금융 수퍼앱을 지키는 방패, 보안 엔지니어를 만나다
ㆍby 토스 보안
요동치는 트래픽을 그린 그래프와 빼곡한 로그 기록이 스쳐 지나가는 화면, 여기서 눈을 떼지 않는 사람들. 조용한 공간 안에는 바쁘게 키보드를 두드리는 소리만 흐릅니다.
토스에는 관제탑이 있습니다. 토스 커뮤니티(전 계열사)의 모든 서비스 보안을 24시간 365일 보안관제 요원이 상주하며 지키는 ‘통합보안관제센터’입니다. 이 곳에서 토스 커뮤니티 전체의 보안 상황을 실시간으로 파악하고 모든 계열사와 공유합니다. 각 팀의 보안 체계에 더해 더 철저하게 토스의 보안을 지키고 있습니다.
토스의 보안을 더 튼튼하게 만든 통합보안관제센터는 지난 1월 문을 열었습니다. 보안 강화를 위해 지난 1월 정보보호 및 개인정보보호 관리체계 인증(ISMS-P), 지난해엔 국제표준 정보보호 인증(‘ISO/IEC 27001’ ‘ISO/IEC 27701’)을 자발적으로 획득한 토스팀에 새로운 ‘방패’가 생긴거죠.
토스 커뮤니티에는 총 62명(4월 기준)의 보안팀이 토스를 지키고 있습니다. 더 튼튼하고 효율적인 보안을 구축하기 위해 뛰는 토스팀의 보안엔지니어는 어떻게 일하고 있을까요. 그들을 만나봤습니다.
보안도 혁신합니다
Q. 보안 엔지니어(Security Engineer)는 어떤 일을 하고 있나요? 토스는 물론 각 계열사에도 많은 엔지니어가 계신데 각자 맡은 역할이 어떻게 다른지도 궁금해요.
고경석: 토스코어에서 토스의 보안성 향상을 위해 안팎의 위협을 탐지하고 분석한 뒤 대응하는 업무를 주로 맡고 있습니다.
한다한: 토스코어에서 토스 서비스와 팀원들의 업무환경에 대한 다양한 보안 위협을 미리 찾아내고 분석하고 대응하는 업무를 맡고 있습니다.
김범석: 토스증권에서 엔드포인트 보안을 지키는 업무를 맡고 있습니다. 엔드포인트 보안이란 토스증권의 서비스와 임직원의 업무환경을 보호하는 보안시스템입니다. 보안솔루션(AV,PMS,DLP,NAC 등)과 금융 컴플라이언스에 따른 망분리 환경, 정보 유출 대응체계 구축 등 여러 업무를 맡고 있습니다.
문석철: 토스뱅크에서 보안 취약점을 찾고 대응 방법을 찾는 보안성 검토를 맡고 있습니다. 화이트 해커의 입장에서 직접 침투 테스트를 해 보완할 점을 찾습니다. 정보보안 인증 획득을 위해 보안을 더 강화해야할 점도 짚어내고 있습니다.
최한림: 토스뱅크에서 인프라 보안을 맡고 있습니다. 예방부터 탐지·분석·조치·재발방지까지 침해 사고 대응력을 강화하고 있습니다. 위협을 미리 식별하기 위해 내부 시스템을 강화하면서 취약점을 줄여 나가고 있습니다.
홍용진: 토스페이먼츠에서 네트워크 보안을 지킵니다. 네트워크 인프라에 필요한 보안을 지키고 강화하는 역할을 하는데요, 네트워크 기반 보안 솔루션을 활용해 인가한 통신이나 사용자만 접근할 수 있도록 검토하는 일을 하고 있습니다.
Q. 토스에는 여러 업계에 걸쳐 있는 계열사가 있어서 보안 엔지니어가 하는 일도 다양할 것 같아요. 토스팀에서 새롭게 시도해본 프로젝트가 있다면 소개해주시겠어요?
고경석: 지난해 입사 한지 3개월 만에 통합보안관제센터 구축 프로젝트에 합류한 게 기억에 남아요. 비슷한 시기에 입사한 동료랑 ‘같이 해보자’하며 들어갔죠. 통합보안관제센터 한 곳에서 전체 계열사의 보안을 단단히 지켜주니까 보안팀은 새로운 솔루션을 개발하거나 보안 수준을 높이는 작업에 더 집중하게 됐습니다.
