인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

[디지털데일리 최민지기자] 금융당국이 자율보안 시대를 예고한 가운데, 혁신을 이어온 토스증권은 자율보안체계로 전환하기 위한 중요 기반을 확립했다. 내년에는 AI 보안관리‧가명정보 관리체계 구축에 집중해 자율보안체계 전환을 계속 준비하겠다는 방침이다.

이와 관련 토스증권 지정호 최고정보보호책임자(CISO)는 최근 디지털데일리와 <보안리더스> 인터뷰를 통해 자율보안체계 전환 전략에 대해 밝혔다.

지정호 CISO는 “올해는 클라우드‧컨테이너 보안 구축, 데이터 자산관리 체계 구축, 보안시스템 운영 자동화에 집중했으며 점검 자동화 분야를 늘려가고 있다”며 “이런 활동은 앞으로 자율보안체계를 만들어가는데 중요한 기반이 될 것”이라고 강조했다.

◆진짜 지켜야 할 자산은 ‘데이터’, 완벽하게 파악해야 한다

지 CISO는 “앞으로 자율보안이 강화되면, 중요한 데이터가 있는 곳과 덜 중요한 자산이 있는 곳에 대한 보안전략을 바꿔가야 한다”며 “이를 위한 기반 작업을 오래 진행했다”고 설명했다.

토스증권은 전통적 물리 인프라 관리에서 벗어나 클라우드‧컨테이너 보안 구축을 중심으로 가상화된 환경을 효과적으로 보호하면서도 데이터 가시성을 높이는 작업에 주력했다. 과거엔 서버‧네트워크 인프라에 대한 점검관리 체계를 했지만, 이제는 가상화된 환경에서 서비스가 운영되는 상황이다. IT 기술 변화에 맞는 보안체계를 정립할 필요성이 높아졌다.

지 CISO는 “실제 서비스는 컨테이너 공간에서 돌아가고 있는데, 옛날처럼 껍데기(서버 박스) 점검만 해서는 실질적인 보안이 되지 않는다. 이에 대한 보안체계를 만드는 것”이라며 “서버 껍데기보다 데이터가 정말 중요하다. 데이터가 어떻게 흘러가고 있고, 어디에 무엇이 얼만큼 저장돼 있는지를 완벽하게 파악하는 작업을 오래 했다”고 말했다.

올해 데이터 자산관리체계를 구축한 토스증권은 데이터 자산 관리에 공을 들이는 것으로 유명하다. 실제 데이터를 취급하는 모든 인프라에서 매일 데이터를 수집‧탐지하며, 데이터 보호 수준을 높이고 있다.

데이터가 식별되면, 개인정보처리 시스템이 되는 애플리케이션을 파악할 수 있고, 시스템에 접근하는 이들을 구별할 수 있게 되면서 관리체계가 완성되기 때문이다. 회사에서 파악하지 못해 접근 관리에 소홀했던 애플리케이션(개인정보처리시스템)들을 통해 해킹하는 사례들이 많은 만큼, 작은 틈이라도 놓치지 않겠다는 뜻이다.

지 CISO는 “가시화를 높이기 위해 점수를 통해 정상여부를 알려주고, 조치가 필요한 부분에 대해서도 표시하고 있다”며 “보안부서에 검수 요청이 들어오지 않더라도, 어떤 데이터를 모아서 무엇을 만들었다는 것을 먼저 파악하고 조절할 수 있는 체계를 만든 것”이라고 부연했다.

이어 “보안검수가 오지 않아도 개인정보를 처리하는 프로그램이 생성되면 매일 탐지한다. 고객에게 개인정보 수집 이용 동의문을 받은 것과 프로그램이 처리하는 데이터 항목이 일치하는지 여부 등을 파악한다”며 “데이터는 DB 안에만 있지 않고 분석 등 다양한 용도로 쓰이기 위해 분산된다. 보통 DB에 쌓인 이후에 퍼져나가면, 그 이후로는 추적이 어렵지만, 이를 가능하도록 만들었다. 정확히 파악을 했으니, 파기 시기에 맞춰 파기를 진행한다”고 덧붙였다.

안전하게 개인정보와 데이터를 수집하고 관리하는 건 ‘기본’이다. 지 CISO는 데이터를 가시성 높게 파악해야만 이 기본을 지킬 수 있고, 자율보안으로 나아갈 수 있다고 믿는다. 지 CISO는 “파악조차 못하는 데이터를 어떻게 관리할 수 있겠느냐”며 “데이터에 대해 파악해야만, 추후 자율보안에 따른 규제 완화 때도 잘할 수 있는 준비가 된 것”이라고 제언했다.

◆1년에 한 번 점검? “자율보안과 거리 멀어”…실시간에 가까운 보안점검 자동화

이와 함께 지 CISO는 자율보안체계를 강화하기 위해선, 관리체계가 상시 유지돼야 한다는 의견을 피력했다. 보통 법적 요건에 따라 특정 시기에 점검을 받은 후 미흡사항을 개선조치하고 인증받는 건, 사실상 자율보안과 거리가 멀다고 본 것이다.

관련해 지 CISO는 “전자금융 기반시설에 대해선 1년에 한 번 전체적으로 점검하고, 고객에게 노출된 홈페이지에 대해선 반기에 한 번 점검하라고 돼 있다”며 “정해진 규칙만 지키는 것까지만 목표로 삼는 회사들도 있다. 그러다 보니 규제 준수를 위한 형식적인 점검이 되는 것”이라고 꼬집었다.

