'핀테크에서 일하면 어떤가요? 금융사랑 크게 다른가요? 어떤 분들이 일하고 있죠?' 우리 삶에서 핀테크 서비스가 차지하는 규모가 늘어나면서 회사에 대한 궁금증도 늘어가고 있습니다. 그 물음, 답해보는 인터뷰를 시작해봅니다. 핀테크 C레벨이 사는 세상과 가치관 '핀.사.세'를 게재합니다. [편집자주]
비바리퍼블리카는 '토스'를 서비스하는 회사입니다. 간편송금과 결제 등 모바일 금융서비스 '토스'에 이어 보험·전자지급결제대행·증권·인터넷전문은행으로 영역을 확장하고 있는 중이기도 합니다.
핀테크로 시작했지만 종합금융서비스 회사로 발전하는 가운데, 토스 고객들의 개인정보는 어떻게 지켜지고 있는 걸까요. 토스의 고객 정보보호를 책임지고 있는 신용석 최고정보보호책임자(CISO)를 최근 비바리퍼블리카 사옥에서 만났습니다.
Q. 과거 개인 정보 유출 회사에 강도높은 책임을 지게 해야 한다고 말씀하셨습니다. 최근 데이터 3법 시행되면서 회사의 책임 수준도 높아졌다고 보는데 어떻게 생각하시나요.
"2008년 국내서 실제 개인 정보 유출과 관련한 큰 사고들이 많이 나왔고 거기에 대한 소송에서 무죄 판결도 많이 나오기도 했습니다. 일반 고객 입장에서는 개인정보 유출 등에 대해 기업의 책임이 약하다, 솜방망이 처벌이라는 인상을 받았을 겁니다.
기업에서 보안 총괄 책임자로 혹은 한 사람의 시민으로서 고객의 개인정보를 다루는데 대한 기업의 책임은 지금보다 훨씬 더 강해져야 한다고 봅니다. 더 무겁게 받아들여야 한다는 생각합니다. 또 그게 세계적인 흐름이기도 합니다.
데이터 3법서 가명정보를 포함해 데이터를 활용하는데 방점이 찍혀있어 보안 관련 부분 변화들이 주목을 받지 못했는데 이 부분도 바뀌었습니다. 정보 유출 사고 시 처벌 수준이 과거에는 '관련' 매출액의 3%였는데 이제는 '전체' 매출액의 3%입니다. 앞으로 처벌 수준은 상향평준화될 것이라고 추측합니다."
Q. 과징금이 지나치게 크면 오히려 이를 핑계로 투자를 줄일 수도 있다고도 생각합니다.
"아직 이런 일이 발생하지 않은 기업들이 리스크 관리 측면서 염두하게 됩니다."
Q. 편의성을 높이는 작업이 보안 수준을 떨어뜨린다는 견해가 많습니다.
"교과서적이긴 하나 보안 대책을 수립할 때는 항상 위험에 대해 평가 위험 평가를 하고 그 결과에 위험도가 높다면 조금 더 높은 강한 대책, 추가적인 절차 도입 등을 고려하게 됩니다. 상대적으로 위험도가 높지 않다면 적합한 대책 세우는 것이 방법입니다.
인터넷뱅킹 초창기에는 계좌번호를 복사해서 붙여넣는 것이 허용되지 않았습니다. 일일이 타이핑을 하는 불편함이 있었습니다. 오히려 일일이 입력하다 보니 사람의 실수도 빚어지기도 했습니다. 과거엔 계좌번호의 복사와 붙여넣기에 대한 보안에 관한 잠재적 위험이 크다고 평가했지만 이제는 보안 수준이 과잉이라는 것을 알게 된 것입니다. 이런 점을 미뤄보면 편의성은 높아졌지만 보안 수준은 변함없이 유지되는 상황이라고 볼 수 있습니다."
Q. 편리함과 보안의 균형점은 어디라고 보십니까.
"철저하게 고객입장에서 봐야 합니다. 고객 개인 정보 유출 가능성이 증가하는지 등 위험도를 평가해야 합니다. 개인 정보 유출이나 위험도 증가가 없는 상황이라면 보안에 대한 것은 그에 걸맞게 조금 탄력적이거나 유연하게 적용할 수 있을 것입니다. 이런 밸런스를 찾는 일상적인 과정이 진행돼야 합니다.
