문화

토스의 첫 핀테크 클라우드 보안 해커톤 현장을 가다

보안 해커톤

제 1회 핀테크 클라우드 보안 해커톤 현장 스케치

 

토스는 서비스 출시 3년 반만에 누적 다운로드 2,000만을 넘어섰는데요.

 

특히, 2015년 토스 서비스 출시 이후 ‘보안사고 제로’를 유지하고 있는 것은 고객의 정보보호를 최우선 가치로 과감한 투자와 정보보호 조직 육성, 그리고 끊임없는 연구를 통해 얻은 성과 중 하나입니다.

* 토스의 보안 철학이 궁금하다면 이 포스팅을 참고해 주세요.

 

토스팀은 빠르게 변화하는 금융 환경에 맞춰 더 나은 서비스 환경과 보안을 구축하기 위해 다양한 시도를 하고 있는데요.

 

그 일환으로 최근 금융 보안 분야에서 많은 관심을 받는 클라우드 환경의 보안 아키텍처 설계에 대해 업계 보안 전문가분들과 아이디어를 공유하고자 <제1회 핀테크 클라우드 보안 해커톤>을 개최했습니다.

 

보안 해커톤

 

행사가 진행된 10월 17일, 토스 사무실 입구에는 해커톤의 키 메시지인 “Grab Your Idea”가 적힌 배너가 방문객을 맞았습니다.

 

보안 해커톤

 

<제1회 핀테크 클라우드 보안 해커톤>은 토스 보안팀 외에 핀테크 및 금융업, 금융 클라우드 보안 솔루션 업체 소속 보안 전문가분들이 참여했습니다.

 

여러 회사의 보안 전문가가 참여한 만큼 각 회사의 보안 인프라 구축 사례를 공유하고 클라우드 보안에 대해 자유롭게 토론하는 세미나 형식으로 진행되었는데요.

 

클라우드 환경의 이해를 돕기 위해 클라우드의 대명사인 AWS(Amazon Web Service)가 무엇인지 이해하고, 클라우드 보안과 컨테이너 관리 플랫폼 보안*에 대해 자유롭게 토론하였습니다.

 

[토론 주제]

클라우드 보안 ① AWS/Azure 접근통제 방안
② Region간 데이터 이동 보안
컨테이너 관리 플랫폼 보안 ① DC/OS 보안 모니터링, 위협 탐지 및 분석 방안
② Kubernetes 보안 모니터링, 위협 탐지 및 분석 방안
③ Docker, DC/OS, Kubernetes 최근 침해사고 자료 공유

 

해커톤

△ 발표 중인 토스 보안팀의 전해성 매니저

 

특히, 토스 보안팀은 AWS 환경에서 침해사고 발생 시, 어떻게 분석할 것인가에 대한 내부 연구 자료를 공유하는 프로그램을 마련해 큰 관심을 받았는데요. 

 

△ AWS OS 이미지를 덤핑하여 Local PC에서 AWS OS를 구동할 수 있도록 OS 증거 수집, △ AWS 이미지 증거 수집 후 Docker 환경에서 AUFS – Overlay 2 파일시스템에서 파일 삭제/생성/변조 등 악성 행위에 대한 디지털포렌식 등 두 가지 기술 시연을 진행했습니다.

 

해커톤에 참여한 외부 보안 전문가들의 반응은 어땠을까요? 미니 인터뷰를 통해 참가자 세 분의 의견을 들어보았습니다.

 

이번 해커톤 참여를 통해 새롭게 알게 된 점이 있다면?

주경민 님(엠포스 서버 접근 제어 기술 지원팀): MSA(Micro Service Architecture, 마이크로서비스 아키텍처)를 막연하게만 알고 있었는데요. 이번 해커톤에서 토스 보안팀이 MSA를 갖고 어떻게 서비스를 구축할 계획인지, 실제 어느 정도 구현됐는지 등을 알 수 있어 큰 공부가 됐습니다.

 

해커톤 내용 중 어떤 점이 좋았는지?

김성일 님(에스케어 보안사업팀): 웹 서비스를 제공하는 아키텍처를 포괄적으로 이해할 수 있어 도움이 됐습니다. 아무래도 현 업무에서는 과거 기술을 사용하다 보니 새로운 기술에 대한 갈증이 있는데요. 이번 해커톤을 통해 새로운 웹 서비스를 알게 되어 좋습니다.

 

해커톤 참여 소감이 궁금합니다

박용범 님(위드네트웍스 무선사업부): 기업에서 주최하는 여러 세미나에 참여해봤지만 대부분 발표 형식으로 진행되고, 일부 참가자의 질문만 받아 답변되는 형태였습니다. 반면 이번 해커톤은 행사를 주최한 토스 보안팀과 참가자 모두 자유롭게 토론하고 생각을 나눌 수 있어 인상적이었습니다.

 

해커톤

△ 이번 행사는 토스 보안팀과 외부 보안 전문가가 자유롭게 토론하는 형태로 진행되었다 

 

토스 보안팀도 이번 해커톤을 통해 클라우드 보안에 대한 다양한 아이디어를 청취하고, 실제 구현이 가능한 보안 장치를 마련하는 소기의 성과가 있었습니다.

 

자유로운 토론과 기술 시연으로 높은 만족도를 보인 <제1회 핀테크 클라우드 보안 해커톤>. 토스 보안팀에서는 이번 해커톤을 기점으로 매년 외부 초청 세미나를 이어나갈 계획이니 많은 관심과 응원 부탁드릴게요.

 

 

토스팀 채용 정보가 궁금하다면?

토스 채용