[디지털데일리 이상일기자] 금융 서비스 앱 ‘토스(Toss)’를 서비스하는 비바리퍼블리카(대표 이승건)가 올해 글로벌 신용카드업계 보안 표준인 ‘PCI-DSS’ 인증에 이어 내년에는 백업(DR)센터 구축에 나선다. 금융당국의 전자금융감독규정상 전자금융업자에게 DR센터 구축은 의무사항이 아니다.
마찬가지로 PCI DSS(Payment Card Industry Data Security Standard) 인증도 신용카드사, 지급결제(PG)사, 카드가맹점 등이 주요 인증 대상으로 토스는 인증 취득 대상은 아니었다. 국내 카드사 중 PCI-DSS 인증을 획득한 곳도 아직은 소수로 인증 획득 조건이 까다롭기로 유명하다.
비바리퍼블리카에서 보안을 책임지고 있는 신용석 최고보안책임자(CISO)는 “인증 취득이 의무는 아니었다. 다만 우리의 보안수준이 어디까지 도달해있는지 알고 싶었다. 인증 획득을 통해 객관적으로 (보안수준을)평가 받아보자는 의도에서 시작했다”고 밝혔다.
특히 그는 금융당국의 금융보안 정책기조가 ‘규제’에서 책임을 동반한 ‘자율보안’으로 흐르고 있는 시점에서 스타트업 중 토스가 선도적으로 자율보안에 나섬으로서 스타트업 생태계에서 보안이 중요한 화두로 제시됐으면 하는 바람을 비쳤다.
신 CISO는 “감독당국에서 자율보안, 규제를 권고하는데 우리 같은 스타트업이 의무사항이 아닌 보안인증 등에 적극적으로 도전하고 성과를 내면 자율보안이라는 취지에 부합하는 것이 아닌가 생각했다. 이제 첫 걸음을 내딛은 것”이라고 밝혔다.
금융권의 경우 취약점분석평가를 1년에 한차례 하게끔 의무화되어 있다. 하지만 PCI DSS 인증에선 매 분기마다 평가를 하게 되어 있다. 인증 자격도 1년마다 갱신되는 것이 조건이다. 인증 자격 유지를 위해서도 매 분기별로 취약점을 들여다보고 보완하는 과정을 되풀이해야 한다. 이 과정을 통해 자연스럽게 보안팀은 물론 전체 임직원의 보안 역량이 강화된다는 분석이다.
사실 비바리퍼블리카는 출범 처음부터 보안을 강조해왔다. 대표적인 금융 보안 컴플라이언스 조항이 5・5・7 규정(전자금융감독 규정 3장 2절 8조)에 따르면 금융기관은 전체인력의 5%를 IT인력으로 두고, 이중 5%를 정보보호 인력으로, IT예산 중 7%를 정보보호에 사용하도록 되어 있다. 하지만 대형 금융사를 제외하고 중소 금융사들이 이 요건을 충족하지 못하고 있는 것이 현실이다.
하지만 비바리퍼블리카는 IT인력 중 10%가 정보보호를 담당하고 있다. 또, 올해 보안예산으로만 20억원을 투자했다. 올해 토스의 매출은 200억원 가량으로 매출의 10%를 보안에 쏟은 셈이다.
내부 직원에 대한 보안 교육도 주요 역점사항 중 하나다. 신입직원은 입사 첫 주부터 보안 의무교육을 받는다. 연간 보안 교육도 전 직원을 대상으로 수시로 진행하고 대면 교육도 진행하고 있다. 신 CISO는 “보안팀이 단순히 늘어난다고 해서 보안역량이 키워지는 것은 아니다. 한 사람이라도 해야 할 일을 명확히 하고 수칙을 지키면 보안은 바로 선다. 임직원 모두가 보안의 일정 영역을 담당하는 ‘소중한 존재’”라고 강조했다.
신 CISO는 비바리퍼블리카에 합류하기 전 대통령비서실 보안팀장, 넥슨 그룹 보안총괄 등을 거쳤다. 산업계와 공공부분에서 보안업무를 담당한 그에게 금융서비스인 토스가 지향하는 보안 수준이 어떤지 물었다.
이에 대해 신 CISO는 “은행, 카드, 게임업계의 보안 수준을 규정하기 어렵다. 보안은 끝이 없는 과정이고 해킹, 내부자 등 해결하기 어려운 과제를 프로세스 내에서 해결하는 과정이다. 다만 게임 아이템, 게임머니와는 다른 차원에서 금융서비스가 운영되기 때문에 보안이 더욱 중요하다. 결국 신뢰가 무너지면 고객이 떠난다는 각오로 일하고 있다”고 밝혔다.
한편 비바리퍼블리카는 내년에 DR센터 구축과 더불어 PCI 인증 갱신 등을 지속할 계획이다. 또 인증 범위 이상의 영역에서 보안에 필요한 부분을 달성하는 것을 과제로 삼고 있다.