토스 팀 사람들

간편함과 안전함 사이의 균형을 유지하는 토스팀의 수비수, 보안팀을 만나다 

2020.07.07
토스 보안팀

“이제 국내 최고를 넘어, 세계 최고의 보안팀이 되고자 합니다.”

 

토스팀은 간편하면서도 안전한 금융 서비스를 만들 수 있다고 믿습니다. 간편함과 안전함 사이에서 균형을 유지하기 위해 고군분투하고 있는 보안팀 은 고객들이 토스를 안심하고 사용할 수 있도록, 그리고 토스팀이 안전한 보안 환경에서 일할 수 있도록 든든한 수비수 역할을 하고 계시는데요. 

토스 보안팀은 2018 정보보호대상에서 대상을 수상할 정도로 뛰어난 자체 보안 역량을 가지고 있습니다. 정보보호최고책임자(CISO) 신용석 님은 세계적인 정보보안 전문교육기관(ISC)에서 운영하는  SLA 선임 정보보안 전문가상 수상자로 선정되기도 했습니다. 

국내 최고를 넘어 ‘세계 최고의 보안팀’ 을 목표로 하는 토스 보안팀 지정호 님, 이태호 님, 박정은 님, 문석철 님을 만나 보안팀 분들이 일하는 방법과 목표에 대해 이야기 나눠보았습니다. 함께 보실까요?

 

Q. 안녕하세요, 보안팀 여러분! 자기 소개 부탁드릴게요.

토스 보안

▵ Security Engineer 정호님

지정호: 토스의 보안 위험을 찾아 대응하는 Security Engineer 지정호입니다. 사전에 위험을 예방하거나, 감지된 위험을 빠르게 제거하는 일을 합니다. 요즘은 토스뱅크팀, 토스증권팀, 토스페이먼츠팀, 토스인슈어런스와 같은 모든 계열사의 보안 환경 초기 구축을 지원하는 역할도 하고 있어요. 

팀원들이 안심하고 일할 수 있는 보안 환경이 결국 토스 문화와 밀접하게 연관되어 있다고 생각하기 때문에, 토스팀 전체적으로 보안 문화가 일관성 있게 유지될 수 있도록 초기 세팅 과정에 많은 공을 들이고 있습니다. 

 

이태호: 토스팀에서는 여러가지 보안 솔루션을 운영하고 있는데요. 이를 전반적으로 관리하고 솔루션 간 이음새를 만드는 역할을 하는 Security Engineer 이태호입니다. 

저희가 다루는 보안 솔루션은 30종 정도로 정말 다양한데요, 크게 두 가지 종류로 나뉩니다. IDC(데이터 센터) 방어 목적과, 토스 팀원들의 업무 환경에서 필요한 보안 시스템 관리 목적으로요. 솔루션 종류가 아무리 다양해도 연결되어 있지 않으면 범용성이 떨어지거든요. 다양한 솔루션을 더 잘 활용할 수 있도록 모든 연결고리를 직접 개발하고 있습니다. 

 

토스 보안

▵ 개인정보 관리자 정은님

박정은: 개인정보 관리자 박정은입니다. 토스 고객들의 개인 정보를 더 잘 보호할 수 있는 방법을 고민하고 실행하는 역할이죠. 보안팀 내에서 개인정보 관리자의 역할이 어떤 것인지 좀더 자세히 설명드릴게요. 

토스는 금융 플랫폼 서비스인 만큼, 여러 금융 기관과의 위・수탁 관계가 굉장히 많아요. 이 관계에서 토스 뿐 아니라 우리와의 연결고리가 닿는 모든 기관의 보안까지 챙겨야 합니다. 기술 보안은 물론 규제와 관련된 이슈나 절차도 모두 포함해서요.