한다한: 저도 같은 프로젝트를 꼽고 싶어요. 인프라 구성부터 데이터 연동, 플랫폼 개발 뿐 아니라 사업 계약까지 많은 과정이 있었는데요. 토스팀 소속 여러 법인의 보안관제를 통합하는 작업이라 오래 걸릴 수 있었지만, 많은 동료가 도와준 덕분에 빠르게 프로젝트를 마무리했습니다. ‘토스팀 최고의 복지는 동료다’ 라는 말을 실감했어요.
고경석: 토스 커뮤니티 전체를 아우르는 시스템을 만드는 게 쉽지 않았죠. 모든 회사의 보안팀이 적극적으로 협력해 복잡한 시스템을 손봐야 하거든요. 많은 예산과 인력도 필요하고요. 토스팀을 위한 일에는 모두 협조하고, 보안 시스템에는 적극적으로 투자하는 환경이었기 때문에 성공할 수 있었어요.
김범석: 저는 토스증권에 처음 와서 한 엔드포인트 보안솔루션 업그레이드 프로젝트가 기억에 남습니다. 애플의 새 M1 CPU와 호환되는 솔루션을 구축했습니다. 보통 다른 회사에서는 사용자나 임직원이 보안 솔루션에 운영체제를 맞추게 통제하거나 업그레이드를 제한해요. 토스팀에서는 고객이 쓰기 좋은 환경을 먼저 생각하기 때문에 사용자 PC 환경에 맞춰 보안을 업그레이드 합니다. 새 운영체제에 맞춰 개발하면서 몰랐던 부분을 많이 배웠어요.
홍용진: 성공적인 프로젝트보다 실수가 기억나요. 한 번은 작업을 하다 실수를 하는 바람에 오류가 생겼어요. 당황스러웠죠. 이럴 때 토스팀에서는 문제에 책임질 사람을 찾기보다 문제 해결에 더 집중해요. 덕분에 금방 처리할 수 있었습니다. 저를 나무라기보단 동료들이 먼저 ‘위축되지 말고 지금처럼 업무를 적극적으로 해달라’는 피드백을 줬어요. 실패에서 배우고 더 성장하는 토스팀 만의 문화 덕분이라고 생각해요.
Courage to fail fast·빨리 실패할 용기를 가지라.
토스팀은 실패나 실수의 두려움으로 포기하기보다 도전하는 걸 응원합니다. 당장 성공하고 싶은 마음이 둘수록 실패해도 다시 시도하는 용기가 필요하거든요. 그 과정에서 어떤 문제가 더 중요한지, 어떻게 개선할 수 있는지 학습하며 강해질 수 있습니다.
Q. 보안 업무를 함에 있어 다른 조직에서 경험해 보지 못했던 토스팀의 특별한 문화가 있다면 소개해 주시겠어요?
고경석: 보안을 강화할 수 있는 새로운 프로젝트에 도전하고 실패해도 좌절하지 않는 게 토스팀 만의 차이점이에요. ‘이게 될까?’ 고민하느라 주저하기보다 좋은 솔루션이라 생각하면 도전할 수 있어요. 토스팀에서는 다른 사람의 지시를 받거나 업무 지침에 따라 일하지 않아요. 토스팀을 위해 꼭 필요한 일이라고 생각하면 뛰어들 수 있습니다. 팀에 가장 도움이 되면서 내가 잘할 수 있는 일에 집중할 수 있는 게 가장 마음에 들어요.
문석철: 토스팀에는 남들이 어렵다고 생각하는 일을 계속 찾고 시도하는 문화가 있어요. 토스뱅크의 AWS(아마존 웹 서비스) 클라우드 보안을 강화할 아이디어가 있었는데요, 이게 가능할까? 안전한 구조일까? 고민하던 아키텍처였어요. 포기할 수도 있었지만, 동료와 고민하는 부분을 편하게 논의하고 실제로 구현까지 했습니다.
어려운 목표에 도전하기 때문에 힘들 때도 많지만, 결국 해냈을 때 성취감을 느끼고 동료와 공유할 수 있습니다. 이런 문화 덕분에 일반적인 회사에서는 하기 어려운 프로젝트에 도전할 수 있었던 것 같아요.
