인사이트

토스팀의 든든한 수비수, 보안팀을 만나다

토스 보안팀

2018 과기정통부 주최 정보보호 대상에서

대상을 수상한 보안 팀을 만나다

 

 

자기소개 부탁드려요

지정호(이하 ‘정호’): 토스 보안팀에서 보안 위협 모니터링 대응을 담당하고 있는 지정호입니다. 보안 분야에서는 올해로 14년째 근무 중인데요. 정보보호전문기업에서 10년 정도 근무를 했고, 이후 게임사를 거쳐 토스팀까지 총 4년가량 기업 정보 보안 업무를 하고 있습니다.

 

전해성(이하 ‘해성’): 안녕하세요, 보안팀에서 취약점 점검 업무를 맡고 있는 전해성입니다. 정호님과는 같은 게임사 정보보호실의 침해사고대응팀에서 함께 근무했습니다. 그 당시, 취약점 점검, 악성 코드 분석, 침해 사고 분석 업무를 담당했었고 현재 토스 보안팀에서도 비슷한 업무를 수행하고 있습니다.

 

두 분의 인연이 남다르다고 들었어요

해성: 정호님과 함께 일한 지는 벌써 6년이 되었어요. 토스팀까지 합치면 이번이 세 번째입니다. 정호님도 그렇지만 토스 보안팀 리더인 용석님과도 인연이 깊은데요. 게임사 보안팀 근무 당시, 용석님이 본부장으로 근무하셨습니다. 토스 보안팀 인원 3명이 한 곳에서 같이 일했던 것이죠.

 

정호: 해성님과는 정보보호전문기업에서도 같이 일했고, 이후 토스팀까지 함께 하고 있어요. 정보 보호 분야에서도 각자의 전문 분야가 달라 협업을 하진 않지만 오랜 시간 함께 하다 보니 서로를 믿고 의지할 수 있는 신뢰 관계가 형성되어 있어요.

 

토스 보안팀에서 각자 맡은 업무는?

정호: 회사와 서비스 모두 규모가 커지고 있다 보니 보안팀의 업무에도 조금씩 변화가 있었는데요. 서비스 초기에는 팀원 전체가 법규, 보안 인증 등을 토대로 틀을 만들었다면, 일정 수준의 보안 시스템이 갖춰진 현재는 보안팀 8명 각자가 잘할 수 있는 분야에 집중하고 있습니다. 예를 들어 용석님은 정책 대응, 해성님은 취약점 점검, 저는 보안 이벤트 분석 및 대응 부분을 맡고 있습니다.

 

해성: 현재 토스 서비스 및 인프라에 대한 취약점 분석 및 대응과 더불어 취약점 관련 사고의 진위여부를 분석, 확인하는 일을 하고 있습니다. 취약점 관련 사고 제보는 주로 고객행복팀으로부터 많이 들어오는데요. 문의 요청을 받는 즉시 해당 사고를 꼼꼼하게 분석 후, 취약점 사고가 맞는지 여부를 확인해 고객행복팀이 원활하게 업무를 보실 수 있도록 도움을 드리고 있습니다.

 

또한, 서비스에 변화가 있을 때마다 담당 개발자와 협업해 해킹이나 고객 정보 유출, 사용자 권한 탈취 및 부정 사용 등 예상되는 보안 취약점을 점검하고 보완하는 업무를 수행하고 있습니다. 토스의 서비스 종류가 빠르게 늘어나고 있어 제가 하는 일도 점차 많아질 것 같아요. 이와 더불어 팀과 함께 보안 인증 업무도 담당하고 있습니다.

 

보안은 그 중요도에 비해 많은 분이 어려워하는 분야인데요. 잘 모르는 분들을 위해 보안을 소개한다면?

정호: 저희 팀은 보안 위협으로부터 고객과 기업의 자산을 지키는 일을 수행한다고 보시면 될 것 같습니다. 이 보안 위협은 크게 외부 위협과 내부 위협으로 나눌 수 있는데요.