이뿐 아니라 보안 인증 취득에 필요한 자료를 모으고 정리하는 작업, 고객과의 접점이 많은 고객행복팀 대상으로 수시로 진행되는 개인정보 교육 등을 맡고 있습니다. 또한 메이커분들이 개인정보를 활용할 때 컴플라이언스 측면에서 준수해야 하는 가이드라인을 세팅하기도 하고요.

토스 보안팀은 보안 기술 영역 뿐 아니라 정책, 문화, 개인정보 관련 법까지 커버하고 있어 업무 영역이 굉장히 넓습니다. 

 

문석철: 화이트 해커로서 서비스 모의해킹, 인프라 취약점 진단 수행 등을 통해 토스의 보안을 지키고 있는 Security Engineer 문석철입니다. 서비스 내 보안 취약점을 선제적으로 발견해 제거하는 방식으로 보안 시스템을 더 탄탄하게 만들어 가고 있어요.

좀더 자세히 설명드리면, 보안팀 내에 ‘레드팀(공격팀)’과 ‘블루팀(방어팀)’이 있다고 보시면 되는데요. 저는 레드팀에 속해있어요. 토스 서비스에 취약점이 존재하는지 찾아보고, 있으면 공격해보는 역할이고요. 블루팀은 모의해킹을 통해 탐지되는 위험을 모니터링하고 차단하는 역할을 합니다. 실제 해커가 취약점을 찾아내기 전에, 저희 레드팀이 전부 찾아내서 미리 차단하는 것이죠. 

 

 

Q. 우리 보안팀 분들이 다양한 일을 하고 계신 것은 알고 있었지만, 이렇게 넓은 범위를 다루고 계신지 몰랐어요. 그동안 진행하셨던 프로젝트 중 가장 기억에 남는 것이 있으시다면 소개해 주세요.

토스 보안

▵ Security Engineer 석철님

문석철: 원래는 보안팀이 방어 조직으로만 운영되고 있었다고 해요. 그런데 승건님이 먼저 우리도 레드팀, 블루팀을 운영해보는 것 어떨지 제안해 주셔서 시작하게 되었습니다.

레드팀 일원으로서 공격이 발각되지 않도록 은밀하게 해킹을 시도해보고, 이 과정에서 모니터링되지 않는 부분에 대해서 식별하고, 블루팀 분들과 함께 대응 방안을 찾아나가는 과정이 정말 재밌었어요.

 

박정은: 최근 국제 표준 정보보호 인증 ISO/IEC 27001, 27701을 취득한 것이 기억에 많이 남아요. 외부 컨설팅 도움 없이 오로지 토스 보안팀의 자체적인 역량으로 획득한 인증이거든요. 토스에게 꼭 필요한 보안 영역이 무엇인지 확인할 수 있었고, 스스로 성장할 수 있었던 계기가 됐던 프로젝트이기도 합니다. 

특히 ISO/IEC 27701의 경우 ‘개인정보 흐름도’ 가 꼭 필요한데요. 토스에서 제공하는 40여 개의 서비스에서 개인정보가 활용되는 단계를 하나하나 그리기 위해, 각 서비스 PO들과 함께 논의해가면서 직접 다 만들었어요. 잘 몰랐던 부분을 알아내는 과정이 쉽지 않았지만, 이 인증을 취득하는 과정이 있었기에 개인정보 보호 관리 체계를 제대로 점검할 수 있었다 생각해요. 

사실 보안 인증을 서비스와 회사를 홍보하기 위한 ‘보여주기’ 용도로만 생각하는 곳도 있어요. 이럴 경우 취득하기 쉬운 필수 인증만 획득하게 되는데요. 인증 취득까지 오랜 시간이 필요하고 준비 과정이 까다롭다는 이유로 외부 컨설턴트를 고용하는 것이 일반적입니다.

이렇게 보안 인증을 취득하게 된다면, 회사 내부 보안팀인데도 불구하고 보안 및 개인정보 관리 시스템이 어떻게 이루어져 있는지 명확하게 파악하지 못하겠죠. 이런 환경에서는 문제가 생기기 마련이고, 보안사고로 이어지게 됩니다. 

