토스의 프로그램은 처음 2년 동안 몇 달 동안만 운영되었지만, 회사는 2023년 말부터 지속적으로 운영하고 있습니다. 해커들은 발견한 모든 취약점을 앱에 보고할 수 있습니다. 이러한 화이트 해커들은 심각한 버그를 발견하면 최대 3천만 원(5억 동 이상)의 보상을 받을 수 있습니다.

토스의 보안부장이자 백해커인 이종호에 따르면, 토스는 정기적인 버그바운티 프로그램을 운영하는 국내 유일의 금융 회사로, 이는 토스의 보안 역량에 대한 자신감을 반영한다고 합니다.

8ax1ybjo.png
이종호 토스 보안부문장. 사진: 코리아헤럴드

이 대표는 코리아 헤럴드와의 인터뷰에서 버그바운티 프로그램을 통해 기업이 미처 인지하지 못한 보안 시스템의 모든 취약점을 드러낼 수 있다고 말했습니다. 토스는 또한 "레드팀"을 보유한 유일한 한국 기업입니다. 레드팀은 보안 시스템이나 전략의 효과를 테스트하기 위해 공격을 시뮬레이션하는 사이버 보안 전문가 팀을 뜻합니다.

토스의 레드팀은 이 외에도 10명의 화이트햇 해커로 구성되어 있습니다. 이들은 "블루팀"(방어팀)과 매일 협력합니다. 이 씨는 "편견을 제거함으로써 기업들이 간과하고 방어망을 뚫으려는 취약점을 발견하여 실제 위협에 대한 복원력을 강화합니다."라고 설명합니다.

토스는 토스 가드(Toss Guard), 피싱 제로(Phishing Zero) 등 맞춤형 방어 프로그램을 개발하고 이를 내부적으로 통합함으로써 보안을 강화했습니다. 이러한 조치는 회사의 성장에 맞춰 유연성과 확장성을 확보할 뿐만 아니라 토스의 고유한 환경에 맞춰 강화된 방어 체계를 구축하는 데 도움이 된다고 이 대표는 강조했습니다.

하지만 보안 강화는 상당한 비용 부담으로 인해 기업에게 쉬운 선택이 아닙니다. 토스를 운영하는 비바리퍼블리카의 보고서에 따르면, 작년 정보기술(IT)에 투자된 총 839억 원 중 11.5%인 96억 원이 보안에 투자되었는데, 이는 국내 IT 기업 중 가장 높은 비율 중 하나입니다.

이 대표는 보안 강화에 대한 이러한 헌신이 토스에 합류하기로 결정한 이유라고 말했습니다. 보안 솔루션 제공업체 라온시큐어에서 10년간 근무한 후, 이 대표는 여러 기업에서 채용 공고를 냈습니다. 처음에는 토스 입사를 거절했지만, 창업자이자 CEO인 이승건의 설득으로 입사를 변경했습니다.

Lee는 Toss의 방어 시스템이 완벽하지 않다고 강조합니다. 기술이 발전함에 따라 아이러니하게도 사이버 범죄자들이 우리의 일상생활에 침투하기가 더 쉬워지고 있다고 그는 지적합니다. 대규모 언어 모델, ChatGPT 등과 같은 생성 AI 기술은 새로운 공격 경로를 제공하여 사이버 범죄자의 진입 장벽을 낮춥니다. 또한 월 구독 서비스로 제공되는 랜섬웨어도 있습니다.

시장이 빠르게 성장하고 있다는 점을 언급하며, Lee는 기업들이 기성 솔루션에 의존하기보다는 자체 보안 시스템을 개발하는 것이 중요하다고 말했습니다. 동시에 사이버 공격 위험을 줄이기 위한 전반적인 인식 제고가 필요하다고 덧붙였습니다. 그는 학교의 화재 안전 교육처럼 사이버 보안도 의무 교육 과정에 포함되어야 한다고 제안했습니다.

(코리아헤럴드 보도)