 

먼저 외부 위협은 해커와 같은 공격자가 기업이 보유한 고객 정보나 수집 중인 정보를 탈취하려고 하거나, 금융 정보를 조작해 이득을 취하려고 하는 공격을 말합니다. 보안팀을 이를 막기 위해 해커가 공격할 경로를 미리 분석해 대응책을 세워 방어합니다.

 

내부 위협은 직원으로 인해 일어날 수 있는 사고를 말하는데요. 자의나 타의에 의해 발생할 수 있는 정보 유출 사고가 내부 위협에 포함됩니다. 외부 위협에 대한 대응도 중요하지만, 내부 위협도 예방과 관리가 필요한데요. 정보보호를 위해 보안팀이 ‘~하지 마세요’, ‘~는 안됩니다’는 뉘앙스로 구성원을 통제하고 강제할 수 있지만, 토스팀은 다르게 접근하고 있습니다.

 

핀테크 보안

△ 토스팀 신규 입사자라면 꼭 참여해야 하는 토스 보안 교육 

 

예를 들어, 구성원들이 서비스 개발에 더 많은 에너지를 쏟을 수 있도록 일상에서 꼭 지켜야 할 보안 정책만 안내하고 보안 위협은 전문가인 보안팀이 대응하고 지키겠다는 기조로 움직이고 있는데요. 이 같은 방향은 토스팀의 신규 입사자 대상 보안 교육에서 확인할 수 있습니다.

 

토스의 신입사원이라면 꼭 참여해야 하는 보안 교육은 최고정보보호책임자(CISO) 주관하에 입사 첫 주 진행되는데요. 몇 가지의 보안 수칙을 이메일로 전달하는 형식이 아닌 대면 미팅을 통해 보안 교육을 진행하고 있고, 그 자리에서 보안에 대한 여러 논의나 아이디어가 오가기도 합니다. 그만큼 토스팀의 보안은 보안팀 뿐만 아니라 팀 전체가 함께 지켜나간다는 것을 의미하는 것이겠죠?

 

해성: 축구로 치면 보안팀은 팀닥터와 유사하지 않을까 생각합니다. 경기를 서비스, 인프라를 선수, 고객을 관중으로 비유해볼 수 있는데요. 보안팀(팀닥터)은 경기가 잘 진행될 수 있도록 선수 기량을 확인해 문제가 있다면 보완하고, 뛸 수 없는 선수가 있다면 다른 선수로 교체하는 등의 서포트 역할을 통해 궁극적으로 관중들이 최고의 경기를 볼 수 있도록 만듭니다.

축구로 치면 보안팀은

팀닥터의 역할과

유사하지 않을까 싶어요

두 분은 다양한 분야의 보안 업무를 경험하셨는데요. 핀테크 분야의 보안 특성은 무엇일까요?

정호: 핀테크 분야는 전자금융거래법을 준수해야 하기 때문에 게임분야 보안보다 신경 써야 할 부분이 더 많습니다.

 

간단하게 말씀드리면 게임 분야의 경우, 일정 수준의 버퍼를 갖고 회사가 감내할 수 있는 수준에서 보안 수준을 유지한다면, 토스와 같은 핀테크 서비스는 고객의 금융 자산을 안전하게 지켜야 하기 때문에 셀 틈 없는 보안이 요구됩니다. 그렇기 때문에 보안의 스펙트럼이 상대적으로 넓으며 다양한 소스를 활용해 보안 취약점을 개선해야 하는 특성이 있어요.

 

해성: 핀테크 분야의 보안 특성보다는 토스에 대해 말씀드리는 게 좋을 것 같아요. 그동안 대기업, 금융사, 게임사 등의 보안 업무를 해오며 접한 서비스들은 개발 플랫폼이 달라도 인프라는 비슷했는데요. 토스는 인프라부터 처음 보는 구조였습니다.

 

기존 서비스들의 인프라는 레거시(Legacy) 시스템이라 하드웨어로만 구성되었다면 토스는 하나의 서버에 한 가지 서비스가 올라가 있는 구조가 아닌 가상화를 통해 여러 개의 서비스를 독립적으로 운영할 수 있는 구조로 되어있습니다.