토스는 이런 상황이 절대 일어나지 않도록, 모든 시스템을 직접 파악해 보안 인증을 취득합니다. 또한 현재 토스 수준에서 취득해야 하는 필수 보안 인증이 아님에도 불구하고, 필요하다 생각하는 보안 인증이라면 자발적으로 획득해 냅니다. 뛰어난 역량을 가진 팀원분들이 워낙 많으셔서, 굉장히 짧은 시간 내에 끝낼 수 있었고 이해도도 높아졌어요. 정말 자랑스러운 팀이라 생각합니다.

 

이태호: 토스에 적합한 솔루션이 무엇인지 찾아보고, 이미 사용하고 있는 솔루션과 맞는지 검증해, 이음새를 만들어 잘 활용될 수 있도록 자동화하는 모든 과정이, 토스에 제일 잘 어울리는 옷을 고르는 것 같다는 생각이 들어서 재미있었습니다. 

자동화를 통해 서로 잘 이어진 보안 솔루션 덕분에 토스 팀원분들이 업무하다 마주치는 어려움도 훨씬 빠르게 대응할 수 있게 되었어요. 토스팀에 처음 합류할 때보다 훨씬 더 좋아진 보안 환경을 보니 뿌듯하더라고요. 일하다 문제가 생겼을 때, 30여 개의 보안 솔루션을 일일이 확인할 필요 없이 중앙 통제 하의 환경에서 빠르게 문제를 찾아 해결할 수 있는 환경이 마련된 것이거든요. 

토스의 빠른 업무 속도를 뒷받침하는 데에 꼭 필요하다 생각해서 시작한건데, 정말 필요했던 일이라는 걸 매일 실감하고 있어서 뿌듯합니다.

 

지정호: “우리가 수고스럽더라도 토스 팀원들이 더 편하게, 마음 놓고 일할 수 있는 환경을 만든다”는 생각으로 일하는 것을 팀원분들이 알아주실 때요.

사실 처음엔 쉽지 않았습니다. 그런데 이런 업무 환경 덕분에 팀원들이 맘 편히 일하게 되니, 팀 외부에서도 혁신적인 보안 환경을 구축하고 있다는 평가를 듣게 되더라고요. 우리가 지향하는 모델에 대해 궁금해하고 벤치마킹하고 싶어하는 곳도 점점 생기고 있고요. 혁신적인 보안 문화와 시스템을 만들어가고 있다는 자부심을 가질 수 있게 되었습니다.

 

 

Q. 보안 직군의 가장 큰 매력은 무엇인지, 힘든 점은 없으신지 궁금해요. 

토스 보안

▵ Security Engineer 태호님

이태호: 석철님이 공격하는 레드팀과 방어하는 블루팀에 대해 말씀해 주셨잖아요. 보안 직군은 이 두 분야를 모두 경험해볼 수 있다는 점이 가장 큰 매력이에요. 방어 측면에서만 생각하는 것이 아니라, 공격 측면에서 먼저 고민하고 이를 방어할 수 있는 지점을 미리 고민해야 하거든요. 그러다 보니 공부해야 하는 것들이 정말 많아요.

 

문석철: 맞아요, 보안 기술이 성장하는 만큼 해킹 기술도 계속 발전하고 있거든요. 저희에게 위협이 될 수 있는 해킹 기술을 발빠르게 캐치해야 하고, 이를 방어할 수 있는 보안 기술 또한 빠르게 준비해야 합니다.

항상 탐구해야 하는 직군이라는 점이 가장 큰 매력이에요. 저희 보안팀 분들은 모두가 성장에 목말라 하시는 분들이라서 함께 공부하고 성장해 나가는 보람이 있습니다. 

 

지정호: 토스 초기에 보안팀이 처음 세팅될 때 합류한 순간부터 지금까지 모든 순간이 매력적이었는데요.  토스팀에서 보안 직군으로 일한다는 것은, ‘금융 보안 전문가로 성장할 수 있는 최적의 환경’에서 일하고 있다고 생각합니다. 

