[아이뉴스24 박은경,이재용 수습 기자] "토스에는 다른 회사들은 가질 수 없는 토스 보안 기술팀이 개발한 자체 보안솔루션을 탑재하고 있습니다. 보안 기술로는 동종업계 국내 최고 수준으로 끌어올렸다고 자부합니다"
지난 1월 토스에 둥지를 튼 토스 '보안기술팀'의 시너지는 기대 이상이었다. 세계 최고 수준의 화이트해커로 전 세계 해킹 대회를 섭렵한 이종호 리더를 주축으로 뭉친 보안기술팀은 일 년도 안되는 사이 토스만의 자체 보안 솔루션을 최고 수준으로 끌어올리고 국내 해커대회 1등을 통해 존재감을 드러냈다.
![(왼쪽부터)토스 보안기술팀의 정한솔 매니저, 이종호 리더, 표상영 매니저가 인터뷰에서 답변하고 있다. [사진=토스]](https://image.inews24.com/v1/bfcc71859478e3.jpg)
토스뱅크부터 토스증권까지 토스만의 '원 앱' 전략 실현이 가능했던 것도 토스의 보안기술이 뒷받침하고 있었기 때문이다. 토스뱅크는 은행 점검 시간에도 고객 이용의 불편이 없도록 예약 송금을 실시하고 있는데 이런 서비스 또한 보안 기술력을 기반으로 이뤄지고 있다.
보안기술팀의 활약 덕분에 일 년새 토스 보안기술력이 국내 최고 수준으로 성장했다는 평가다.
사전적으로 해커란 '컴퓨터 또는 컴퓨터 프로그래밍에 뛰어난 기술자로서 컴퓨터 시스템 내부구조 및 동작에 심취하여 이를 알고자 노력하는 사람'이지만 대내외적으로는 기술을 이용해 내부정보를 탈취하는 부정적 이미지가 강하다. 반면 역으로 이를 막는 '화이트 해커'도 존재하는데 토스 보안기술팀은 자체 보안팀과 별도로 화이트 해커들로 구성된 보안기술 전문 조직이다.
구글을 비롯한 글로벌 플랫폼 기업에선 화이트 해커 팀이 뿌리를 내리고 있지만 국내에선 보기 드문 사례로 뽑히고 있다.
<아이뉴스24>가 지난 10일 토스 보안기술팀의 이종호 리더, 표상영 매니저, 정한솔 매니저를 만나 해커들의 세계과 토스 보안기술에 관한 얘기를 나눴다.
◆ 평균연령 20대 '보안기술팀' 글로벌 해커를 품다
토스 보안기술팀은 토스의 내외부 보안기술을 컨트롤하는 조직으로 위협을 사전방어하는 동시에 최신 보안트렌드를 개발연구해 토스 서비스 전반에 적용하고 있다. 지난 1월 꾸려졌으며 현재 7명으로 구성된 평균연령 20대의 젊은 팀이다.
토스에는 기존에도 보안 유관부서가 존재했지만, 화이트해커 팀인 보안기술팀은 이와 별도로 꾸려졌다.
지난달 27일 토스는 9월 3일부터 열흘간 열린 국내 유일한 해킹대회인 금융보안원 주관 '피에스타 2021 금융보안 위협분석 대회(금융보안 위협분석 대회)'에서 1위를 차지한 바 있다. 토스 보안기술팀은 사내 카페명인 '커피 사일로'라는 팀명으로 출전했다.
보안기술팀은 대회에서 1등을 할 수 있었던 비결로 모의 해킹 테스트 등 사전학습을 통한 결과와 팀워크의 조화라고 답했다.
"최신 기술 리서치나 해킹 커뮤니티 활동 등을 통해서 최신 보안 기술 트렌드를 따라가고 있는데, 이를 통해 익힌 익숙한 문제가 나와 다른 팀들보다 수월하게 문제를 해결할 수 있었습니다."
◆ 화이트해커에게 중요한 건 '기본기'와 '창의력'
이들이 화이트해커가 되기로 결심한 계기도 비슷하다. 모두 어린시절부터 컴퓨터를 가까이 접하며 게임을 즐겨하는 과정에서 해킹에 흥미가 생겼다고 답했다.
정한솔 토스 매니저는 "어릴 적 부모님이 PC방을 운영하시다 보니까 컴퓨터에 접할 기회가 많았다"고 전했다.
"그러다 보니 게임에 관심이 많아졌고 제가 또 호기심이 많은 성격라서 게임 해킹 같은 게 어떻게 동작하는지 흥미를 느끼게 됐어요. 커서는 제가 이런 해킹을 막아주는 화이트 해커가 되고 싶다는 생각이 들었습니다."
해커 특히 '화이트 해커'는 대중에게 생소하기 마련이다. 화이트해커를 꿈꾸는 이들이라면 우선 컴퓨터에 대한 탄탄한 기본기부터 쌓아야 한다.
