외부공격서 고객정보 보호
4개팀 24명이 유기적 협업
예방·탐지·조치 업무 수행
비대면 금융 거래가 활성화 되면서 보안의 중요성은 날로 커지고 있다. 단 한번의 해킹으로 고객의 자산이 사라질 수 있기 때문이다. 토스뱅크는 자체 FDS(이상거래탐지 시스템)를 구축하고 앱 내에 토스가드, 피싱제로 기능을 통해 고객정보 보호에 만전을 기하고 있다.
이정하 토스뱅크 정보보호최고책임자(CISO)는 27일 본지와의 서면 인터뷰에서 “비대면 금융 서비스를 제공하고 있는 만큼 보안과 정보보호에 대한 전문성을 충분히 갖추고 있다”고 강조했다.
이 CISO는 토스뱅크 출범 이전 ‘토스혁신준비법인’이었던 2020년 6월부터 토스뱅크의 정보보호와 개인정보보호 업무를 책임지고 있다.
그는 “안전한 전자금융거래가 유지를 위해 자체 FDS를 운영하고 있다”며 “토스앱 내에는 자체적으로 운영하는 토스가드와 피싱제로 기능을 탑재해 토스앱 사용시 외부 공격으로부터 고객을 보호하고 있다”고 설명했다. 이어 “토스가드는 앱보호 기능을 담당하고, 피싱제로는 악성앱 탐지 기능을 담당하면서 자체 보안 기술을 내재화하고, 보다 빠르게 앱 보안성을 극대화 하는데 힘을 쏟고 있다”고 덧붙였다.
토스뱅크는 자체적으로 운영하고 있는 정보보호 관리체계가 글로벌 표준이 되는 것을 최종 목표로 삼고 있다.
실제로 토스뱅크가 운영하는 정보보호 관리체계는 국내·외에서 인정을 받고 있다. 토스뱅크는 4일 금융보안원으로부터 대표 홈페이지 및 인터넷뱅킹 서비스 운영에 관한 정보보호 관리체계(ISMS) 인증을 획득했다. 앞서 1월에는 BSI(영국 왕립 표준협회)로부터 정보보호와 개인정보보호 인증을 받았다. 토스뱅크는 인터넷전문은행 중 유일하게 한국인터넷진흥원 정보보호 공시 종합 포털에 매년 정보보호 투자, 인력, 인증, 활동 등을 자발적으로 공시하고 있다.
정보보호를 위해 거미줄 같이 촘촘하게 조직도 운영하고 있다. 정보보안팀, 사이버보안기술팀, 개인정보보호팀, 사내인프라팀 등 총 4개 팀 24명이 유기적으로 업무를 진행 중이다. 정보보안팀은 보안정책과 보안솔루션을 운영한다. 사이버보안기술팀은 침해사고대응 및 모의해킹을 수행하고, 개인정보보호팀은 개인(신용)정보보호 및 광고스팸방지 업무를 수행한다. 사무인프라팀은 단말기 및 사무실 인프라 보안을 접점에서 관리한다.
이 CISO는 “4개의 팀이 유기적인 협업을 통해 발생 가능한 위험을 예방하고, 적시에 위협을 탐지하며, 탐지된 위협에 대해 조치를 수행하고 있다”고 말했다.
보안 인력 충원도 중요한 과제다. 토스뱅크는 올해 말까지 보안 엔지니어, 사내인프라 엔지니어, 보안운영 엔지니어를 추가로 채용할 예정이다. 이 CISO는 “기술 발달로 새로운 위협은 계속 증가하고 있는 만큼 위협을 적시에 식별해내는 것이 중요하다”며 “위협을 식별하기 위해 모니터링을 강화하고 조치하기 위해 모든 팀이 노력하고 있다”고 했다.
단순히 인재 충원에서 그치는 것이 아니라 인재를 적재적소에 배치하기 위한 노력도 병행하고 있다. 그는 “급성장하는 토스뱅크에서 가장 중요한 것은 우리 조직문화에 적합한 인재를 채용해 적시적소에 배치하는 것”이라고 강조했다.
토스뱅크는 고객의 정보보호를 위해 24시간 감시 체계를 유지하고 있다. 이 CISO는 “상시 감시 체계를 유지하기 위해 위협 시나리오를 발굴하고 알람을 받을 수 있는 실시간 모니터링 체계를 구축하고 있다”고 부연했다.