 

작년 하반기에 진행한 토스 해커톤에서 언급했었는데 토스는 MSA 아키텍처 형태라 기존의 레거시 환경에서의 접근 방식과 다른 솔루션을 요구하기 때문에 이런 특성을 공부해나가고, 어떻게 보완해야 할지 고민하는 과정이 재미있게 느껴졌습니다.

 

정호: 토스는 최신 인프라 트렌드가 잘 반영된 환경이라 보안 전문가로서 새로운 도전을 해보고 싶은 분이 있다면 저희 팀에 지원해보셔도 좋을 것 같습니다.

 

보안 실무자로서 ‘토스’에서 일하면서 느끼는 특별한 의미나 보람이 있다면?

정호: 보안팀 손으로 하나하나 만들어나가고 있는 게 많은데요. 먼저 보안 관련 법률 분석과 더불어 보안 인증 요건과 법에 부합한 규정, 지침을 저희가 직접 만들어 운영하고 있습니다.

 

보통 새로운 회사가 만들어지면 많은 고민과 노력을 통해 보안 규정과 지침을 만드는 것이 필수인데요. 그 작업이 크고 어렵다 보니, 다른 회사의 규정을 가져와 사용하는 경우가 비일비재합니다. 이 경우, 보안 인증이나 관련 법에서 요구하는 바를 정확히 인지하지 못한 상태로 유명무실한 규정과 지침을 운영하게 되는 문제가 발생할 수 있습니다.

 

보안 인증 취득도 외부 도움 없이 자체 역량으로 직접 취득했는데요. 현재까지 정보보안 분야 국제표준인증인 ISO 27001, 글로벌 데이터 정보보안표준 PCI-DSS(Payment Card Industry Data Security Standard), 정보보호 관리체계 인증제도인 ISMS 인증을 획득한 바 있습니다.

토스 보안

△ 외부 도움 없이 자체 역량으로 3가지 인증을 취득한 토스 보안팀  

 

아울러, 보안 모니터링 체계 구축에서도 외부 기술을 빌리지 않고 탐지 시스템 등을 직접 만들어 운영 중인데요. 우리가 지켜야 할 자산은 웹서비스, 서버, 어플리케이션 뿐만 아니라 서비스를 지켜야 하는 부분도 고려해야 합니다.

 

이에 따라, 모니터링의 범위를 서비스 영역까지 확장할 계획인데요. 부정 단말기를 이용한 서비스 가입 및 부정 시도 출발지에 대한 정보 탐지 체계를 만들어 다른 이들이 생각하지 못한 부분까지 도전하고 있다는 점이 개인적으로 인상적입니다.   

 

덧붙여 함께 일하는 동료들이 너무 훌륭하다는 점도 꼭 이야기하고 싶어요. 지금까지 해성님 같은 동료를 만나본 적이 없는데요. 능력과 열정을 고루 갖춘 멤버들과 함께 일하고 있어서 늘 든든합니다. 이런 동료를 만나 함께 일한다는 건 쉽지 않은 것 같아요.

 

해성: 소프트웨어에 대한 해킹과 취약점 분석도 재미있지만, 최근에 하드웨어 해킹 분야도 도전하고 싶어 관련 분야의 유명한 국내외 전문가들의 자료를 틈틈이 공부했었는데요. 회사에서 전폭적인 지원을 해준 덕분에 관련 역량을 키울 수 있어 좋았습니다.

 

그리고 무엇보다 가장 보람이 컸던 건 작년 말 과학기술정보통신부가 주최하는 ‘정보보호 대상‘에서 토스가 대상을 받은 것이었는데요. 동료들과 함께 만들어온 다양한 결과물이 인정받았다는 측면에서 감회가 남달랐습니다.

 

보안

△ 2018 K-ICT 정보보호대상에서 토스 보안팀을 대표해 ‘대상’을 수상한 신용석 CISO (우측에서 두 번째) 

 

ISO 27001, PCI-DSS, ISMS 인증 취득이 주는 의미는 무엇일까요?