"해커가 되려면 기본적인 컴퓨터 사이언스 의식을 탄탄하게 쌓는 게 중요하거든요. 해킹이라는 것 자체가 기존에 만들어진 제품을 분석해 잘못된 흐름이 있다면 로지컬하게 파악하고 그것을 해결하기 위한 방안을 연구를 하는 분야예요. 창의력으로 활동을 해야 하기 때문에 일단 기본기가 가장 중요합니다. 그 기본적인 지식을 기반으로 본인만의 노하우를 지속적으로 쌓아가면 좋은 해커가 될 수 있으리라 봅니다."
◆ 글로벌 최고 화이트 해커가 토스에 온 이유는?
![이종호 토스 보안기술팀 리더가 인터뷰에서 답변하고 있다. [사진=토스]](https://image.inews24.com/v1/767a0651afdff0.jpg)
이 리더는 미국 데프콘, 일본의 세콘, 대만 히트콘 등 세계 3대 해킹 방어 대회를 휩쓸어 국내 보안 업계에선 '레전드'로 손꼽히는 보안 전문가다. 그는 토스를 선택한 이유로 토스의 문화를 꼽았다.
"토스는 업무에 몰두할 수 있는 환경이 보장된다는 점이 화이트해커 문화와 들어맞아서 선택했어요. 기업보안이라는 것은 보안팀만 열심히 한다고 되는 부분이 아니고 모두가 보안을 신경써야 하는 만큼 더 어려운 것이거든요. 그런데 토스는 모니터를 켜두면 벌금을 낸다든지 하는 방식으로 모두가 보안 문화 구축을 위해 노력하는 환경이 갖춰져 있어요."
실제 토스는 일정 기준 이상을 보안에 투자하고 있다. 금융사는 '금융보안 거버넌스 가이드'에 따라 정보기술인력 5% 이상, 정보보호인력 5% 이상, 정보보호 예산 7% 이상을 투자하도록 돼 있는데 토스는 12.8%로 기준을 넉넉히 상회하고 있다.
◆ 해커라는 오해…"위협 말고 세상을 이롭게도 해요"
화이트해커로서의 고충도 따른다. 가장 큰 장애물은 공격이 아닌 사람이다.
"사람이 가장 힘들어요. 좋은 점도 나쁜 점도 사람이에요. 사람이 보안에서 제일 컨트롤하기 어려우니까요. 보안이란 게 공격이 들어오는 시스템적인 부분도 있지만 사람을 통해서 들어오는 부분도 있거든요. 그런데 사람은 아무래도 직접적으로 컨트롤을 못하다보니 신뢰를 바탕으로 해야 하는 부분인데 개개인이 실수를 하면 큰 보안사고로 이어질 수 있다는 것이 가장 어렵죠."
해커로서 받는 부정적인 오해도 있다고.
"영화 같은 미디어 매체에선 해커 하면 범죄자로 보지만 사실은 이렇게 보안을 막기 위해 이로운 방향의 업무를 많이 하고요. 하지만 아무래도 안 좋은 인식이 있다보니 해커보단 보안전문가라고 설명할 수밖에 없어요."
◆ 토스 '원 앱' 전략 성공 비결은 보안 기술
![토스 보안기술팀이 기자와 인터뷰를 하고 있다. [사진=이재용 수습 기자]](https://image.inews24.com/v1/41cc995a6dfef5.jpg)
토스가 금융앱이기 때문에 가지는 특수성도 있다. 일반 개인정보뿐만 아니라 금융정보까지 다루는 만큼 보안이 더 중요하다. 토스 보안기술팀은 안전한 서비스 제공을 위해 서비스 설계 배포까지 주기적으로 보안을 체크하고 보완하고 있다.
토스만의 '원 앱' 전략이 가능했던 것도 토스의 보안기술력 덕분이다. 실제 화면에서 보이지 않지만 백그라운드에선 보안시스템이 동작하고 있다는 설명이다.
이 리더는 "토스 서비스의 보안성 향상을 위해서 서비스 설계부터 실제 운영 시에도 보안이 함께 녹아들 수 있도록 노력하고 있다"며 "모든 토스 서비스를 오픈하기 전에 개발과 함께 보안성 테스트를 병행하고, 오픈 후에는 우리 팀이 외부자 모의 해킹 관점에서 취약점 진단을 수행한다"고 전했다.
보안기술팀이 자체 개발한 토스만의 보안 솔루션에 대한 자부심도 남다르다.
그는 "우리 팀만의 기술력을 이용해 보안 솔루션을 직접 개발하고 내제화해서 진행을 하고 있기 때문에 국내에서는 따라올 수 없다는 자부심이 있다"며 "자체기술로 만든 것이기 때문에 다른 회사들은 가질 수 없는 기술들이 많다"고 강조했다.
앞으로도 토스 보안기술팀은 국내뿐 아니라 국외 해킹대회에도 출전할 계획이다. 가장 큰 목표는 소비자들에게 '토스 보안은 믿을 수 있다'는 신뢰를 심어주는 것이다.
"사용자들이 '토스 보안은 믿을 수 있지'라는 생각을 갖도록, 토스를 사용하든 안하든 신뢰를 가질 수 있도록 노력해나갈 예정입니다"
/공동=박은경 기자(mylife1440@inews24.com),이재용 수습 기자(jy@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기