토스에서 금융 보안을 다루는 것의 가장 큰 장점은 증권, 카드사, 은행 등 하나의 금융사에 특화된 보안에 얽매일 필요가 없다는 것입니다. 토스가 금융 플랫폼 역할을 하는 만큼, 모든 금융사의 서비스와 상품을 다뤄볼 기회가 있으니까요. 

그리고 아직 모르는 영역이 많은 핀테크 산업군의 보안 시스템과 문화를 가장 선두에서 만들고 있다는 점 또한 엄청난 매력이라 생각합니다. 토스팀은 핀테크가 성장하고 있는 과정을 온 몸으로 경험해볼 수 있는 곳이니까요.

 

 

Q. 이전 회사들과 비교했을 때, 토스팀에서 일하는 방식에 있어 어떤 점이 다르다 생각하시는지 궁금해요.

토스 보안

▵ 토스 팀원 대상 보안 교육 중인 CISO 용석님

지정호: 전체적으로 토스 팀원분들의 보안 의식이 굉장히 철저해요. 2주에 한 번 진행되는 신규 입사자 대상 필수 보안 교육도 아주 큰 몫을 하고 있다 생각합니다. Security Engineer가 아닌 개발자분들도 코드를 짤 때 보안에 대해 많이 고민하면서 일하시고요. 이렇게 수준 높은 보안 문화 속에서 일할 수 있다는 것은, 보안팀 일원으로서 큰 자부심을 가지게 합니다.

 

이태호: 상부에 보고하기 위한 문서를 만들어본 적이 없어요. 예전에는 기술 직군인데도 격식 차리는 문서 만드는 절차가 많았거든요. 토스팀에서는 불필요한 일은 생략할 수 있으니, 꼭 필요한 일에 더 집중하고 성과를 만들어낼 수 있어요. 실패하더라도 괜찮은 문화, 실패를 통해 배운 점을 바탕으로 더 좋은 결과물을 만들 수 있는 환경이 가장 큰 차이점입니다. 

 

박정은: 토스팀에는 모두가 DRI* 를 가지고 있어요. 제가 맡은 업무에 대해 보고하고 결재받는 절차 없이, 스스로 충분히 고민하고 팀원들의 다양한 의견을 수렴해 결정할 수 있는 문화예요. 
* DRI: Directly Responsible Individual의 줄임말로, 맡은 일에 대해서는 그 사람이 최종 의사결정권자임을 의미

실제로 보안팀에서 각자가 가지고 있는 역량을 살펴보면, 모두가 다릅니다. 저는 개인정보 영역에서 깊은 지식을 가질 수밖에 없고, Security Engineer 분들은 보안 기술 영역에서 탁월한 역량을 가지고 계시거든요. 

각자 가지고 있는 기술이나 지식의 깊이가 다르기 때문에, 어느 한 명이 총괄하고 관리한다는 것 자체가 어렵습니다. 토스팀에서는 이런 부분을 충분히 이해하고 책임과 권한을 위임하는 문화가 실현되고 있어요. 제가 전문성을 가지는 분야라면, 얼마든지 업무를 추진할 수 있는 환경입니다.

 

문석철: ‘보안팀 일은 여기까지’ 라고 업무 범위가 제한되어 있지 않다는 점이 가장 달라요. 이전 직장에서는 제가 할 수 있는 일의 범위가 명확히 정해져 있었어요. 수직 관계도 뚜렷해서 팀장 의견과 일치할 때만 할 수 있었고, 아니라면 굳이 하지 않는 문화였거든요. 

그런데 토스팀에서는 업무 범위에 있어 아무도 제한을 두지 않습니다. 팀에 필요하다 생각하는 일이라면, 동료들의 신뢰를 얻어 마음껏 추진해볼 수 있다 보니, 제 가치도 계속 성장할 수 있는 것 같아요. 토스팀에서는 항상 ‘살아있다’는 것을 느끼고 있어요.

