인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

토스증권 지정호 CISO가 <디지털데일리>와 보안리더스 인터뷰를 하고 있다. [ⓒ 토스증권]

[디지털데일리 최민지기자] “정보보안에서 가장 중요한 건 경영진의 관심과 지원입니다.”

수없이 이론적으로 배우고 들었던 이 문구, 모두가 알면서도 실천하기 어려운 말이다. 이윤을 추구하는 기업 특성상, 매출과 직접적 관련 없는 보안부서는 우선순위에서 밀리기 일쑤다. 그럼에도, 정보보안 투자를 위한 적극적인 경영진 관심이 실제 동작하는 곳이 있다.

토스증권 지정호 최고정보보호책임자(CISO)는 디지털데일리와 <보안리더스> 인터뷰를 통해 토스 합류 이후 이러한 경영진 관심을 체감했다고 전했다.

지정호 CISO는 네트워크엔지니어로 첫 커리어를 시작 후 웜바이러스에 대한 관심을 느껴 보안회사로 이직한 2007년부터 현재까지 보안업계에 몸담아왔다. 보안전문기업과 기업보안 담당자 등을 거쳐온 그는 경영진과 임직원 보안의식에 대해 흔한 아쉬움보다는 특별한 자부심을 더 느끼고 있었다.

◆예산 회의 때 토스 경영진이 던진, CISO 가슴 뛰게 한 질문

지 CISO는 2017년 토스 합류 당시부터 신기한 경험을 했다. 이승건 토스 대표가 이제 막 입사한 지 CISO와 보안팀 직원들을 데리고 1시간 넘게 보안교육을 직접 진행했다는 일화다. 이 대표가 정보보안에 드러낸 열정과 관심은 여기서 그치지 않았다.

이와 관련 지 CISO는 “당시 초기 단계라 보안부서 인력이 3명에 불과했다. 다음해 예산 수립 때 최소 30억~40억원이 필요했는데, 10명 인원 충원까지 요구하기 조심스러워 두 명만 뽑아달라고 말할 참이었다”며 “보통 회사 경우 타당한 투자임을 설명하고 예산을 따내기에, 이와 관련한 회의를 진행하는 줄 알았다”고 회상했다.

막상 시작한 회의에서 지 CISO는 당황함을 감출 수 없었다. 재무책임자와 함께 온 이 대표가 지 CISO를 향해 “설명하지 말라”고 발언했기 때문이다.

지 CISO에 따르면 당시 이 대표는 “전문가가 필요하다는데, 내가 따질 건 아니다”라며 두 가지를 물었다. 질문은 “2명을 더 뽑아달라고 했는데, 10명을 뽑으면 우리는 얼만큼 발전할 수 있는가” “예산 40억원을 요구했는데, 100억원을 할당하면 얼마나 더 좋아지는가”였다.

이 대표는 지 CISO에게 “현실에서 조금 더 잘하려면 어떻게 해야 되는지를 고민하지 말고, 대한민국과 세계에서 최고가 되려면 무슨 투자가 얼만큼 필요한지를 얘기해달라”며 “그 이후의 일은 나의 역할이니, 여러분은 꿈을 크게 꾸길 바란다”고 말했다고 한다.

이는 지 CISO가 보안업계에 종사하며 경영진에게 처음 듣는 유형의 질문과 의사결정이었다.

◆“보안부서에 물어봅시다” 자발적으로 보안이슈 찾는 토스증권 임직원

국내 증권사 중 처음으로 글로벌 데이터 보안표준 ‘PCI-DSS’ 인증을 취득한 <지난 기사 참조 [보안리더스] 혁신 이어온 토스증권, ‘자율보안체계’ 전환 여정도 남다르다> 배경에도 이 대표의 제안이 있었다.

보안을 대하는 경영진 자세가 이러하니, 임직원 보안인식도 높을 수밖에 없었다. 토스증권 경우, “이런 것까지 보안부서에 물어보네”라고 할 정도로 임직원 대다수가 적극적으로 보안활동에 동참한다.

