[CISO에 '보안'을 묻다]신용석 비바리퍼블리카 CISO

“토스가 공인인증서 없는 간편송금, 계좌번호 복사, 사진 계좌 입력 서비스를 선보일 수 있었던 이유는 보안팀의 철저한 사전, 사후 검증이 있었기 때문입니다.”

신용석 비바리퍼블리카 최고정보보호책임자(CISO)는 서비스 혁신과 보안 강화를 동시에 가져올 수 있었던 비결을 '철저한 검증'이라고 설명했다.

비바리퍼블리카는 금융 애플리케이션(앱) '토스' 서비스사업자로 핀테크 보안 선구자다. 2016년 개인정보보호 업무와 정보보안 업무를 담당하는 CISO를 처음 지정했다. 올해 본격 시행되는 CISO지정 의무제보다 3년이나 앞선 결정이다. 2017년에 국제 표준 정보보안 인증 'ISO 27001', 글로벌 데이터 보안인증 'PCI DSS'를 획득했다. 보안 인력도 전체 IT인력가운데 8.1%에 달해 업계 전체와 비교해 가장 높은 수준이다.

신 CISO는 “인력 등 보안에 대한 투자를 매년 대폭 증액하고 있으면 2017년 10억원 투자에 이어 지난해는 두 배 이상 증액했다”면서 “보안인력 등 투자는 금융권 적용 규정을 대폭 상회하고 있으며 IT투자 대비 보안투자는 20%를 넘을 정도”라고 말했다.

신 CISO는 사이버 위협 대응에 정답은 없다고 설명한다. 짜여진 경기장 안에서 시합을 하는 것이 아니라 알려지지 않은 공격에 대비해야 하기 때문이다. 정보수집, 보안교육, 훈련 등 누군가는 쉽게 지나칠 수 있는 것을 놓치지 않는 것이 중요하다.

신 CISO는 “위협 동향을 지속해 수집·분석해야 한다는 것은 보안 담당자, 전문가가 모두 알지만 매일 반복 실천하는 것은 어렵다”면서 “수많은 정보 가운데 우리와 관련한 부분을 빠르게 확인하고 위험평가를 진행 하는 것을 보안정책에 명시해 위협에 대응한다”고 말했다.

비바리퍼블리카는 최근 빠르게 늘어나는 해킹 위협 방지를 위해 피싱메일 방어, 소프트웨어(SW)관리, 문제 발생 시 사후 대응을 중요 포인트로 꼽았다. 피싱메일은 단 한 사람 실수도 큰 문제로 연결된다. 매년 보안교육, 모의훈련을 실시해 위험을 방지한다. 보안팀으로 발송자를 지정해 직원 혼란을 주는 등 형식과 방식에 파괴를 더해 훈련 효과를 높였다. SW는 각종 취약점을 내포하고 있기 때문에 반드시 필요한 SW를 설치하도록 권장·관리한다.

신 CISO는 “보안 프로그램 설치에도 해킹 위협이 도사리고 있는 만큼 보안 위협을 0%로 낮출 수는 없다”면서 “사람이 감기한번 걸리지 않고 건강을 유지할 수 없지만 폐렴으로 옮아가는 것을 막아야 하는 것처럼 보안 위협 발생시 빠른 대처로 회사 전체가 위험에 빠지는 것을 막는다”고 말했다.

정영일기자 jung01@etnews.com