 

 

Q. 가장 좋아하시는 토스팀의 코어 밸류(Core-Value)와 그 이유를 말씀해 주세요. 

토스 보안팀

박정은: Move with Urgency, 빠르고 역동적으로 움직이는 토스팀을 좋아해요. 제 급한 성격을 완전히 이해해 주는 회사는 토스가 처음이거든요. 기본적으로 어떤 일이 진행될 때 모든 과정에서 막힘 없이 진행되고, 업무 결과에 대한 팀원들의 반응도 빠르다 보니 성취감도 더 자주 느끼게 됩니다.

 

문석철: Execution over Perfection, 할까 말까 고민하기보다 일단 실행하는 데에 집중하는 문화요. 토스팀에서는 의사 결정이 완료되면 일사천리로 업무가 진행되잖아요. 곁에 있는 동료들과 빠르게 논의해 가면서 성과를 만들어 내는 문화가 토스팀의 가장 큰 매력이자 경쟁력이라 생각합니다. 업무가 진행되는 과정 자체에서 얻는 것도 많고, 실패 경험조차 소중한 것 같아요. 더 단단해질 수 있는 기회가 되니까요.

 

이태호: Exceptional Integrity, 높은 책임감주인의식을 가장 좋아합니다. 모든 서비스가 그렇겠지만, 토스가 금융 서비스이기 때문에 더 크게 느끼는 책임감인데요.

“우리의 보안이 100% 완전하지 않으면, 다음 기회는 없다”는 마음가짐으로 임하고 있어요. 그만큼 최고의 보안 환경을 유지하기 위해 모든 팀원들이 심혈을 기울이는 과정에서 존경심을 느낍니다.

 

지정호: Customer Centric, 고객 중심 문화인데요. 보안팀의 고객은 토스를 이용해주시는 분들이기도 하지만, 토스팀에서 함께 달리고 계신 동료들이기도 합니다. 

사실 많은 회사들이 매우 보수적인 보안 정책을 적용하고 있어요. 보수적인 보안 정책을 유지하면, 보안 수준은 높아질 수도 있겠지만 엄청난 업무 비효율이 뒤따르게 됩니다.

저희는 토스 팀원들이 편하게 일할 수 있어야 한다는 것을 최우선의 가치로 삼고, 근본적인 문제를 찾아 이에 대한 해결책을 제시하는 ‘실질적인 보안’에 집중합니다. 저희가 좀더 많은 일을 하더라도, 팀원들이 불편하면 안 되니까요. 토스팀의 빠른 업무 속도가 유지될 수 있도록 보안팀의 엄청난 노력이 뒷받침 되고 있답니다.

 

 

Q. 토스팀에서 제공되는 여러가지 복지 중 가장 좋아하는 것은 무엇인가요? 이유도 궁금합니다.

박정은: 무이자로 1억까지 대출이 가능하다는 점! 내집 마련에 큰 도움이 되었어요.

 

이태호: 토스 팀원들을 위해 무료로 이용할 수 있도록 마련해주신 편의점이요. 그리고 한 달에 한 번 취미인 주짓수를 할 수 있게 지원해주는 F5 day도 좋아합니다.

 

지정호: 내가 가장 일을 잘 할 수 있는 시간에 맞춰, 자율적으로 근무 시간을 조정할 수 있다는 점이요. 출근 시간이 자유로운 덕분에 매일 아침 운동을 합니다. 지금처럼 꾸준히 운동을 해본 적도 없는 것 같아요. 

 

문석철: 무제한 휴가요. 제 업무를 잘 마무리 한다면 자유롭게 휴가 일정을 활용할 수 있으니, 아내와 함께 육아하기에 최적의 환경이에요.

