세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
CISO들의 롤 모델, 토스의 신용석 CISO 이야기
  |  입력 : 2018-02-19 08:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
비바리퍼블리카 신용석 CISO, 보안사고 제로화와 함께 PCI-DSS 인증 취득 성과
다른 CISO들의 추천 1순위인 신용석 CISO “보안, 제대로 즐길 수 있어야”


[보안뉴스 김경애 기자] “그분을 한 번도 뵌 적은 없어요. 국제 사이버보안 컨퍼런스(ISEC)에서 진행된 CISO 토크콘서트에서 정보보호에 대해 말씀하시는 걸 보고 깊은 인상을 받았어요. 꼭 한 번 뵙고 싶어요.” -여기어때 백제현 CISO-

“그분은 정말 보안을 즐기면서 하세요. 배울 점이 많아요. 많은 후배들의 귀감이 되는 분입니다.”-티몬 장석은 CISO-

▲토스 신용석 CISO[사진=보안뉴스]


청와대와 MS, 넥슨 등을 거쳐 요즘 가장 핫한 서비스인 토스(Toss)를 운영하는 비바리버블리카의 정보보호최고책임자(CISO)로 근무 중인 신용석 CISO에 대한 칭찬세례가 끊이지 않고 있다. 이 외에도 기자가 들은 신용석 CISO에 대한 존경 어린 시선과 그를 평가하는 주변의 목소리를 통해 많은 CISO들의 롤 모델이 되고 있음을 느낄 수 있다.

보안업무를 즐기는 사람은 과연 몇이나 될까? 신용석 CISO의 경우 볼 때마다 느끼는 거지만 스트레스 강도가 높은 보안업무를 진심으로 즐기는 수준에 이르렀다는 생각이 들었다. “평소 스트레스 해소는 어떻게 하세요?”라는 질문에도 온화한 미소를 띠면서 말한 “스트레스를 거의 받지 않는다”는 답변이 너무나 자연스러울 정도다.

핀테크 기업 비바리퍼블리카가 운영하는 토스는 2015년 공인인증서 없이 쉽고 빠르게 간편송금 서비스를 시작한 이래 2018년 1월 누적다운로드 1300만, 누적 송금액 10조를 돌파하며 시장을 선도하고 있다. 2017년 11월 KPMG와 H2 Ventures에서 선정하는 2017 세계 100대 핀테크 기업 중 한국 기업으로는 최초로 35위에 이름을 올렸다. 이런 만큼 토스의 생명은 안전한 송금거래이며, 여기에 보안이 담보돼야 함은 물론이다.

그런 측면에서 토스는 지난해 보안사고 제로라는 성과를 거뒀다. 여기에는 비결이 숨겨져 있었다. 보안 인증 취득을 계속 준비하면서 전반적인 보안수준을 끌어올려 왔던 것. 2017년 상반기에 국제표준 인증인 ISO27001을, 하반기에는 금융권도 취득하기 힘들다는 지불카드 국제 정보보안표준 PCI-DSS(Payment Card Industry Data Security Standard) 인증을 취득했다. 더욱이 의무 대상자가 아님에도 컨설팅에 의존하거나 외부 도움 없이 내부 역량만으로 2개의 인증을 취득해 더욱 의미가 크다는 평가다.

“간편 결제에 대한 보안의 불안감과 우려를 불식시키기 위해 PCI-DSS 인증은 자발적으로 추진하게 됐죠. 자체적으로 인증 취득을 준비하면서 일궈낸 성과는 역량으로 축적되는 밑거름이 됐습니다. 보안은 유지가 더 중요하거든요. 무엇보다 함께 도전에 나선 보안팀과 IT개발팀 등을 비롯해 전사적 협력으로 이룩한 결실이라 더 자랑스럽습니다.”

자체 역량만으로 국제 인증을 취득했다는 점에서 외부에서도 높은 평가를 받고 있다. 특히, 의무대상 기업이 아닌 경우 예산 확보가 쉽지 않아 CEO의 의지가 매우 중요하다. 그런 측면에서 CEO의 전폭적인 지지가 있었다는 게 신 CISO의 설명이다. 전체 120명의 직원 가운데 보안전문 인력이 5명에 달할 정도로 비중이 높다는 점도 CEO의 강력한 보안의지를 느낄 수 있게 하는 점이다.

