장세인 토스증권 정보보호최고책임자(CISO)
금융권 보안 핵심은 '자율보안체계'
[파이낸셜뉴스] "보안 사고가 발생하더라도 규정은 바뀌지만 조직 문화는 바뀌지 않고 있다"
장세인 토스증권 정보보호최고책임자(CISO)는 22일 금융권 보안 사고가 반복되는 이유에 대해 이같이 말했다. 특히 증권사의 실시간 거래 특성상 시스템 장애는 곧 투자자의 직접적 손실로 이어지고 시장 전체 신뢰에 영향을 줄 수 있지만, 여전히 증권사 보안 체계는 명문화된 규정 준수에 집중하고 있다는 게 그의 설명이다.
이를 개선하기 위해 장 CISO와 토스증권은 자율보안체계를 도입했다. 자율보안체계란 법에서 정한 보안 그 이상의 절차를 회사가 처한 환경에 맞게 구축한 것이다. 기존 금융권 보안이 '이 항목을 대비했는가' 체크리스트 방식에 그쳤다면, 자율보안체계는 '이 대비가 왜 필요한가'라는 원칙을 기반으로 스스로 보안 수준을 높여가는 방식이다.
예컨대 고객들의 피싱 사기 예방을 위해 토스증권은 고객 휴대전화에 설치된 피싱 우려가 있는 어플리케이션 감지를 돕는 자체 보안 기술을 추가했다. 또 웹트레이딩시스템(WTS) 로그인 시 토스 앱을 통한 인증을 추가해 보안을 한층 강화했다.
장 CISO는 "자율보안체계를 선제적으로 적용해 업계 분위기를 바꿔보자는 포부가 있었다"며 "피싱 앱 감지, 로그인 강화 등은 모두 법에서 반드시 의무화하도록 한 것은 아니지만, 자율보안체계를 통해 적용할 수 있었던 것"이라고 말했다.
이러한 노력을 인정받아 장 CISO는 이달 초 열린 '제4회 CISO 대상 시상식'에서 과학기술정보통신부 장관 표창을 받았다. CISO 대상은 한 해 동안 기업의 자율적인 정보보호 투자 확대, 조직 내 보안 역량 강화를 통해 국가 사이버 보안 강화에 기여한 최고 책임자가 받는 상이다.
금융회사는 고객의 금융 거래 정보를 포함한 신용정보를 다루고 있는 만큼 이를 지키는 정보보안 체계의 중요성도 주목받고 있다.
장 CISO는 증권사 보안 사고 예방에서 외부 해킹과 내부 리스크 모두 중요 관리 대상이라고 봤다. 토스증권 역시 초기부터 외부 위협 방어에 우선 순위를 두고 경계를 강화하는 체계를 구축해왔다. 최근에는 다루는 고객 정보가 급증하면서 내부자를 통한 유출 관리 필요성이 커졌고 관련 보안체계 역시 정비했다.
내부 보안 고도화의 핵심은 '제로 트러스트'다. 말 그대로 '아무도 믿지 않는다'는 관점으로 접근한다. 외부 침입자, 또는 설령 신뢰할 만한 내부인이라 하더라도 모든 정보에 접근할 때마다 인증과 권한을 검증하는 체계를 구축하는 것이다. 데이터 흐름을 실시간으로 가시화하고 비정상적인 데이터 접근이나 전송 패턴을 자동으로 감지해 내부 정보 유출을 빠르게 예방하는 체계를 만들어가고 있다.
장 CISO는 "기업의 성장 단계와 환경 변화에 따라 필요한 보안 체계를 적절한 균형감을 통해 강화해 나가는 것이 중요하다고 본다"고 강조했다.
고객들의 편하고 안전한 투자를 돕는다는 목표 하에 토스증권은 인공지능(AI)을 활용한 보안 체계 개발 및 정착에 집중할 예정이다. 장 CISO는 "침입으로부터 약한 고리를 빠르게 찾아내 대응하는 것이 보안의 핵심"이라며 "고객의 편안한 투자를 돕는다는 회사의 기조와 함께 보안 체계도 강화해나갈 계획"이라고 덧붙였다. nodelay@fnnews.com 박지연 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지