A사는 해킹당한 사실과 정보가 유출된 사실을 회원들에게 알리지 않았고, 관할 기관인 방송통신위원회 등에 신고도 하지 않았다. 피해자들의 신고가 이어지고 사건이 알려지기 시작했는데도 A사는 홈페이지에 ‘회원들의 재산이 안전하게 보호되고 있다’는 거짓 공표를 하기도 했다. 국내에서 사업주 개인에 대한 형사처벌이 내려진 몇 안 되는 사례로 2022년 4월 초인 지금까지 항소심이 진행되고 있다.

2022년 경영 상황에서 기업들은 보안 강화를 위해
무엇을 신경 써야 하나?

우선 오픈 소스 보안이다. 과거에는 누구나 사용할 수 있는 오픈 소스로 제공되는 소프트웨어들이 품질이 좋지 않거나 최적화 등 문제가 많았는데 최근에는 그 수준이 많이 높아졌다. 직접 만들어 쓰는 것보다 오픈 소스를 활용하는 편이 훨씬 효율적이다. 그러나 오픈 소스는 말 그대로 누구든 접근할 수 있기 때문에 해커 입장에서도 오픈 소스 해킹을 성공하면 오픈 소스를 만든 기업이나 개인뿐 아니라 해당 오픈 소스를 사용하고 있는 모두에게 접근해 공격할 수 있다. 오픈 소스 제공자들은 이런 보안 문제를 막고 품질을 개선하기 위해 빈번하게 패치를 하는데 이러한 패치 과정에서 해커들이 심어 둔 악성 코드가 숨어 있을 수도 있다. 오픈 소스를 도입하기 전에 공급자가 믿을 만한지, 보안상 문제가 없는지 미리 점검해야 한다. 새로운 패치가 나왔다면 해당 패치에 보안적 취약점은 없는지 검토해야 한다.

모니터링을 더 강화할 필요도 있다. 실제 규모가 작거나 보안 담당자가 없는 기업에서는 보안 사고가 발생했는데도 모르고 넘어가는 경우를 어렵지 않게 발견할 수 있다. 해커들의 공격 수법이 점점 더 교묘해지고 있다. 인터넷으로 연결될 수 있는 모든 지점에서 공격이 발생할 수 있다. 실제 공격이 발생했다면 누구에게, 그리고 어떤 지점을 공격받았는지 등을 감지할 수 있어야 2차적인 피해를 방지할 수 있다.

해킹도 공부해보고, 법도 공부해 본 입장에서 보면 법 못지않게 해킹 공부가 어렵다. 보안 전문가들이 그만큼 어려운 공부를 한 사람들이니 그에 합당한 대우가 있어야 한다고 생각한다. 최근 보안 인재들에 대한 수요가 크게 늘어난 걸 체감한다. 보안 전문가들에 대한 처우도 점차 개선될 것으로 보인다.

정보 보호의 실패는 결국 법적 책임으로 연결된다. 법 정책과 보안 정책이 함께 갈수밖에 없는 이유다. 최근 정권 교체 등 국내외적 이슈로 정보 보호 관련 규제에 크고 작은 변동이 있을 것으로 예상된다. 보안팀과 법무팀의 협업 관계가 더더욱 긴밀해질 필요가 있다. 더불어 법은 결국 사회 구성원들의 합의를 반영한다. 여러 기업에서 일하는 보안 담당자들끼리 어느 정도의 공감대를 형성하는 작업이 필요하다. 그래야만 현장 전문가들의 관점이 반영된 합리적인 보안 정책이 우리 사회의 법 제도에 반영될 수 있다.


이규열 기자 kylee@donga.com

관련기사