정호: 세 인증 모두 필수적으로 취득해야 할 필요는 없지만, 토스팀은 보안 역량 강화를 위해 끊임없이 도전한다는 점에서 의미가 있다고 생각합니다. 각 인증 하나하나가 많은 리소스가 투입되는 큰 프로젝트다 보니 보통 외부 보안 전문 컨설턴트와 함께 필요한 자료를 만들고 인터뷰를 진행하는데요. 저희는 ISO 27001, PCI-DSS, ISMS 인증의 모든 과정을 자체 인력으로 직접 진행했다는 점이 눈에 띄는 부분이 아닐까 싶습니다.

 

해성: 세 가지 인증이 제게 주는 의미는 공부였던 것 같아요. 저는 PCI-DSS에서 공식적으로 인증된 ASV라는 취약점 스캐너를 이용해 점검을 해야 했는데요. 이 도구가 미국 제품이다 보니 영어 사용이 필수였습니다. 그러다 보니 주말에는 교환학생 신분으로 서울의 학교에서 공부 중인 원어민 대학생에게 교습을 따로 받고 공부하면서 재차 영어 공부의 중요성에 대해 인식하게 되었습니다.

 

개인적인 소회를 나누어 주신다면?

해성: 세 가지 인증 준비가 처음이다 보니 많이 힘들고 지쳤었는데요. 고비 때마다 정호님이 옆에서 많은 응원을 해주셔서 큰 힘을 받았던 기억이 납니다. 그 당시 힘들 때마다 정호님이 옆에서 ‘분명 힘들긴 하지만 앞으로 보안 전문가로서 더 많은 역할을 맡게 될 우리의 미래를 생각했을 때 이 경험은 꼭 필요하니 힘내자’고 다독여주셔서 감사했어요.

 

정호: 사실 지금에서야 웃으며 말할 수 있지만, 저희 모두 고난의 시기였던 것 같아요. 보통의 회사라면 보안팀의 인증 취득에 대해 다른 팀원들이 관심을 두지 않지만, 저희의 경우 팀 리더를 비롯해 많은 분이 큰 관심과 기대를 갖고 응원해주셨는데요. 그러다 보니 부담감이 남달랐던 것 같습니다. 오죽하면 저희 모두 인증 준비 마지막 즈음에 서로 자기가 맡은 부분이 잘못돼 인증 취득에 실패하면 어떻게 해야 하나 고민했던 기억이 나요. (웃음)

 

토스 웹사이트를 보면 ‘보안사고 0건’이라는 문구가 있는데요. 두 분에게 이 숫자는 어떤 의미인지?

정호: 부담스럽지만, 한편으로는 뿌듯한 숫자입니다. 사실 보안팀의 규모가 회사 내에서 상당히 큰 비중을 차지하고 있지만 저희가 구상 중인 기술을 다 펼치지 못한 상태인데요. 그렇기 때문에 ‘보안사고 0건’은 보안팀만의 성과가 아니라 토스팀 전체가 보안에 대한 관심을 두고 노력한 성과라고 생각해요

 

해성: 보안사고 0건이라는 결과는 개발자분들의 몫이 가장 컸다고 봅니다. 재작년 국내 유명 정보보호 전문 기업에서 조사한 국내 금융 앱 해킹 방어 수준 분석 결과에서 토스가 25개 앱 중 1위를 했다는 기사를 본 적이 있어요.

 

그 기사에서 인용된 문구는 대략 ‘토스는 훌륭한 모바일 보안 솔루션을 쓰고 있지만, 보안을 강화하기 위해 소스코드 자체에 이미 보안 메커니즘이 들어가 있어 보안 솔루션에만 의존하지 않는다’였던 걸로 기억해요.

 

서비스 초기 개발자분들이 많은 노력을 기울였던 밥상에 저희는 그저 숟가락을 얹은 것이라고 생각합니다. 앞으로 이 숫자를 유지하기 위해 보안팀의 많은 노력이 필요한데요. 보안 모니터링과 이벤트 탐지, 분석을 통해 실시간으로 공격을 차단하고 대응해야 할 것입니다. 저를 포함해 보안팀 8명 모두 매 순간 사명감으로 일하고 있어요.