토스팀은 항상 한 발 앞서가며 최고 수준의 보안을 구축했습니다. 2017년에는 국제 카드업계의 국제보안인증인 PCI DSS(Payment Card Industry Data Security Standard) 레벨1 인증을 자발적으로 획득했습니다. 정보보안 국제표준 ISO 27001·27701, ISMS-P, ISMS 인증도 먼저 도전해서 이뤄냈습니다.
튼튼한데 빠르다
Q. 전체 계열사의 보안을 한 곳에서 지키는 통합보안관제센터도 프로젝트 착수 1년도 안돼 문을 열었고, 굵직한 보안 인증도 1~2년마다 따내고 있어요. 특히 보안 인증은 외부 컨설팅 없이 획득 했는데, 이렇게 빠른 혁신이 가능한 토스팀 만의 강점은 뭔가요?
고경석: 토스팀은 정말 빨라요. 생각하는 것보다 훨씬 더요. 최적의 업무 환경을 만들고, 여기서 나오는 빠른 업무 처리 속도가 강점입니다. 큰 임팩트를 내는 업무에 집중할 수 있게 불필요한 결재나 보고 같은 일이 없어요. 토스팀을 위해 필요한 일이라고 판단하면 다른 데 시간이나 여력을 뺏기지 않고 몰입할 수 있어요.
김범석: 빠른 피드백과 속도는 보안팀의 특별한 문화에요. 다른 곳에서는 1~2일이 걸릴 일도 토스팀에서는 30분~1시간 내외로 처리합니다. 보안 때문에 업무 진행이 느려지는 일은 많지 않아요. 강력한 보안과 원활한 서비스 제공을 함께 이뤄내고 있습니다.
다른 직무의 동료와도 빠르게 협업하기 때문에 보안팀을 바라보는 시선도 달라요. 지금까지 겪었던 회사와 다른 점이 토스팀에서는 보안팀을 어려워하거나 싫어하지 않는다는 거에요. 보안팀은 통제하고 새로운 시도를 어렵게 하는 불편한 부서로 생각하는 경우도 있거든요.
토스팀에서는 빠른 협업과 지원이 이뤄지기 때문에 서비스를 준비하면서 꼭 의견을 묻고 문제 해결을 요청하는 보안 전문가로 인식하고 있습니다.
최한림: 토스팀에서는 한 명, 한 명이 DRI(Directly Responsible Individual. 내가 맡은 일의 최종 의사결정권은 내가 갖는 업무 원칙)를 가진 의사결정권자가 돼 주인의식을 갖고 업무를 진행할 수 있어요. 다른 회사에서는 보고서를 만들고, 팀장님을 설득하고 더 높은 분에게 보고하느라 업무 진행이 더디잖아요. 토스팀에서는 진행하고 싶은 프로젝트를 동료들에게 소개하고 공감대를 얻은 후 프로젝트를 책임지고 이끌 수 있어요. 일도 빠르게 진행되고 만족감도 큽니다.
의사결정권을 갖고 프로젝트를 추진하면 힘든 점도 있어요. 책임감과 부담감도 따라오죠. 하지만 이 과정에서 더 꼼꼼하게 프로젝트를 확인하고 검토할 수 있습니다. 다른 곳에서는 경험하기 힘든 새로운 성장을 경험한 순간이었습니다.
한다한: 한 번 동료의 신뢰를 얻으면 문제에 부딪혀도 함께 뛰어넘을 수 있어요. 토스팀의 협업은 동료를 설득하고 공감을 얻어내면서 이뤄지거든요. 지시나 명령보다 정보를 공유하고 ‘토스팀을 위한 일’이라는 공감대를 얻는 게 먼저에요.
새 프로젝트의 효과와 목표에 대해 합의가 이뤄졌기 때문에 도움을 요청하면 빠른 속도로 지원을 받고 문제를 해결할 수 있습니다. 동료의 지원을 받고 의견을 나누다보면 부족한 점을 보강하거나 동기 부여를 받습니다.
실무자가 독립적인 의사 결정을 하면서도 동료들과 한 팀처럼 빠르게 움직일 수 있는 비결이죠.
Q. 효과적인 아이디어와 뛰어난 동료의 도움이 있어도 현실적인 문제는 있을 것 같아요. 보안 체계를 강화하고 새로운 솔루션을 도입하는 데 드는 비용 부담도 적지 않을텐데, 회사 차원에서 보안에 대한 투자를 어떻게 바라보고 있는지 궁금해요.
