[녹색경제신문 = 나아영 기자] 재계는 급변하는 글로벌 시장에 대응하기 위해 ESG에 사활을 걸고 있다. 이제 ESG는 거스를 수 없는 대세로 자리 잡고 있다. ESG는 환경적 건전성(Environment)과 사회적 책임(Social), 투명한 지배구조(Governance)를 바탕으로, 기업 가치를 높이고 지속가능발전을 추구하는 경영 전략이다. ESG 중심에는 사람이 있다. 이에 <녹색경제신문>은 ESG를 이끄는 사람들을 연중 기획으로 소개한다. <편집자 주(註)>

기업의 지속가능성과 정보보호 간 연관성이 날로 증가하고 있다. 무형 자산이 대다수 기업 가치의 90%에 해당하는 오늘날 정보보호는 기업 가치를 보호하는 핵심 역할을 하며 기업 리스크 관리 전략의 핵심 요소로 자리잡았다.

특히 금융회사에게 정보보안은 이제 단순한 ESG 이슈를 넘어 기업의 생존과 직결되는 문제로 자리잡았다. AI(인공지능)와 블록체인, 클라우드 등으로 디지털금융이 보편화된 현실에서 고객의 신뢰를 기반으로 영업 활동을 하는 금융회사가 보안사고를 일으킬 경우 평판이 심각하게 훼손될 수 있으며, 이는 곧바로 고객 이탈과 재무적 손실로 이어질 수 있기 때문이다.

이러한 이유로 금융보안을 책임지고 정보보호 전략을 수립하는 금융회사 최고정보보호책임자(CISO: Chief Information Security Officer)의 역할도 더욱 중요해지고 있다. 특히 금융회사는 복수의 판매 채널을 통해 다양한 금융상품을 제공하고 있기 때문에 다양한 보안 리스크를 정확히 식별하고 평가해 관리하는 것이 중요하기 때문이다.

그렇다면 금융업계 내 최고 수준으로 평가받는 토스증권의 정보보호를 책임지는 CISO는 어떤 인물일까? <녹색경제신문>이 토스증권의 정보보안과 개인정보 보호를 책임지고 있는 지정호 토스증권 CISO를 강남구에 위치한 사옥에서 만났다.

   지정호 CISO는 지난 2006년 네트워크엔지니어로 경력을 시작해 넥슨코리아, 비바리퍼블리카(이하 토스)의 보안엔지니어를 거쳐 토스증권에서 CISO로 성장했다. 그는 현재 토스증권에서 CISO 직무와 함께 CPO(최고개인정보보호책임자), CIAP(신용정보관리보호인) 업무를 겸직하는 동시에 'Security Division'을 이끌며 회사의 고객 정보보호와 안전한 서비스 제공에 주력하고 있다.

지 CISO는 "토스증권은 정보보호를 기업 경영의 핵심 요소로 인식하고, 일찍이 관련 역량 제고를 위해 노력했다"고 설명했다. 그는 "토스증권은 지난 2021년부터 증권업계에서 선제적으로 정보보호 관련 공시를 시작했다"며 "회사의 IT 분야 대비 보안 인력과 투자 비중은 꾸준히 높은 수준으로 유지되고고 있다"고 했다.

토스증권의 정보보호를 성과는 국제적으로도 인정받고 있다. 최근 토스증권은 ISMS-P(정보보호 및 개인정보보호 관리체계)와 ISO 27001(정보보안 관리체계) 등 국내외 주요 정보보안 관련 글로벌 인증을 획득했다. 또한, 국내 증권사 가운데 최초로 글로벌 데이터 보안표준인 'PCI-DSS v4.0' 인증을 취득하며는 고객의 금융 정보를 안전하게 처리하고 보호하는 능력을 객관적으로 인정받기도 했다.

지 CISO는 마지막으로 "토스증권은 항상 목표와 원칙을 중심으로 보안위협을 평가하고 보안전략을 수립하고자 노력해 왔다"고 말했다. 그는 "금융 혁신의 근간에는 고객의 신뢰가 필수적"이라며 "토스증권은 고 객과의 신뢰 관계를 더욱 공고히 하기 위해 지속적으로 높은 수준의 정보보호 체계를 구축하고 발전시켜 나가겠다"고 강조했다. 

다음은 지정호 CISO와의  인터뷰 전문이다. 

