[디지털데일리 이상일기자] 창사 이래 단 한건의 악성코드 감염도 허락하지 않았던 토스의 보안 전략은 무엇이 남다를까?

디지털 금융 혁신의 대표 주자인 토스가 '맞춤형 금융보안 전략'을 통해 한층 진화된 보안체계를 공개했다. 5월 20일, 서울 롯데호텔에서 열린 <디지털데일리> 주최 ‘NSIS 2025’ 행사에서 토스 지정호 최고정보보호책임자(CISO)는 “편리함을 넘어 안전까지 책임지는 금융서비스가 되어야 한다”며, 기술 중심의 정교한 보안 전략과 운영체계를 공유했다.

2015년 간편송금 서비스로 출범한 토스는 현재 국민 2명 중 1명이 사용하는 초대형 모바일 금융 플랫폼으로 자리 잡았다. 월간 활성 사용자 수는 2400만 명을 넘어섰고, 누적 송금액은 681조 원에 달한다.

그러나 빠른 성장의 이면에는 정교한 보안 체계가 있었다. 지정호 CISO는 “토스는 보안에 대한 투자를 아끼지 않으며, 사용자에게는 최대한 간편하고, 시스템적으로는 가장 강력한 보호를 제공하고 있다”고 말했다. 그는 이어 “고객이 안심하고 금융을 이용할 수 있어야 한다는 신념이 우리의 출발점”이라며, “정보보호에 있어 업계 최고 수준의 인력과 기술력을 꾸준히 강화하고 있다”고 강조했다.

토스는 자사 내에 화이트해커 조직을 자체 구축하고, 보안 위협 탐지 및 대응 기술을 선도하고 있다. 실제로 토스의 화이트해커들은 금융보안원 주최 보안대회에서의 수상 경력은 물론, 글로벌 보안 인증을 다수 획득하며 기술력을 입증했다. 지정호 CISO는 “ISO/IEC 27001, PCI-DSS, APEC CBPR 등 국제 보안 인증을 외부 컨설팅 없이 자체 인력으로 취득하고 유지하는 것은 그 자체로 높은 정보보호 역량을 뜻한다.”고 밝혔다.

또한 토스는 이상 거래 탐지 시스템(FDS), 악성 앱 차단 솔루션, 자체 보안 모듈인 ‘토스가드’ 등을 운영하며 고객 보호에 나서고 있다.

일례로 모바일 기기를 노리는 보이스피싱, 악성 앱 위협에 대응하기 위해 토스는 ‘피싱제로’ 서비스를 선보였다. 이 기능은 6만7000건 이상의 악성 앱을 탐지하고, 150만 건 이상의 위협 사례를 식별했다.

특히, ‘사기계좌조회’ 기능은 범죄에 사용된 의심 계좌를 즉시 확인할 수 있게 해 사용자 피해를 사전에 차단하고 있다. 이 같은 기능은 타 금융사에도 무료로 제공되고 있다.

지정호 CISO는 “사용자의 단말기까지 보호할 수 있어야 진정한 보안이다. 앱 위변조, 소스코드 조작, 디바이스 해킹 등 다양한 벡터를 철저히 통제하고 있다”고 말했다. 디도스 공격에 대한 대응도 언급됐다. “작년에 160Gbps 규모의 공격을 받았지만 고객은 아무도 모르게 막았다. 두 개의 데이터센터에 각각 40Gbps 처리 능력을 갖춘 방어 장비를 두고, 외부 대피소까지 마련했기 때문”이라고 그는 강조했다.

보안 위협은 외부뿐 아니라 내부로부터도 시작된다. 토스는 ‘제로트러스트’ 보안 체계를 통해 사무공간, 임직원 단말기, 네트워크 접근까지 철저하게 통제한다. 특히 임직원 인증 시스템 ‘Face Pass’는 얼굴 인식을 통해 출입 통제를 실시하며, 악의적 접근을 원천 차단한다.

메일 피싱에 대한 대응도 철저하다. 2023년 3분기 동안 유입된 3800건 이상의 피싱 메일 중 절반 이상이 존재하지 않는 메일 주소를 통해 유입되었으며, 토스는 이를 실시간 분석 및 회수, 재차단까지 자동화해 대응하고 있다.

한편 토스는 현재까지 악성코드 감염 0건이라는 기록을 유지하고 있다. 사용자와 임직원이 사용하는 모든 기기에서 불법 소프트웨어를 근절하고, 보안 패치를 관리형 시스템으로 자동 배포하고 있기 때문이다.

지 CSIO는 “악성코드 감염을 막는 가장 좋은 방법은 패치를 잘 하는 것이다. 회사에서 필요한 툴은 무조건 지원해주기 때문에 현업에서 불법 소프트웨어를 쓸 일이 없다. 창사 이래 악성코드 감염 피해는 단 한 건도 없었다”며 “단순한 백신 설치를 넘어서, 우리가 접근하는 웹, 사용하는 앱, 다운받는 파일까지 모두 탐지하고 통제한다. 토스는 클린한 디지털 환경을 구축하는 데 집중하고 있다.”고 밝혔다.

토스는 24시간 365일 운영되는 통합 보안관제센터(SOC)를 통해 시스템, IT 인프라, 사용자 행위에 이르는 모든 로그를 통합 모니터링하고 있기도 하다. 특히 AI 기반 탐지 시스템을 통해 수천 개 이상의 보안 이벤트를 실시간 분석하고 있으며, 이는 공격의 조기 차단에 결정적인 역할을 한다. 특히 토스는 스스로 만든 보안 인프라를 기반으로 실시간 위협 탐지 체계를 운용 중이다.

지정호 CISO는 “토스는 내부 시스템의 로그를 수집해 스플렁크, 엘라스틱, 아크사이트 등 심(SIEM)으로 전달하고 수백 개의 룰을 자체 구축해 모니터링하고 있다. 위협 인텔리전스는 외부 전문 기관들과 연동한다”고 설명했다.

생성형 AI 도입 이후, 데이터 보호에 대한 우려가 커지는 가운데 토스는 ‘AI Gateway’와 ‘Prompt Guard’ 등 다양한 보안 게이트웨이를 통해 민감 정보의 유출을 방지하고 있다. 또한 내부 LLM 서비스 영역과 SaaS 기반 AI 서비스를 물리적으로 분리해 관리하고 있다. 그는 “AI 게이트웨이를 통해서만 외부 AI와 연결된다. 이 게이트웨이는 개인정보 포함 여부를 필터링하고, 프롬프트 공격도 탐지한다. 내부적으로는 LLM 히스토리도 별도로 모니터링하고 있다”고 밝혔다.

마지막으로 지정호 CISO는 “보안은 기술보다 ‘공감’이다. 경영진과 임직원이 왜 보안이 필요한지, 우리가 무엇을 지켜야 하는지를 먼저 이해해야 한다. 모든 회사가 똑같은 솔루션으로 똑같은 보안을 하는 것이 과연 옳은가 생각하고, 우리는 우리만의 보안을 해야 한다”고 강조했다.