 

보안 전문가로서 최신 트렌드를 습득하고 최고 수준의 방어를 유지하기 위해서는 많은 노력이 필요할 것 같아요. 학습이나 업무 수행 관련해 소개해줄 만한 노하우가 있다면?

해성: 주로 트렌드마이크로(Trend Micro)라는 보안 회사의 분석가와 해커의 글이나 시스코의 보안 전문 조직인 탈로스(Talos)가 운영하는 블로그를 통해 정보를 습득하고 있습니다.

 

주말에는 취약 자원 수집했던 것을 읽고 실제 구현과 테스트를 해보는데요. 정보를 꾸준히 수집하고 읽는 것도 중요하지만 직접 코드를 짜거나 취약점을 분석하면서 몸으로 이해하는 게 좋은 백데이터를 만드는 데 도움이 되는 것 같습니다.

 

IT 분야에서는 우스갯소리로 백문이불여일타라는 말이 있는데요. ‘백 번 듣는 것보다 키보드로 한 번이라도 쳐보는 게 낫다’라는 뜻으로 학습한 내용을 직접 행동으로 옮겨보는 게 중요합니다.

 

트렌드마이크로

△ 보안 분야 최신 트렌드를 확인할 수 있는 트렌드마이크로(Trend Micro)

 

정호: 저는 목표 달성을 위해 최단 루트를 선택해 일하는 것보다 하나씩 차근차근 파악해 나가면서 업무를 진행하는데요. 시간이 오래 걸리지만 내가 하는 일에 대한 이해도를 높이는데 큰 도움이 되고, 추후 같은 업무를 빠르게 소화하기 위한 든든한 기반이 됩니다.

 

보안 업무를 하기 위해 어떤 역량이 필요할까요?

해성: 작년 하반기에 참여한 보안 세미나에서 한 글로벌 보안 스타트업 대표 분이 했던 이야기 중 공감가는 내용이 있었는데요.

 

“진정한 해커는 무언가를 분석하고 알아가는 전반적인 과정을 즐기고, 재미를 느끼는 사람이다.”였는데, 보안 담당자라면 이런 역량이 꼭 필요하다고 생각합니다.

 

그리고 영어를 잘할 수 있다면 좋을 것 같아요. 해외의 최신 보안 자료를 빨리 습득하고 이해하는 사람이 상대적으로 빠르게 진보합니다. 따라서, 영어를 잘할 수 있다면 금상첨화일 것 같습니다.

 

정호: 토스 보안팀에 관심 있는 분들에게 말씀을 드리고 싶은데요. 저희는 자신의 전문 분야에 미칠 준비가 되어 있는 사람을 찾고 있습니다. 어떻게 하면 남들보다 더 빨리 앞서갈 수 있을지, 어떤 방식으로 문제를 잘 해결할 수 있을지를 즐기며 할 수 있는 사람을 의미합니다.

 

보안, 인프라 분야도 다른 분야와 마찬가지로 빠르게 변하고 있는데요. 레거시 시스템 환경에 머무르지 않고 앞으로 변해갈 시스템, 환경의 흐름에 대한 이해가 있는 분이었으면 좋겠습니다.

 

마지막으로 하고 싶은 말이 있다면?

해성: 우리 보안팀 전부 쉽지 않은 길을 잘 걸어왔다고 생각해요. 지금까지 잘해왔던 것처럼 앞으로도 고객들이 안심하고 토스를 쓸 수 있도록 함께 잘 이루어 냅시다. 화이팅!

 

정호: 누구나 놀라워하고 부러워할 수준의 보안 체계를 만들기 위해 우리 보안팀이 부단히 노력해 왔는데요. 앞으로도 팀과 함께 최고 수준의 보안 체계를 만들기 위해 끊임없이 노력하겠습니다.

 

 

믿고 쓸 수 있는 모바일 금융 서비스

토스 다운받기