 Q. 그동안의 업무 경력과 현재 CISO로서 수행하고 계신 주요 역할에 대해 간략히 소개 부탁드립니다.

네트워크엔지니 어로 사회 생활을 시작했습니다. 당시 네트워크 장애를 유발하는 웜바이러스에 흥미가 생겨 정보보호 전문기업으로 이직해 보안업무를 시작했습니다. 이후 넥슨코리아와 비바리퍼블리카(이하 토스)에서 보안엔지니어로 보안위협을 모니터링하고 대응하는 업무를 해왔습니다. 현재는 토스증권에서 CISO 역할을 수행하며 CPO와 CIAP 업무를 겸직하고 있습니다.

Q. 토스증권의 ESG 경영에서 정보보안 부서의 역할과 주요 활동에 대해 소개 부탁드립니다.

토스증권의 'Security Division'은 보안정책팀과 보안기술팀으로 구성돼 있으며, 각 팀은 고객 정보 보호와 안전한 서비스 제공을 위해 전문적인 역할을 수행하고 있습니다.

'보안정책팀(Security Policy Team)'은 보안기획과 개인정보보호를 담당하는 전문가들로 구성돼 있습니다. 보안정책팀은 관련 법규와 인증 표준을 기반으로 회사의 정보보호 규정을 수립하고 관리합니다. 또한 서비스의 안전성을 검토하고 고객 정보의 전체 생애주기를 체계적으로 관리하여 보안 수준을 높이는 데 주력하고 있습니다.

'보안기술팀(Security Engineering Team)'은 다양한 기술 분야별로 전문화된 역할을 수행합니다. 취약점 점검, 엔드포인트 보안, 네트워크 보안, 클라우드 및 컨테이너 보안, 보안위협 모니터링 등의 영역에서 각각의 전문성을 발휘하고 있습니다. 보안기술팀은 보안 점검과 위협 모니터링, 대응, 내부통제 등의 업무를 기술적으로 구현하고 운영합니다. 최신 보안 기술을 적극적으로 도입하고 필요에 따라 자체 개발도 진행하여 효과적인 위협 관리 체계를 구축하고 있습니다. 

토스증권은 이와 같은 전문화된 보안 조직을 통해 고객들에게 더욱 안전하고 신뢰할 수 있는 금융 서비스를 제공하기 위해 지속적으로 노력하고 있습니다.

Q. 토스증권이 정보보안 분야에서 이룩한 성과와 현재의 정보보호 관리체계에 대해 소개 부탁드립니다. 아울러 토스증권의 정보보호 우수 사례에 대해 평가한다면 몇 점을 주고 싶은 지 궁금합니다.

토스증권은 안전한 금융서비스 제공을 위해 정보보호를 핵심 요소로 인식하고 지속적인 투자를 이어가고 있습니다. 지난 2021년부터 증권업계에서 선제적으로 정보보호와 관련한 공시를 시작하고 정보보호 투자 현황을 투명하게 공개하고 있습니다. 아울러 지난 2021년부터 올해까지 IT 분야 대비 보안 인력 비중은 9.21~16.2%, 투자 비중은 10.31~15.9% 수준을 유지하며, 정보보호 관련 투자를 강화하기 위해 꾸준히 노력하고 있습니다.

토스증권은 고객 정보 보호와 안전한 서비스 제공을 위해 법규 준수를 기반으로 한 체계적인 정보보호 관리체계 구축에 주력하고 있습니다. 당사는 이를 위해 ISMS-P(정보보호 및 개인정보보호 관리체계), ISO 27001(정보보안 관리체계), ISO 27017(클라우드 서비스 정보보안), ISO 27018(클라우드 개인정보보호), ISO 27701(개인정보보호 관리체계), PCI-DSS(지불카드산업 데이터보안표준) 등 국내외 주요 정보보안 인증을 획득하였습니다. 특히 토스증권은 이러한 인증 획득 과정을 컨설팅이나 외부 자원 없이 내부 역량을 적극 활용해 효율적으로 진행할 수 있었습니다.

아울러 고객 정보 보호에 대한 지속적인 노력의 일환으로 국제 표준 인증 획득에도 힘써온 결과, 국내 증권사 중 선제적으로 글로벌 데이터 보안표준인 'PCI-DSS v4.0' 인증을 취득하는 성과를 거두기도 했습니다. 해당 인증은 지급결제 산업의 정보보호를 위한 국제 표준으로, 고객의 금융 정보를 안전하게 처리하고 보호하는 능력을 객관적으로 평가받았다는 점에서 의미가 있습니다.

