"취약점은 상시로 나온다"… 토스증권, ‘상시 모의해킹’으로 보안 수준 끌어올린다

김태욱 토스증권 시큐리티 리서처가 디지털타임스와 인터뷰를 진행하고 있다. [토스증권]

최근 금융당국이 망분리 규제를 완화하고 금융사의 자율보안 체계 확립을 강조하면서 금융보안의 패러다임이 규제 준수라는 수동적 대응에서 기업 스스로 약점을 찾아 보완하는 능동적 구조로 전환되고 있다.

토스증권은 이 같은 변화에 발빠르게 움직여 실제 해커의 시각에서 시스템의 빈틈을 끊임없이 공략하는 '상시 모의해킹' 체계를 업계 내에서 선제적으로 도입했다. 이는 형식적인 점검을 넘어 실전과 같은 공방을 통해 고객의 자산을 근본적으로 보호하기 위함이다.

김태욱(사진) 토스증권 시큐리티 리서처는23일 디지털타임스와의 인터뷰에서 "서비스는 상시 배포되고 작은 변경이 체인처럼 연결돼 큰 취약점으로 이어질 수 있다"며 "이를 놓치지 않기 위해 상시적으로 점검하고 공격 시나리오를 검증하는 상시 모의해킹 체계(침투테스트)를 구축했다"고 밝혔다.

기존 정기 점검 방식은 점검 범위와 기간이 제한돼 발견 가능한 취약점에도 한계가 있었다. 반면 상시 모의 해킹은 환경과 상황에 맞는 공격 시나리오를 즉시 반영할 수 있어 복잡한 취약점을 보다 효과적으로 찾아낼 수 있다. 특히 취약점을 신속하게 식별하고 선제적으로 제거할 수 있다는 점에서 차별화된다.

현재 토스증권의 보안 체계는 공격(Red), 방어(Blue), 협업(Purple) 구조로 운영된다. 레드팀이 공격 시나리오를 발굴하면 블루팀이 이를 탐지·차단할 수 있는 룰을 만들고, 협업을 통해 탐지 체계를 지속적으로 고도화하는 방식이다. 특히 레드팀의 역할도 과거와 달라지고 있다. 단순히 취약점을 찾는 데서 나아가 조직 전체의 보안 성숙도를 평가하고 개선하는 방향으로 확장되는 추세다. 김 리서처는 "최근에는 토스증권 내 인프라 자산 식별 가시화, 공격 표면을 관리하는 ASM, 소프트웨어 구성요소를 파악하는 SBOM 등을 활용해 보이지 않는 위험까지 줄이는 데 집중하고 있다"고 설명했다.

인공지능(AI) 역시 보안 전략의 핵심 축으로 자리 잡았다. 토스증권은 AI를 활용해 정적·동적 애플리케이션 보안 테스트(SAST·DAST)를 고도화하고, 위협 탐지 자동화 수준을 높이고 있다. 김 리서처는 "AI를 얼마나 잘 활용하느냐에 따라 보안 성과가 크게 달라지는 시대"라며 "공격 역시 자동화되는 만큼 탐지와 대응 속도를 높이는 것이 중요하다"고 강조했다.

증권업 특성상 보안 리스크는 더욱 치명적이다. 단순 취약점도 대규모 고객 정보 유출이나 금전 손실로 이어질 수 있기 때문이다. 그는 "불완전 직접 객체 참조(Insecure Direct Object Reference, IDOR) 같은 공격 구현이 쉬운 취약점도 고객 자산 탈취로 이어질 수 있고, 서비스 지연(DoS)은 실시간 거래에 직접 영향을 준다"며 "일반 산업보다 훨씬 높은 기준으로 리스크를 관리해야 한다"고 말했다.

자율보안 체계가 제대로 작동하기 위해서는 기술뿐 아니라 조직 역량과 문화도 중요하다.

김 리서처는 "모든 리스크를 제거하려 하기보다 조직이 감내 가능한 수준을 정의하고 지속적으로 개선하는 접근이 필요하다"며 "보안을 통제가 아닌 업무를 가능하게 하는 환경으로 인식하는 문화가 핵심"이라고 강조했다.

향후 금융보안의 방향성은 더욱 명확하다. AI 활용과 제로트러스트 기반 구조 전환을 통해 '침투 이후 대응'이 아닌 '침투 자체를 어렵게 만드는 구조'로 진화할 전망이다. 토스증권 역시 개발·배포·운영 전 단계에 AI 기반 보안 체계를 적용하고, 상시 침투 테스트를 통해 위협을 사전에 제거하는 방향으로 고도화를 추진하고 있다.

김 리서처는 "보안의 궁극적인 목표는 취약점을 찾는 것이 아니라 고객이 안전하게 서비스를 이용할 수 있는 환경을 만드는 것"이라며 "앞으로는 공격이 성립하기 어려운 구조를 설계 단계에서부터 내재화하는 것이 경쟁력이 될 것"이라고 말했다.

김지영 기자 jy1008@dt.co.kr