처음 2년 동안 Toss의 프로그램은 몇 달 동안만 운영되었지만, 2023년 말부터는 지속적으로 유지되고 있습니다. 해커들은 취약점을 발견할 때마다 애플리케이션에 보고할 수 있습니다. 이러한 화이트햇 해커들은 심각한 버그를 발견할 경우 최대 3천만 원(5억 베트남 동 이상)의 보상을 받을 수 있습니다.

토스는 한국에서 정기적으로 버그 바운티 프로그램을 운영하는 유일한 금융 회사입니다. 토스 보안 책임자이자 화이트햇 해커인 이종호 씨에 따르면, 이는 회사의 보안 역량에 대한 자신감을 반영하는 것입니다.

8ax1ybjo.png
토스(Toss)의 보안 책임자 이종호. 사진: 코리아 헤럴드

이 대표는 코리아 헤럴드와의 인터뷰에서 버그 바운티 프로그램이 기업이 인지하지 못했던 보안 시스템의 취약점을 드러낼 수 있다고 말했습니다. 더 나아가 토스는 한국 기업 중 유일하게 '레드팀'을 보유하고 있는데, 레드팀이란 사이버 보안 전문가로 구성된 팀으로, 보안 시스템이나 전략의 효과를 테스트하기 위해 모의 공격을 수행하는 임무를 맡고 있습니다.

Toss의 레드팀은 Lee를 포함해 10명의 화이트해커로 구성되어 있으며, 이들은 "블루팀"(방어팀)과 매일 협업합니다. Lee는 "편견을 배제함으로써 기업들이 간과하는 취약점을 발견하고 방어망을 뚫어봄으로써 실제 위협에 대한 회복력을 강화할 수 있습니다."라고 설명합니다.

토스는 토스 가드(Toss Guard)와 피싱 제로(Phishing Zero)와 같은 맞춤형 방어 프로그램을 개발하고 내부적으로 통합하여 보안 조치를 강화했습니다. 이러한 조치는 회사의 성장에 발맞춰 유연성과 확장성을 확보할 뿐만 아니라 토스의 고유한 환경에 적합한 강력한 방어 시스템을 구축하는 데에도 기여한다고 이 대표는 강조했습니다.

하지만 보안 강화에 투자하는 것은 상당한 비용이 수반되기 때문에 기업에게 쉬운 선택이 아닙니다. Toss 운영사인 비바리퍼블리카의 보고서에 따르면, 지난해 IT 투자액 839억 원 중 11.5%인 96억 원이 보안에 투입되었는데, 이는 한국 IT 기업 중 가장 높은 비율 중 하나입니다.

이씨는 보안 강화에 대한 이러한 헌신이 자신이 토스에 합류하기로 결정한 이유라고 밝혔습니다. 보안 솔루션 제공업체인 라온시큐어에서 10년간 근무한 그는 여러 회사로부터 러브콜을 받았습니다. 처음에는 토스 제안을 거절했지만, 창립자 겸 CEO인 이승건의 설득으로 마음을 바꿨습니다.

리 대표는 토스의 방어 시스템이 완벽하지 않다고 강조했습니다. 아이러니하게도 기술이 발전할수록 사이버 범죄자들이 우리의 일상생활에 침투하기가 더 쉬워진다고 지적했습니다. 빅 언어 모델링이나 ChatGPT와 같은 인공지능 기술은 새로운 공격 방식을 제공하여 사이버 범죄자들의 진입 장벽을 낮추고 있습니다. 게다가 월정액 서비스 형태로 제공되는 랜섬웨어까지 존재합니다.

이씨는 급속도로 성장하는 시장을 인식하고 기업들이 기성 솔루션에 의존하는 대신 자체 보안 시스템을 개발하는 것이 중요하다고 주장합니다. 동시에 사이버 공격의 위험을 줄이기 위해서는 전반적인 인식 제고가 필수적이라고 생각합니다. 그는 학교에서 소방 안전 교육을 의무화하는 것처럼 사이버 보안 교육을 필수 교육 과정에 포함시켜야 한다고 제안합니다.

(코리아 헤럴드 보도에 따르면)