[이코노미스트 김윤주 기자] 국내를 넘어 세계적인 회사를 꿈꾸는 은행이 있다. 출범 14개월 차, 사람으로 치면 이제 막 걸음마를 뗀 인터넷전문은행 토스뱅크의 당찬 포부다. 토스뱅크가 글로벌 기업과 1위를 겨룰 종목은 바로 ‘정보보호’ 분야다. 금융에 디지털을 입힌 인터넷전문은행의 경우, 사이버 공격의 표적이 되기 쉬워 정보보호는 더욱 중요할 수밖에 없다. 이정하 토스뱅크 최고정보보호책임자(CISO)를 만나 토스뱅크 정보보호에 대한 운영방안과 목표에 대해 들어봤다.

토스뱅크 출범 전부터 보안 조직 이끌어

이정하 토스뱅크 CISO는 지난 18일 서울 강남구 한국지식재산센터 13층에 위치한 토스뱅크 사무실에서 기자와 만나 “지금은 황당한 목표일 수도 있지만, 세계적으로 정보보호 분야에서 모범이 되는 인터넷전문은행을 만드는 것이 목표”라고 포부를 밝혔다.

그는 “국내에 3개뿐인 인터넷전문은행 중 모범이 되기를 추구하기보단 세계적으로 정보보호 분야 모범 기업이 되고 싶다”며 “다양한 분야의 기업에 정보보호 업무에 대해 소개하고 모범적 사례를 공유할 수 있었으면 한다”고 말했다. 

이 CISO는 토스뱅크 출범 이전 ‘토스혁신준비법인’이었던 2020년 6월부터 토스뱅크의 보안 조직을 이끌고 있다. 정보보호 업무는 눈에 보이는 금융 서비스를 개발하는 것은 아니다. 하지만 토스뱅크 서비스의 모든 보안 사안들을 심의·검토하고 있어, 곳곳에 이 CISO의 손길이 닿아 있는 셈이다. 

토스뱅크 보안팀은 ▶정보보안 ▶개인정보보호 ▶사이버보안기술 ▶사내인프라관리 등 크게 4개의 그룹으로 영역을 나눠 업무를 수행한다.

정보보안담당은 보안정책 및 보안솔루션의 운영에 집중해 회사의 보안정책을 수립하고 보안대책을 통해 지속적으로 유지될 수 있도록 한다. 사이버보안기술담당은 모의해킹, 취약점진단 및 침해사고대응에 집중해 위협의 가시성을 확보하고 이에 대응하는 보안대책을 수립 및 적용하는 것에 집중한다.  

개인정보보호담당은 고객의 개인·신용정보의 수명주기 내내 개인·신용정보가 원칙을 준수하고 보호되도록 안전성을 확보하는 역할이다. 사내인프라담당은 직원의 접점에서 발생할 수 있는 보안이슈를 조기에 발견해 적절한 조치를 취하도록 1차적인 처리를 수행한다. 

“사람이 중요…‘토스형 인재’ 선발 공들였죠”

이 CISO가 정보보호 업무를 수행하는 데 가장 중요하게 생각하는 것은 ‘사람’이다. 이 CISO는 ‘좋은 인재’ 즉 ‘토스형 인재’를 선발해 지금까지 조직을 키워온 것이 가장 뿌듯한 경험이라고 떠올렸다.

과거 3명이었던 토스뱅크의 보안 조직 규모는 현재 21명으로 성장했다. 토스뱅크는 기술혁신을 추구하는 기업의 특성에 맞게 전체 직원 약 400명의 50% 이상이 기술 인력으로 분류된다. 이 가운데 10% 가량이 정보보호 업무를 수행하고 있다. 

이 CISO는 “초기에는 적은 인원으로 금융회사의 정보보안 조직을 구성하는 것이 불가능할 것처럼 느껴질 정도였다”면서 “인터넷전문은행 본인가를 위한 현장심사에서 중대한 미흡사항 없이 정보보안 기준을 만족할 수 있었던 사례가 가장 기억에 남고 보람 있었다”고 말했다. 

이어 그는 “전문 인재를 영입하는 데 시간을 많이 쏟고 있다”며 “현재는 보안팀 모든 인원이 기술적인 호기심과 개발에 대한 욕심이 강한 토스형 인재로 구성돼 있다고 자부한다”고 강조했다. 

토스뱅크의 정보보호는 보안팀뿐 아니라, 조직문화에도 스며들어 있다. 예를 들면 토스뱅크의 임직원은 단 1분이라도 자리를 이탈할 때 컴퓨터 화면 보호 암호를 설정하는 등 보안을 생활화하고 있다. 

‘모의해킹’으로 취약점 발견…“발빠른 규제 변화 기대”

정보보호를 위해 위험을 사전에 관리하는 일은 무척 중요하다. 특히 토스뱅크는 위험을 식별하는 방법 중 하나인 ‘모의해킹’ 과정도 수시로 진행해 보안 취약점을 선제적으로 파악하고 있다.

이 CISO는 “금융회사들은 대부분 모의해킹을 신규 서비스를 만들 때 실시하거나 반기에 1회씩, 1년에 총 두 번 공식적으로 진단하는 데 그친다”면서 “토스뱅크는 수시로 모의해킹을 할 수 있도록 모의해킹 방법을 내부적으로 표준화하고, 관련한 도구(tool)를 개발하고 있다”고 말했다.

토스뱅크는 정보기술(IT)부문 투자액 대비 약 10%를 정보보호 분야에 투자하고 있다. 이는 금융보안원의 권고 기준인 7%를 웃도는 수준이다.

이 CISO는 “토스뱅크의 기조는 예산에 맞춰 업무를 수행하는 것 외에 ‘필요한 업무’라면 추가적으로라도 예산을 획득해 수행하는 것”이라며 “정해진 예산은 업무를 수행할 때 전혀 허들이 되지 않는다”고 강조했다.

다만 정보보호 업무에 있어 아쉬운 부분은 기술 발전 속도보다 반박자 느린 규제환경이라고 토로한다.

이 CISO는 “전통 금융사에 있다가 인터넷전문은행으로 오니까 업무의 속도가 생각했던 것보다 4배 정도 빠르다”면서 “이 때문에 규제가 빠르게 변하지 않는 점이 더욱 아쉽다”고 말했다.

이어 그는 “인터넷전문은행에게 정부와 산업이 기대하는 것은 신기술, 혁신 등을 선도하는 것이지만 규제로 인해서 새로운 글로벌 기술을 적용하는데 제약이 있다”면서 “규제가 허들이 되지 않는 방향으로 발전되기를 고대한다”고 제언했다. 

마지막으로 이 CISO는 “금융사의 경우 눈에 보이지 않는 고객의 ‘신뢰’를 얻는 일이 가장 중요하다”면서 “신기술들을 접목해 최선의 서비스를 제공할 수 있도록 계속 노력하겠다”고 말했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지