토스 CISO: “강력한 보안, 편리한 금융” 실현 전략

[보안리더] 지정호 토스 CISO "강력 보안, 편한 금융"

[보안리더] 지정호 토스 CISO "강력 보안, 편한 금융"

 

• 토스 보안 철학 및 조직 운영
  • 목표는 “강력한 보안, 편리한 금융”이라는 상충 가치의 조화
  • 정보보호선언문을 통해 보안 최우선 철학 명문화
  • CISO와 CPO를 분리 운영하여 겸직 금지 원칙 자발적 준수, 보안 수준 제고
  • CISO 산하에 CPO 조직을 편성, 조직 간 보안책임 명확화
• 선제적 정보보호 활동 및 투자
  • 2018년 정보보호 공시 제도 업계 최초 참여, 2021년 우수 기업 선정
  • 2023년 정보보호 예산 125억6천만 원(전체 투자 10.5%), 보안 인력 45명(전체 인력의 10.3%)
  • 정보보호 관련 행사 토스 가디언스, 업계 보안 모범 사례 공유
• 국내 최초 도입 보안 서비스 사례
  • 2020년 5월 앱 보안 솔루션 토스가드 도입
  • 2020년 7월 사용자 보호 위한 토스 안심 보상제 운영
  • 2020년 10월 사기 의심 계좌 탐지 알림 시스템 구축
  • 2022년 3월 악성 앱 탐지 서비스 피싱 제로 출시
  • 2023년부터 자체 보안 성과 설명회 가디언스 운영
• 실시간 위협 대응 기술 구현
  • 사기 계좌 탐지 시스템 운영
    • 과거 범죄 이력이 있는 계좌로 송금 시 사용자에게 실시간 경고
    • 중고거래 사기 대응 사례에서 효과 입증
  • 피싱 악성 앱 탐지를 통한 토스 실행 시 사용자 기기 보호 유도
• 버그 바운티 프로그램 운영
  • 2022년부터 보안 취약점 신고 포상제도 도입
  • 토스 및 계열사 웹사이트 포함, 최대 건당 3천만 원 지급
  • 취약점 제보의 범위와 보상 체계를 명확히 운영하며 보안 커뮤니티와 협력 강화
• CISO 개인 철학 및 보안 비전
  • 전직 정보보호 기업과 게임사 경력 보유
  • “국가 사이버 안보에 기여하던 시절에서, 이제는 소비자 보호로 보안의 의미 확대”
  • “세계 최고 보안팀을 만든다는 목표로 토스에 합류, 금융 혁신을 기술로 뒷받침하겠다”는 다짐
• 결론
  • 토스는 전자금융업자로서 보안을 기업 운영의 핵심 가치로 내세우고 있으며, 보안 투자와 책임 조직 이원화로 업계 모범 사례를 구축 중
  • 사기 탐지, 사용자 보호, 정보보호 공시, 취약점 보상 제도 등 전방위 대응 체계는 금융권 정보보호 강화를 위한 대표적 모델로 평가 가능
  • 사용자 편의성과 보안의 균형을 맞추기 위한 위협 기반 자동 대응체계와 실시간 사기 탐지 서비스는 보안 운영의 새로운 기준 제시