처음 2년 동안 Toss의 프로그램은 몇 달 동안만 진행되었지만, 2023년 말부터 회사는 이를 지속적으로 유지해 왔습니다. 해커는 애플리케이션의 취약점을 발견할 때마다 이를 보고할 수 있습니다. 이런 화이트 해커들은 심각한 버그를 발견하면 최대 3,000만원(5억 VND 이상)의 보상금을 받을 수 있습니다.

토스는 국내에서 정기적으로 버그바운티 프로그램을 운영하는 유일한 금융회사입니다. 토스의 보안 책임자이자 백해커인 이종호에 따르면, 이는 회사가 보안 역량에 대한 자신감을 반영하는 것입니다.

이 씨는 코리아 헤럴드와의 인터뷰에서 버그 바운티 프로그램을 통해 회사가 인지하지 못하는 보안 시스템의 모든 취약점을 드러낼 수 있다고 말했습니다. 또한 토스는 '레드팀'을 보유한 유일한 한국 기업이기도 합니다. 레드팀은 사이버 보안 직원으로 구성된 팀으로, 보안 시스템이나 전략의 효과를 테스트하기 위해 공격을 시뮬레이션하는 업무를 담당합니다.

토스의 레드팀은 리 외에도 10명의 화이트 해커로 구성되어 있습니다. 그들은 매일 "블루팀"(방어팀)과 협력합니다. 이씨는 "편견을 제거함으로써 기업이 간과하고 방어를 뚫으려는 취약점을 찾아내고, 이를 통해 실제 위협에 대한 회복력을 강화할 수 있습니다."라고 설명했습니다.

토스는 Toss Guard, Phishing Zero 등의 맞춤형 방어 프로그램을 만들어 내부적으로 통합함으로써 보안 조치를 강화했습니다. 이러한 조치는 회사의 성장에 맞춰 유연성과 확장성을 보장할 뿐만 아니라, 토스의 독특한 환경에 맞는 강력한 방어 시스템을 구축한다고 이는 강조했다.

그러나 보안 강화에 투자하는 것은 상당한 비용이 들기 때문에 회사가 쉽게 선택할 수 있는 옵션은 아닙니다. 토스를 운영하는 비바리퍼블리카의 보고서에 따르면, 작년에 정보기술(IT)에 투자된 총 839억 원 중 11.5%인 96억 원이 보안에 투자되었는데, 이는 국내 IT 기업 중 가장 높은 비율에 속합니다.

이 씨는 보안 강화에 대한 이러한 의지를 Toss에 합류한 이유로 꼽았습니다. 이는 보안 솔루션 제공업체인 라온시큐어에서 10년을 보낸 후 많은 회사에서 채용을 요청받았습니다. 그는 처음에는 토스를 거절했지만 나중에 창업자이자 대표이사인 이승건의 설득으로 바뀌었습니다.

이씨는 토스의 방어 시스템이 완벽하지 않다고 강조했다. 그는 아이러니하게도 기술이 발전함에 따라 사이버 범죄자들이 우리의 일상 생활에 침투하기가 더 쉬워졌다고 지적했습니다. 대규모 언어 모델, ChatGPT 등의 생성적 AI 기술은 새로운 공격 방법을 제시하여 사이버 범죄자의 진입 장벽을 낮춥니다. 또한, 월 구독 서비스로 제공되는 랜섬웨어도 있습니다.

이 시장이 급속히 성장하고 있다는 점을 언급하며, 이는 기업들이 기성형 솔루션에 의존하기보다는 자체 보안 시스템을 개발하는 것이 중요하다고 말했습니다. 동시에 사이버 공격의 위험을 최소화하기 위해 전반적인 인식을 높이는 것이 필요합니다. 그는 학교에서 화재 안전에 대해 가르치는 것처럼, 사이버 보안도 의무 교육 프로그램에 포함되어야 한다고 제안했습니다.

(코리아헤럴드 보도)