고경석: 유명한 IT 대기업에서도 근무해봤지만, 토스팀 만큼 보안에 많은 투자를 하는 회사는 흔치 않아요. 회사 규모에 비해 보안 인력과 예산에 많은 투자를 하고 있습니다. 이런 지원 덕분에 실무자가 보안에 도움이 된다고 생각하는 새로운 아이디어를 내고 펼칠 수 있는 것 같아요.
이렇게 많은 지원을 할 수 있는 배경에는 보안에 대한 토스팀 만의 철학이 있어요. 일부 회사에서는 보안을 큰 비용을 들이지 않아도 되는 곳, 비용을 들이지 않고 싶은 부서로 대하기도 합니다.
토스팀에서는 보안을 비용이 아니라 투자 대상으로 생각해요. 보안에 적극적으로 투자해서 고객의 정보와 자산을 지키고, 혁신을 일으킬 수 있는 곳으로 보는거죠. 튼튼한 보안을 지키면서도 빠른 서비스를 구현하는 혁신이 가능한 이유에요.
토스팀은 최고 수준의 보안을 위해 인재를 모으고 충분한 예산을 투자하고 있습니다. 2020년 기준 IT 직무 직원 중 보안 인력은 11.6%, 보안 예산은 17.9%를 차지해요. 금융감독원의 보안 인력·예산 기준인 5%, 7%를 훌쩍 넘는 수치입니다. 토스팀의 성장 속도 만큼이나 빠르게 보안에 대한 투자를 늘린 결과죠.
원팀, 함께 지켜서 강하다
Q. 동료의 공감을 얻어도 주도권을 갖고 여러 프로젝트를 진행하다 보면 팀보다 각자의 일을 먼저 생각하지 않을까요? 여러 계열사에 보안 엔지니어가 속해 있다보니 협업이 어려운 점이 있을 것 같은데, 어떤가요?
문석철: 토스 커뮤니티는 여러 회사로 이뤄진 하나의 큰 팀입니다. 은행, 증권 같이 다양한 업계에 속해 있고 보안 체계도 조금씩 다르지만, 항상 정보를 공유하면서 협업하는 ‘원팀’으로 움직여요. 모든 계열사의 보안팀은 매주 Security Engineer 미팅을 하면서 다양한 정보를 공유하고 있어요.
한다한: Security Engineer 미팅에서는 토스 커뮤니티 전체의 보안이 발전할 수 있는 방법을 함께 고민합니다. 떠오르는 보안 이슈나 새로운 기술을 함께 나누고 배울 수 있어요. 보안 위협에 대한 탐지·대응에 대한 정보를 나누면서 토론도 하고요. 여러 회사에 속해 있지만, 함께 머리를 맞대니까 훨씬 효율적이에요.
고경석: 이전에 속했던 회사에서는 계열사마다 보안팀이 있었는데, 이런 협업이 잘 이루어지진 않았어요. 각 팀 단위로 따로 움직였으니까요. 다른 계열사의 보안팀이 해결했던 문제도 도움을 구하지 못하고 다시 처음부터 해결해야 하니까 효율이 떨어졌습니다.
반면 토스팀은 전체 보안팀이 협업하는 구조에요. 예를 들어 한 회사에서 보안 조치를 할 일이 있으면, 전체 보안팀 동료에게 의견을 구해요. 이런 위협을 다뤄본 적 있는지, 어떤 대응을 했는지 묻는거죠.
토스 커뮤니티는 여러 금융권에 걸쳐 있고, 많은 보안 조치를 한 경험이 있기 때문에 금방 대응 방법을 찾을 수 있어요. 이 과정에서 한 회사에 속해있을 땐 배우지 못할 경험을 쌓기도 합니다.
Q. 최고 수준의 보안과 빠른 서비스와 원활한 협업을 모두 이뤄내려면 힘든 점도 있을 것 같아요. 어려웠던 점은 없었나요?
고경석: 보안 업무의 특징은 새로운 기술이 쏟아져 나온다는 점이에요. 네트워크와 시스템, 개발 영역의 다양한 기술을 끝없이 공부하고 구현하기 위해 많은 시간을 쏟아야 합니다. 하지만 이 과정에서 끊임없이 학습하면서 성장한다는 점이 매력적이에요.