 

 

Q. 토스에서 꼭 이뤄내고 싶은 일이 있으시다면?

토스 보안팀

지정호: 세계 최고의 보안팀이요. 2018년에는 정보보호대상에서 대상을 수상했으니 국내 최고는 달성한 것 같아요. 높은 목표를 꿈꿀 수 있는 팀원들과 함께 아시아 최고, 더 나아가 세계 최고 보안팀을 만들어 가고 싶습니다. 

이미 국내 여러 회사에서 저희의 보안 문화를 벤치마킹하고 싶다는 연락을 받고 있는 만큼, 해외의 IT 기업들에게도 “토스의 보안 문화를 꼭 도입하고 싶다”는 러브콜을 받는 날이 곧 올 거라 믿습니다.

 

이태호: 보안 기술 사고 0건이라는 성과를 잘 지켜나가고 싶어요. 그리고 지금처럼 토스 팀원들이 마음 편하게 업무할 수 있는 환경이 지속되도록, 안전함과 편리함 사이의 균형을 잘 유지하려 합니다.

 

박정은: “저 토스 다녀요.” 라고 할 때 “와, 거기 보안 최고인 곳 아닌가요?” 라는 질문을 받는 팀이 되고 싶어요. 기술적인 측면과 문화적인 측면은 물론, 정책적인 측면까지도요. 

어제 ‘고객 피해 전액 책임제’를 본격 시행한다는 발표가 있었어요. 토스팀은 고객을 위해서라면 이런 엄청난 결정을 내릴 수 있는 곳이기에, 앞으로도 최고의 보안 시스템, 문화, 정책을 만들어 가는 팀이 되는 데에 기여하고 싶습니다.

토스 보안

문석철: 다른 분들이 너무 잘 말씀해주셨는데요. 저희가 빠르게 성장하며 사업을 확장하는 단계에서, 토스 뿐 아니라 토스뱅크팀, 토스증권팀, 토스페이먼츠팀, 토스인슈어런스까지 모든 계열사의 보안을 최고 수준으로 이끌어 가고 싶습니다. 

 

Q. 마지막 질문입니다. 토스팀에 관심있는 예비 팀원분들께 한 마디 부탁드려요!

토스 보안팀

지정호: 인터뷰에서 왜 토스에서 일하고 싶으신지 여쭈어 보면, “하고 싶은 일을 마음껏 해볼 수 있다 들었기 때문”이라는 답변을 많이 해주시더라고요. 네, 토스팀은 그런 팀이 맞습니다. 

그동안 여러가지 환경적인 이유로 인해 못 해본 일이 있는 분들이라면 토스에서는 충분히 해보실 수 있어요. 팀원들과 공감대를 형성하면, 동료들의 지원을 받으며 해낼 수 있는 환경이거든요. 막힘없는 업무 환경을 꼭 한 번 경험해보고 싶으시다면, 망설이지 말고 토스로 오세요.

 

이태호: 동료들과의 공감대 형성을 통해 업무 영역을 얼마든지 확장할 수 있는 환경이기 때문에, 개인적으로 성장할 기회 또한 무궁무진한 팀이라 생각합니다. 성장하고 싶으신 분들께 최고의 팀이라 확신해요.

 

박정은: 이번 보안 인증을 취득하는 과정에서 정말 많이 배우고 성장했어요. 스스로의 역량과 능력에 대해 한계를 정할 필요가 없는 팀입니다. 내가 어디까지 성장할 수 있을지 궁금하시다면, 저희와 함께해요!

 

문석철: “혁신하고 싶은 자, 토스로 오라!” 이 말을 꼭 하고 싶어요. 빠르게 성장하고 있는 팀이기 때문에 상상하는 것보다 더 많은 것을 해볼 수 있는 곳이고, 이 과정에서 팀과 함께 성장할 수 있는 조직입니다. 시장을 혁신하고 새로운 것을 만들어가는 것이 설레는 분들이라면 저희 팀에 꼭 합류해주세요. 

 

최고의 동료, 최고의 팀과 함께
무한대로 성장할 수 있는 기회

토스 채용