[디지털데일리 이상일기자] 토스가 나토(NATO, 북대서양 조약기구) 사이버방위센터(CCDCOE)에서 주관하는 국제 사이버 공격 방어 연합훈련 ‘락드쉴즈(Locked Shields)’에 대한민국 대표팀의 일원으로 참가했다. 토스는 금융 위협 분석 대회 ‘FIESTA 2022’의 1위 자격으로 금융보안원으로부터 참가 초청을 받았다.
4월 18일부터 21일까지 열린 ‘락드쉴즈’는 NATO 사이버방위센터가 2010년부터 개최하고 있는 사이버 훈련으로, 가상의 국가를 대상으로 이루어지는 국방, 에너지, 금융 등의 분야에 대한 사이버 공격을 방어한다.
대한민국 대표팀은 총 11개 기관 60여 명의 보안전문가들로 구성되었으며 올해는 튀르키예와 연합 훈련 팀을 이루어 참가했다. 금융보안원이 주관하는 금융권 특화 사이버 침해 위협 분석 대회 ‘FIESTA’에서 2021년부터 2년 연속 1위에 오른 토스는 금융보안원의 초청을 받아 금융 분야 훈련에 참가할 수 있는 기회를 얻게 됐다.
토스는 가상의 중앙은행 시스템을 방어하는 역할을 수행했다. 금융망 시스템 취약점 분석 및 제거, 보안 강화를 위한 조치, 위협 모니터링, 보고 및 시스템 복구 등을 진행했다. 또한, 그동안 쌓아온 노하우와 경험을 활용해 금융 보안을 위한 모의 해킹, 문제점이나 취약점을 발견하고 의도적으로 공격하는 ‘레드 티밍(red-teaming)’도 수행하며 보안 역량을 발휘했다.
토스 보안기술팀 이종호 리더는 “38개국에서 2000여 명의 보안 전문가가 참여하는 ‘락드쉴즈’는 최신 트렌드가 반영된 공격·대응·복구 사례들을 공유하고 훈련을 진행하기 때문에 깊은 인사이트를 나누고 배울 수 있었다”라며 “금융보안원에서 토스를 대표 금융사 중 하나로 초청해 주신 만큼, 앞으로도 책임감을 가지고 금융업권의 전반의 보안 수준을 향상시킬 수 있도록 다양한 노력을 기울이겠다”라고 전했다.
토스는 전 팀원이 화이트 해커로 구성된 ‘보안기술팀’이 공격자적 관점에서 앱의 보안 취약점을 찾고 방어막을 세우며 보안을 강화하고 있다. 악성 앱 탐지 시스템 ‘토스 피싱제로’, 이상거래 탐지 시스템 등을 포함해 토스 앱의 보안 환경을 구축하는 ‘토스 가드’를 개발해 운영 중이며, 최근에는 금융업권 전반의 보안 수준 향상을 위해 ‘토스 피싱제로’를 다양한 금융 관련 사업자에게 제공하기 위해 노력하고 있다.