토스증권은 금융보안 분야에서 혁신적인 접근을 통해 업계의 발전에 기여하고자 노력하고 있습니다. 이러한 노력의 일환으로 지난 2023년부터 '가디언즈(GUARDIANS)' 보안 컨퍼런스를 개최하고 토스의 보안 노하우와 금융보안 분야의 최신 트렌드를 금융업계와 공유하고 있습니다.

가디언즈는 토스 계열 관계사 보안 담당자들이 정보보호 우수 사례를 발표하고 보안 역량 강화를 위한 노하우를 공유하는 컨퍼런스입니다. 토스증권과 토스 계열사는 금융 업계 전반의 정보보호 수준 향상과 상호 발전을 위해 금융권 보안 담당자들을 초청하여 정보를 교류하고 있습니다.

이러한 노력의 결과로 당사는 지난 2023년 과학기술정보통신부 주관 정보보호대상 수상의 영광을 안았으며, 금융보안원의 정보보호 상시평가에서 2년 연속 최고 등급을 획득하는 성과를 거두기도 했습니다.

증권업계의 보안수준을 객관적으로 평가하기는 쉽지 않습니다. 토스증권은 출범 4년차로 비록 업력은 짧지만, 누구나 쉽게 투자할 수 있는 혁신적인 증권 서비스와 함께 고객이 안심하고 사용할 수 있는 서비스를 제공하기 위해 최선을 다하고 있습니다. 토스증권의 이러한 노력에 지속적인 관심과 격려를 부탁드립니다.

Q. 최근 금융당국이 발표한 '금융보안체계 선진화' 방침과 관련해 토스증권에서 '목표·원칙 중심'의 보안규제나 '자율보안-결과책임' 원칙에 기반한 보안체계를 어떻게 준비하고 있는지 궁금합니다.

토스증권은 항상 목표와 원칙을 중심으로 보안위협을 평가하고 보안전략을 수립하고자 노력해 왔습니다. 다만, 현행 규제 체계 하에서는 적용 가능한 보안전략에 일부 제한이 있었던 것이 사실입니다. 앞으로 금융보안체계가 더욱 선진화되어 최신 기술 활용 등 전략 수립의 유연성이 확보된다면, 정보보호 수준을 한층 더 높일 수 있을 것으로 기대하고 있습니다.

자율보안을 효과적으로 계획하기 위해서는 보호대상 자산을 정확히 파악하는 것이 중요합니다. 토스증권은 이를 위해 꾸준히 준비해 왔습니다. 지난 2023년에는 IT 인프라와 업무용 PC의 현황 관리 자동화와 대외적으로 공개되는 공격표면 식별 자동화 체계를 구축하는 데 주력했습니다.

아울러 올해에는 고객정보 보유 및 보호 현황에 대한 가시성을 확보하는 성과를 거두었습니다. 이러한 노력을 바탕으로 다가오는 2025년에는 자산별 중요도에 따른 인프라 분리와 더욱 세분화된 보안전략을 수립할 계획입니다.

Q. 토스증권의 정보보안 분야에 대한 향후 비전과 주요 계획에 대해 설명 부탁드립니다.

금융 혁신의 근간에는 고객의 신뢰가 필수적이며, 이는 토스증권뿐만 아니라 대한민국 금융 서비스 전반에 걸쳐 유지되어야 할 중요한 가치라고 생각합니다.

토스증권은 고객과의 신뢰 관계를 더욱 공고히 하기 위해 지속적으로 높은 수준의 정보보호 체계를 구축하고 발전시켜 나가고자 합니다.

더 나아가 금융 업계 전체의 정보보호 수준 향상과 동반 성장을 위해 정보 공유 및 규제 개선 등의 활동에 적극적으로 참여할 계획입니다. 이를 통해 업계 전반의 발전에 기여할 수 있기를 희망합니다.

최근 정보보호 대상 수상을 통해 국내에서 정보보호 모범 사례로 인정받은 것을 바탕으로, 앞으로는 글로벌 수준의 모범 사례로 발전하기 위해 더욱 노력하겠습니다. 이러한 노력이 국내 금융 산업의 경쟁력 강화에도 기여할 수 있기를 기대합니다.