국내 법규에 보안 리스크 체크리스트가 있는데 개별 사안에 대해 각자 담당자들이 중요성과 우선 순위를 따져 검사 주기나 내용 등을 자율적으로 고민할 수 있도록 하면 좋을 것이라고 생각합니다."
Q. 시중은행 등 기존 금융사들의 정보 유출 사고가 전혀 없었던 것도 아닌데 핀테크의 일부 사고에 대해선 고객들이 엄청나게 불안해합니다.
"고객들이 가진 불안함을 줄여드리기 위해 노력하는데 (이런 얘기들은) 자극이 되고 있습니다. 토스는 보안에 대한 인력이나 투자 부분에 있어서 법에서 정한 부분보다 훨씬 뛰어넘는 수준으로 하고 있습니다.
객관적으로 입증할 수 있는 것도 필요하다고 생각해서 보안에 대한 인증도 받았습니다. '태권도 잘한다'고 말하는 것만으로 큰 소용이 없듯이요. 그래서 우리도 인증을 자발적으로 받았습니다. PCI-DSS(지불카드보안표준)를 취득했습니다. PCI-DSS가 까다롭고 어려운 예를 들면, 서버들에 대한 기술적인 취약점 점검을 관련 당국에서는 1년에 1번씩 하는 것을 권고합니다. 하지만 PCI-DSS측은 1년에 4번을 하게 합니다. 그만큼 쉽지가 않은 거지요. 하지만 토스를 보안을 책임지는 입장에서는 그만큼 보안 수준이 높아지는 것이라고 생각합니다.
또 몇 년 간 토스를 문제없이 쓰고 있다는 것을 보게 되고 경험하면서 신뢰가 커졌다고 생각합니다. 하지만 긴장감을 잃지 않고 있습니다. 핀테크는 분야 자체가 기존 금융 질서나 환경에서 비교가 안 되는 몸집의 경쟁을 하고 있는데 정말 혁신적인 서비스로 경쟁하고자 하고 있습니다."
Q. 요즘은 보안 기술 수준도 높아졌습니다.
관련기사
- "2차원적인 금융사 자산관리, 기술로 3차원으로 제공할 것"2020.10.27
- "경제적으로 너희를 자유롭게 하리라"2020.08.06
- "중견은행 '수협은행'의 디지털 전략? 무조건 협력"2020.06.29
- “은행 자회사냐?” 외면 받다 금수저 핀테크 된 ‘핀크’2020.01.21
"기업들이 보호해야 하고 관리해야 하는 데이터들이 방대해 지고 있는 것은 사실입니다. 이에 정보 보안의 중요성과 필요성도 커지는 중입니다. 보안하는 사람들의 얘기는 공격 기술도 새로워진다고 말합니다. 보안은 축구로 비유하자면 '골키퍼'와 같습니다. 공격하는 입장에서 시뮬레이션도 하는 등 수비서 최선을 다하려 합니다.
보안은 지속적인 과정입니다. 완성이 있을 수 없습니다. 다만 보안 인력이 얼마나 늘고 있는지, 투자가 얼마나 늘고 있는지가 중요한 팩트입니다. 보안 의지가 투자와 인력지원 등에 보여지는 것이기 때문입니다."
신용석 CISO는 ? 핀테크 회사의 많은 최고보안책임자들이 존경하거나 닮고 싶은 인물로 꼽았다. 1994년 서울대학교 경제학과를 졸업해 1998년 시러큐스 대학교(Syracuse University) 대학원 정보학 졸업했다. 2006년 대통령비서실 정보보안팀장을 역임하고 2011년 한국마이크로소프트 최고보안자문역을 맡았다. 동해 넥슨 그룹 정보보호최고책임자를 거쳤으며 2015년부터 대검찰청 디지털수사자문위원으로 활동하고 있다. 비바리퍼블리카와는 2016년 인연을 맺었다. 2014년 미래창조과학부(현 과학기술정보통신부) 장관 표창을 받았다.