이정하 토스뱅크 정보보호본부장. 사진 제공=토스뱅크“최근 정보 보호 기술은 외부 공격을 받은 뒤에야 시스템을 차단하는 것에서 외부 공격을 미리 감지해 예방하는 방식으로 진화하고 있습니다. 예방 능력을 키우려면 정상적인 접근인 척 가장한 외부 공격의 실체를 사전에 파악하는 능력이 필수죠.”
이정하 토스뱅크 정보보호본부장(최고정보보호책임자·CISO)은 28일 서울 강남구 토스뱅크 본사에서 서울경제신문과 인터뷰하며 “위협을 탐지해내는 능력이 (보안의) 핵심으로 떠올랐다”며 이같이 말했다. 실제로 토스뱅크는 보안 취약점을 진단·관리하는 시스템을 자체 개발한 점을 인정받아 과학기술정보통신부가 주최하는 올해 정보보호대상에서 대상(장관상)을 수상하기도 했다. 대형 은행이 아닌 인터넷전문은행이 국내 정보 보호 분야 최고 권위의 시상식에서 대상을 받은 것은 토스뱅크가 처음이다. 이 본부장은 “보안은 항상 약한 곳을 찾아야지만 개선점을 찾아나갈 수 있다”며 “조직 내 보안 위협을 탐지하고 폭넓게 위협 가시성을 확보하기 위해 자체적으로 취약점 진단 관리 시스템을 개발했다”고 말했다.
이 본부장은 ‘고객이 맡긴 재산과 개인정보를 지키는 것’이 금융사 정보 보호의 대원칙이라고 강조했다. 그는 “고객들은 이제 단순히 편리하기 때문에 정보기술(IT)과 금융이 결합한 서비스를 이용하지 않는다”면서 “2030 젊은 고객 층들은 생체 인증 같은 높은 단계의 인증 기술을 선호한다”고 했다. 이 때문에 인터넷은행들은 ‘맞춤형 본인 인증’ 방식을 고민하고 있다. 이 본부장은 "본인 인증을 거쳐 휴대폰 화면을 연 뒤 토스뱅크 애플리케이션을 켜며 또 본인 인증을 해야 하는 걸 번거로워하는 고객부터 앱에서 화면 전환이 될 때마다 재인증하는 방식을 선호하는 고객까지 세분화된 수요를 충족하기 위해 노력한다”고 설명했다.
기술이 진화하는 만큼 투자 확대는 필수다. 이 본부장은 “토스뱅크의 정보 보호 분야 투자 비중은 전체 정보기술 투자액의 10.5%로 금융보안원 권고 기준인 7%를 크게 넘는다”고 강조했다. 현재는 망 분리 규제 완화에 따른 개발 환경 개선에도 힘을 쏟고 있다. 이 본부장은 “올 8월 ‘금융 분야 망 분리 개선 로드맵’이 나오며 이에 대한 관심도가 높다”면서 “인터넷은행 등 기술 지향적인 회사에서는 망 분리 규제가 상당히 크게 와닿는 상황인데 망 분리 규제가 완화되는 방향에 발 맞춰 내년까지는 개발 환경 개선을 진행할 계획”이라고 말했다. 망 분리는 내부망과 외부망을 분리해 외부 공격에 방어하는 방식이다. 지난 10여 년간 금융권의 핵심적인 보안 전략으로 기능해 왔지만 최근 빠르게 확산되고 있는 생성형 인공지능(AI) 등 기술들은 가상 서버를 빌리는 클라우드 기반으로 작동되다 보니 외부망 접속을 차단해야 하는 망 분리 규제 완화에 대한 목소리가 컸다.
이 본부장은 “토스뱅크의 보안 팀은 고객 재산과 고객 정보 두 가지를 지킨다는 긍지를 가지는 것이 중요하다”고 말했다. 금융 보안의 최전선에서 기술 발전을 위해 노력하고 있다는 자부심을 강조한 셈이다. 토스뱅크의 보안 조직은 이 본부장을 필두로 약 30여 명의 보안, 정보 보호 전문가가 은행 서비스의 모든 보안 사안들을 심의·검토한다. 정보 흐름을 면밀히 관찰할 수 있는 ‘정보 흐름 지도’를 제작하고 정보 보호 관리 체계도 자체적으로 운영한다.