이와 함께 신 CISO는 ISMS(정보보호관리체계) 인증과 PIMS(개인정보보호 관리체계) 인증이 통합되면서 탄생하는 새로운 인증 획득에 도전한다는 계획도 세우고 있다. 인증 획득 자체보다 그 과정에서 보안이 자연스럽게 강화된다는 사실을 누구보다도 잘 알고 있기 때문이다. 즐기면서 보안업무를 한다는 게 바로 이런 건 아닐까? 국내 대표 스타트업인 비바리퍼블리카의 성장에 맞춰 차곡차곡 보안의 강도를 높이며 보안을 내재화하고 있는 것이다. 수많은 스타트업이 배워야 할 좋은 보안 강화 사례가 되고 있는 셈이다.

이러한 비바리퍼블리카의 정보보호 수장으로서 신 CISO가 가장 신경쓰는 부분은 바로 교육이다. 직원이 입사할 때마다 신용석 CISO가 단독으로 직접 대면 교육을 진행한다.

“외부에서 교육을 해주기도 하는데, 도움이 될까하는 의문이 들더라고요. 특히, 보안교육은 해도 해도 끝이 없거든요. 교육을 직접 담당하면 얼마나 효과가 있는지 피드백을 바로 받을 수 있어 교육의 질, 강의방법 등에서도 신경을 많이 쓰고 있어요. 또한, 교육에 대해 평가할 수도 있죠.”

신용석 CISO는 회사 내부 정보보호위원회를 통해 중요한 보안정책을 결정하고 전파하는데 활용하고 있다. 위원회는 위원장인 CISO를 비롯해 법무팀과 IT팀 리더, 개발자 등으로 구성되는데, 보안교육 수립 등의 보안정책은 정보보호위원회를 거쳐 CEO 승인 후, 전사적으로 공유된다.

“보안업무와 상관없는 사람도 인식할 수 있도록 하는 게 보안이라고 생각해요. 그리고 보안은 각자 자기 몫이 있어요. 보안교육의 최종 목적은 보안을 자신의 영역으로 받아들여 주인의식을 갖고 자발적으로 참여할 수 있도록 하기 위해서입니다. 보안교육을 통해 보안이 흡수되고 환기되도록 하는 것이죠. 그래서 꼭 지켜야 할 26개 항목에 대해서는 새로 입사하는 직원을 대상으로 입사 첫날부터 교육이 진행됩니다.”

신규 입사자 교육을 포함해 작년에만 30회 이상의 보안교육을 대면교육 형태로 진행했다. 또한, 모든 직원들은 보안과 관련된 이메일이나 공지를 평균 월 1~2회 정도 제공받고 있다. 이는 보안에 있어 교육을 가장 중요시하고 있다는 얘기다.

기술적·관리적·물리적 보안조치와 관련해 그는 “핀테크 보안은 매우 크리티컬 해요. 보안사고가 발생하면 실제 돈과 연관돼 있어 신뢰가 바로 추락할 수 있기 때문이죠. 이에 고객 서비스 중심으로 보안을 최우선으로 하고 있어요. 그게 기술적 문제이든 관리적 프로세스 문제이든 가장 약한 부분부터 공격자 관점에서 면밀히 살펴봐요. 이를 위해 위험 평가를 수시로 진행하며 보안과 관련된 모든 영역을 훑어보고 있다”는 설명이다.

향후 계획과 관련해 신용석 CISO는 인증(관리), 투자, 그리고 보안사고 제로 유지라는 목표를 밝히면서 그의 전매 특허인 환한 웃음을 지었다. “올해는 통합 ISMS 인증을 취득할 계획이에요. 특히, 기존 PIMS 영역이었던 개인정보보호 수준에 대해 객관적인 검증을 받고 싶습니다. 고객에게 안전한 금융 서비스를 제공하기 위해서는 보안을 최고 수준으로 끌어올려야 하니까요. 이를 위해 기술, 인력 등에 아낌없이 투자해야 되겠죠. 이렇게 되면 앞으로도 계속 보안사고 제로를 유지할 수 있지 않을까요?”
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)