지 CISO는 이것만으론 부족하다고 했다. 국내 증권사 중 처음으로 글로벌 데이터 보안표준 ‘PCI-DSS’ 인증을 취득한 배경이다. PCI-DSS는 지불 결제 산업의 정보 보호, 정보 유출을 방지할 목적으로 만든 금융에 특화된 글로벌 보안표준으로 가장 높은 수준의 권위를 가진다. 토스증권이 취득한 PCI-DSS 보안표준은 가장 최상위 등급인 v4.0이다. 1년에 한 번만 심사받으면 되지만, 토스증권은 PCI-DSS 인증을 취득하면서 매 분기마다 활동내역을 보고하고 있다.

이에 더해, 지 CISO는 실시간에 가까운 보안점검 자동화를 꾀하고 있다. 보통 보안시스템 유지보수 경우, 장애가 발생하지 않게끔 예방점검을 하면서 한 달에 한 번 정기점검을 통해 보안시스템 상태를 확인한다.

하지만, 지 CISO는 “한 달에 한 번 점검한다고 안전한 건 아니잖아요”라고 반문했다. 이에 매일 점검할 수 있게끔, 하루에 몇 번씩 이상 점검할 수 있게끔 체계를 만들었다. 또, 클라우드‧컨테이너 보안 환경에서도 실시간에 가깝게 보안점검을 자동화했다.

지 CISO는 “점검 주기를 단축시켜 자동화된 체계에서 점검하는 결과가 곧 우리 회사의 보안수준과 똑같은 수준이라는 것을 확인할 수 있게끔 자동화를 만들고 있다”며 “점검 자동화를 통해 인증을 유지하는 활동이 아니라, 실제 보안 수준을 유지하기 위한 활동이 돼야 한다”고 역설했다.

국가에서 정기적으로 보안 활동을 하라고 말하지 않아도, 기업 스스로 안전한 환경을 조성해야 한다는 생각에서다. 궁극적으로, 자율보안을 위해 필요한 요건인 셈이다.

◆토스증권, AI 관리체계 수립한다

올해 가명정보 관리를 위한 내부 지침을 만든 토스증권은 내년에 가명정보 관리체계와 함께 AI 보안관리체계 수립에 집중하며, 자율보안체계로의 전환을 계속적으로 준비할 예정이다.

AI를 안전하게 사용하기 위한 AI 관리체계는 이르면 연내 또는 내년 초 준비될 방침이다. 토스증권은 업무 관련 지식 검색, 업무 자동화 위한 프로그래밍, 공격 분석 등 다양한 분야에 AI를 활용 중이다. 보호해야 하는 새로운 유형이 생긴 만큼, 안전하게 관리할 수 있는 절차를 만들게 된다.

지 CISO는 “관리체계를 만드는 것까지는 시간이 오래 걸리지 않는다. 중요한 건, 이 프로세스에 맞게 운영하는 것”이라고 말했다. 이어 “외부 AI 서비스를 자유롭게 사용하되, 중요한 데이터가 질의에 사용되지 않게끔 막는 데 집중해야 한다 내부에서 AI 서비스 연구가 이뤄지고 있는데, 고객 서비스 시점에서 AI가 잘못 학습한 내용으로 고객에게 거짓된 정보를 주면 안 된다. 머신러닝 학습 데이터 순도를 높이기 위해, 학습 데이터에 오류 데이터가 들어가지 않도록 접근 통제를 강화한다”고 언급했다.

토스증권은 AI 서비스를 이용하는 사용자 현황을 파악하는 가시성 확보 작업에 돌입한다. 외부 AI 서비스 사용 때 민감한 내용 기반 질의를 하게 될 경우, 중요 데이터가 유출될 수 있어서다. 특히 내부 시스템 인증정보들, 아이디‧패스워드 등은 포함되서는 안되는 정보들이다. 이처럼 민감한 내용을 담아 질의했을 때, 이를 막을 수 있는 시스템을 만들 예정이다. 외부 AI 서비스는 중요데이터를 취급하지 않는 단말에서만 이용 가능하도록 접근통제를 강화하고, AI 서비스를 이용하는 단말에서도 정보유출이 발생하지 않도록 감시‧예방 시스템을 구축하고 있다. 내부 AI‧머신러닝(ML) 경우, 데이터 신뢰성 유지를 위한 전략을 만들 계획이다.

지 CISO는 “망분리 규제 개선이 되면, 데이터 가명 처리를 했을 때 AI를 쓸 수 있는 환경으로 변화하겠다는 규제당국 발표가 있었다”며 “개선됐을 때 바로 적용하기 위한 준비를 미리 하고 있다”고 전했다.

다만, 지 CISO는 “망분리 규제 개선과 관련해 긍정적인 많은 변화가 있지만, 외부 클라우드와 AI 서비스 사용에 어려운 제약조건도 아직 남아있다”며 “서비스를 제공하는 회사에 대한 관리감독 권한을 금융감독원에게 제공한다는 내용이 계약서에 담겨야 하는데, 외부 서비스를 사용할 때 보통 계약서가 아닌 약관 동의 후 쓰게 된다. 이에 서비스형소프트웨어(SaaS) 업체에게 협조를 받아내기 어렵다”고 아쉬움을 표현했다.

<다음 기사에서 계속>

◆지정호 토스증권 CISO 주요 약력

▲2021.3~현재 : 토스증권 Security Division, CISO/CPO/신용정보관리보호인

▲2019.9~2021.8 : 고려대학교 정보보호대학원 석사

▲2017.6~2021.2 : 비바리퍼블리카, Security Team

▲2015.5~2017.6 : 넥슨코리아, 침해사고대응팀

▲2007.4~2015.5 : 윈스, 침해사고대응팀