[보안칼럼]'공격적 보안'이 필요한 시대

장세인 비바리퍼블리카 최고정보보호책임자(CISO)

핀테크(FinTech)는 금융(Finance)과 기술(Technology)의 합성어로, 금융과 정보기술(IT)의 융합을 통한 금융 서비스 및 산업의 변화를 통칭한다. 핀테크라는 용어가 본격적으로 등장한 것은 2014년 즈음으로, 지금으로부터 불과 약 10년 전이다. 당시엔 핀테크 개념 자체가 생소했고, 관련 사업을 하는 업계 플레이어도 소수였다.

이제 핀테크는 너무도 익숙한 단어가 됐다. 그만큼 사람들의 금융하는 방식에 많은 변화를 초래했다. 직접 발품을 팔지 않아도 다양한 금융사의 대출 상품을 비교할 수 있고, 휴대폰 애플리케이션 하나로 편의점에서 물건을 살 수 있는 시대가 됐다.

금융의 디지털 전환은 효율성과 편리성을 높이지만 동시에 보안 측면에선 새롭고 어려운 도전 과제들이 많아진다는 말이기도 하다. 금융업은 규제 범위에서 지켜야 할 규칙이 많고, 그 기준 또한 촘촘하다. 때문에 규제 테두리에서 최선을 다하는 것만으로도 이미 훌륭한 수준의 보안을 갖췄다고 평가할 수 있다.

그러나 접근성이 높은 핀테크 사업자들은 특히 보안에 있어 규제 범위를 넘어선 '공격적인' 접근이 필요하다. 태생이 테크에 있어 업계에 등장한 새로운 기술이나 새로운 방식의 보안, 프레임워크를 적용하고 운영하는 데 주저함이 없기 때문이다.

실제로 토스에선 다양한 제품과 인프라 환경을 통해 공격적 보안을 진행하고 있다. 특히, 기술적인 부분에선 '인텔리전스' 기반의 보안을 진행 중이다. 이전엔 주로 알려진 공격을 중심으로 탐지, 차단하는 패턴 위주의 방어였다면 지금은 정보를 빠르게 수집하고 선제적으로 제거해 나가는 방식의 업무를 진행하고 있다. 외부에 있는 위협 정보와 공격자의 프로파일을 수집해 행동을 파악, 신속하게 탐지하고 대응하는 체계를 만드는 작업을 진행하고 있다.

보안팀 이외 여러 팀도 함께 노력 중이다. 토스의 개인정보보호팀에선 선제적으로 모든 서비스에서 개인정보가 과도하게 사용되지 않도록 검토한다. 화이트해커로 구성된 보안기술팀도 모의해킹을 통해 알려지지 않은 공격들을 리서치하고, 공격자가 아직 파악하지 못한 토스의 약점을 찾고 제거한다.

선제적 탐지와 보상 또한 이뤄지고 있다. 대표적으로 악성 앱 탐지 시스템 '토스 피싱제로', 이상거래 탐지 시스템 등을 포함해 토스 앱의 보안 환경을 구축하는 '토스 가드'를 개발해 운영 중이다. 또, 송금 시 상대방 계좌가 기존의 경찰청, 더치트 등에 사기로 신고된 계좌인지를 확인해 경고 화면을 보여주는 '사기 의심 사이렌', 금융 사고나 중고거래 사기 피해 시 선제적으로 구제하는 '안심보상제'도 있다. 토스는 지난 한 달간 집중적으로 '보안 캠페인'을 실시하며 이러한 노력을 알렸다.

공격적이고 선제적인 보안을 위해선 현재 마주하고 있는 상대의 위험이 무엇인지 알아야 한다. '적을 알고 나를 알면 백번 싸워도 위태로움이 없으며, 적을 알지 못하고 나를 알면 한 번 이기고 한 번 지며, 적을 모르고 나를 모르면 싸움마다 반드시 위태롭다'는 손자병법 문구처럼 다양한 형태의 보안 위협과 보안 약점을 선제적으로 찾아내고 방어해나가는 것이야말로 공격적인 보안의 참된 모습이라 할 수 있다.

장세인 비바리퍼블리카 최고정보보호책임자(CISO) toss.security@toss.im