토스팀은 보안 규정이 까다로운 금융을 다루는데다 사용자도 많은 수퍼앱 토스를 지켜야 해요. 그만큼 토스의 보안팀에서 일하는 건 많은 걸 배우는 시간입니다. 여기서 해낸다면 어디에서도 최고의 보안 엔지니어의 실력을 인정 받을 수 있다고 생각합니다.
김범석: 토스증권은 지난해 서비스를 시하면서 보안체계와 프로세스를 새로 구축하고 발전시키고 있어요. 기존 회사에서는 이미 운영하고 있던 시스템을 관리하는 게 주된 일이었는데, 여기선 새롭게 시작하는 일이 많죠.
그러다보니 담당하는 솔루션이 10여종이 넘고 보안 업무 요청이 몰릴 때가 있는데, 이럴 땐 체력적으로 힘들기도 해요. 하지만 스스로 몸상태를 돌볼 수 있는 자율 출퇴근제와 재택근무가 가능하기 때문에 제 리듬에 맞추면서 자기관리를 하고 있습니다.
고경석: 믿을 수 있는 동료가 가장 힘이 되는 것 같아요. 지난해에 여러 보안 인증 심사를 위해서 하루에도 여러번 인터넷 데이터 센터(IDC)에 오간 적이 있어요. 체력적으로 많이 힘들었죠. 하지만 다른 업무를 믿고 맡기면 걱정하지 않아도 되는 최고의 동료가 있었기 때문에 이겨낼 수 있었어요. 이런 도전을 받을 때면 ‘동료가 최고의 복지’라는 생각이 들어요.
도전하는 엔지니어를 위해 준비된 팀
Q. 토스팀에서 이뤄내고 싶은 일이 무엇인지 궁금해요.
문석철: 저는 화이트해커로서 모의해킹을 하면서 보안을 개선해야 하는 점을 찾는 레드팀 역할을 하고 있어요. 레드팀이 개선해야할 점을 찾고, 블루팀은 이를 바탕으로 보안을 강화하고 있는데요, 요즘은 두 팀이 서로의 역할을 같이 하면서 개선 속도를 높이는 ‘퍼플팀’이 보안 업계에선 새로운 트렌드로 뜨고 있어요. 토스뱅크에서 이런 퍼플팀을 만들어서 금융 보안을 더 혁신하고 싶습니다.
김범석: 지금까지 많이 경험해보지 못한 클라우드 보안 기술을 더 배우고 기술력을 확장하고 싶어요. 토스증권은 금융회사지만, 핀테크에 기반을 두고 있기 때문에 AWS, K8S(쿠버네티스) 등 최신 기술을 선도하고 보안을 강화해야 합니다. 보수적인 문화에서는 새로운 보안 기술을 구현하는 게 어렵지만, 토스에서는 할 수 있어요.
고경석: 두 마리 토끼를 잡고 싶어요. 보안과 속도. ‘토스팀의 보안이 국내외 어떤 서비스보다 강하다, 동시에 서비스의 속도도 가장 빠르다’는 평가를 얻고 싶습니다.
Q. 마지막으로 최고의 보안을 함께 만들어갈 미래의 동료에게 하고 싶은 한마디는?
문석철: 토스팀에는 어려운 문제에 도전하고 해결하고 싶은 사람이 모여 있습니다. 이 동료를 보면서 배우는 점이 정말 많아요. 항상 뭔가를 궁금해 하고, 새로운 아이디어를 실현하고 싶다면 토스팀에 합류하시는 걸 적극 추천드립니다.
김범석: 토스 채용 홈페이지에 뜨는 첫 문구가 떠올라요. ‘몰입하는 당신을 위한, 아낌 없는 보상과 지원’. 하고 싶은 일이 있고, 몰입하는 경험을 하고 싶다면 꼭 지원하시길 권합니다.
고경석: 토스팀의 문화와 보안팀이 일하는 방식을 경험해 보시길 적극 추천합니다. 좋은 분들과 함께 성장하고 배우며, 때로는 난관을 극복하면서 하루가 다르게 성장하는 내 자신을 볼 수 있습니다. 고민은 성장만 늦출 뿐입니다!