지 CISO는 “다른 부서 팀들이 회의를 하다, 보안상 이슈를 고민하고 보안부서에 물어보는 일들이 많다”며 “누군가는 보안 적용되면 귀찮아지니까 하지 말자고 생각할 수 있겠지만, 그렇지 않은 사람들이 이 회사에선 더 많다. 그렇기에, 보안팀에 물어봐야 한다는 목소리가 자발적으로 더 크게 나오는 것”이라고 설명했다.

토스증권 지정호 CISO. [ⓒ 토스증권]

통제하고 처벌하는 보안활동은 보안위협을 음지로 숨어들게 하고 보안조직은 보안위협을 발견하기 어렵게 한다. 임직원이 보안활동 중요성을 공감하고, 자발적으로 보안활동에 참여하도록 해야 하는 이유다.

지 CISO는 “보안부서를 통제조직으로 운영하면, 간섭받기 싫어 말을 하지 않고 쓰다가 사고가 발생한다. 보안이슈 발생 때도 숨게 된다”고 “보안에 대해 공감을 얻기 위해서 보안을 잘 설명하는 것도 중요하지만, 보안조직이 임직원 입장을 이해하려는 노력이 함께 필요하다”고 말했다.

◆“우리가 싸워야 할 적은 다른 회사 보안팀이 아니다”

이와 함께 지 CISO는 경영진과 임직원을 넘어 다른 기업의 우수한 보안전략을 공유해야, 토스증권 보안 발전을 도모할 수 있다고 진단했다. 보안부서 특성상 폐쇄적인 경우가 많은데, 이는 보안전략 발전에 도움이 되지 않는다고 판단했다.

보안 패러다임을 바꾸기 위해 지 CISO는 지난해 ‘가디언즈(Guardians)’ 컨퍼런스를 처음 개최하고 토스증권 정보보안사례를 공유했다. 경영진과 임직원 공감대 속에서 빠르게 보안을 성장시킬 수 있었던 토스증권이지만, 이를 더 발전시키려는 갈증을 해소하기 위한 다음 단계인 셈이다. 지난달엔 토스증권뿐 아니라 토스, 토스뱅크, 토스페이먼트가 함께 참여한 제2회 가디언즈를 열고, 정보보호 우수사례를 발표했다.

지 CISO는 “토스증권 보안을 성장시키는 과정에서 다른 회사 보안을 접하기 어려웠다. 베스트전략을 찾아 발전시키고 싶었는데, 물어볼 때마다 보안상 이유라며 소극적이었다”며 “우리가 싸워야 할 적은 다른 회사 보안팀이 아니다. 우리끼리 숨길게 아니라 좋은 방법을 나누면서 우수한 전략을 만들어 외부 위협으로부터 방어해야 한다”고 강조했다.

아울러, 지 CISO는 “보안만 지키려고 하는 것이 아니라 비즈니스 목표도 지원도 중요하게 생각하고 있다는 상호 신뢰가 만들어져야 한다”며 “새로운 보안 위협의 등장, 비즈니스 측면의 새로운 시도들에서 수많은 보안 이슈가 발생한다. 관성적인 결정을 하기 보다 위험을 새롭게 판단하고 원칙을 중심으로 유연하게 보안 정책을 운영하는 것이 비즈니스 목표 달성과 보안의 균형을 잘 유지할 수 있는 방법”이라고 제언했다.

한편, 토스증권은 정보보호공시제도 의무 대상이 아니지만 자발적으로 정보보호 현황을 매년 공개하고 있다. 2021년부터 현재까지 IT대비 보안인력은 9.21%~16.2%, 보안비용은 10.31%~15.9%로 업계 대비 높은 수준으로 정보보호에 투자하고 있다. 또, 업계 최고수준 보안인력을 채용해 보안인증 취득, 정보보호 시스템 개발‧운영, 보안 취약점 점검 등 업무를 대부분 자체 인력으로 수행하고 있다.

◆지정호 토스증권 CISO 주요 약력

▲2021.3~현재 : 토스증권 Security Division, CISO/CPO/신용정보관리보호인

▲2019.9~2021.8 : 고려대학교 정보보호대학원 석사

▲2017.6~2021.2 : 비바리퍼블리카, Security Team

▲2015.5~2017.6 : 넥슨코리아, 침해사고대응팀

▲2007.4~2015.5 : 윈스, 침해사고대응팀