이 기사는 2025년 11월 11일 07:36 thebell 에 표출된 기사입니다.

토스뱅크 정보보호 경영의 제1 원칙은 '위험관리 기반'이다. 위험을 식별하는 가시성을 확보하고 적절히 처리하기 위한 여러 기술과 아이디를 적용하고 있다. 일례로 전통적인 정보기술(IT) 아키텍처가 아닌 마이크로서비스 아키텍처(MSA)에 특화된 보안체계를 유지하고 있다.

지속가능한 혁신은 이런 독자적인 정보보안 관리 체계에서 비롯됐다. 이를 수립하고 운영하며 핵심적인 기여를 한 인물이 이정하 최고정보보호책임자(CISO)다. 이 CISO는 2020년부터 정보보호디비전을 이끌고 인터넷은행으로서 금융 혁신을 지속할 수 있도록 토대를 마련했다.

◇외부 인력 의존성 완벽히 제거한 CISO 산하 전담조직

토스뱅크는 2021년 10월 공식 출범 이후 정보보호 관리 체계의 수준을 향상하고 내부 정보보호 인력의 성장을 위해 정보보호 인증을 100% 자체 인력으로 획득했다. 현재 국제공인 정보보호·국제공인 개인정보보호·정보보호 및 개인정보보호 관리 체계 등을 유지 중이다.

이 CISO가 보안체계 빌드업을 진두지휘했다. 하나생명보험 정보기술팀과 미래에셋생명보험 정보보호팀을 거쳐 2020년 6월 토스뱅크에 합류한 뒤 정보보호 관리 체계의 토대를 마련했다. 이 기여를 인정받아 2024년 금융의 날에 대통령 표창을 수상하기도 했다.


이 CISO는 산하에 정보보호디비전을 두고 있다. 30여명으로 구성된 이 조직은 '안전하고 혁신적인 정보보호경영을 통해 금융의 미래를 이끈다'는 미션을 바탕으로 업무를 수행 중이다. 정보보안팀, 보안엔지니어링팀, 사이버보안기술팀, 개인정보보호팀, 정보보호 자체 감사팀으로 이뤄졌다.

금융 정보보호 컴플라이언스 준수와 회사의 정보자산 보호를 위해 다양한 정보보호 활동을 수행하고 있다. 토스뱅크의 정보보호디비전은 각 영역에서 경험과 이해가 높은 전문가들로만 조직을 구성하고 외부 인력의 의존성을 완벽히 제거했다는 것이 특징이다.

정보보호디비전 외 업무 관련성이 강한 토스뱅크 조직으로는 플랫폼디비전, 내부감사팀, 이상거래탐지시스템(FDS)팀, 금융사기대응팀 등이 있다. 각 팀은 정보보호디비전과 긴밀한 관계 속에서 은행 내외부의 리스크를 제거하고 관리하는 역할을 맡는다.

토스뱅크 관계자는 "이은미 대표는 토스뱅크가 정보보호 대상을 수상하고 국내외에서 벤치마크 되고 있는 만큼 소비자와 당국의 기대를 저버리지 않기 위한 노력을 강조한다"며 "디지털 뱅크로서 갖춰야 할 기술력을 바탕으로 정보보호 고도화에 힘 쓸 것을 주문하고 있다"고 말했다.

◇우수성 입증에도 경각심은 유지…"중장기 계획 재확인 중"

토스뱅크는 토스 애플리케이션(슈퍼앱)으로 서비스를 제공하고 있다. 토스앱의 토스가드와 토스피싱제로 등 보안통제 및 토스뱅크의 보안통제를 모두 적용해 다른 금융사 대비 한층 강화된 보안 체계를 운영하고 있다.

또 전통적인 IT 아키텍처가 아닌 MSA에 특화된 보안체계를 유지하고 있다는 점에서 차별화됐다. MSA는 각각의 서비스들이 계정계 시스템과 관계없이 독자적으로 구동될 수 있도록 따로 떼어내는 작업이다. MSA가 적용된 기능은 계정계에 문제가 생기더라도 원활하게 구동된다. 장애 영향을 덜 받거나 안 받을 수 있다.

아울러 외부 집단 지성을 활용한 상시 버그바운티 운영과 함께 자체 취약점 진단 도구 개발 및 다양한 오픈소스를 활용해 업무 자동화를 수행 중이다. 토스뱅크는 정보보호 체계 확립에 공을 들인 만큼 지난해 인터넷전문은행 최초로 과학기술정보통신부 장관상을 받는 등 대외적으로도 우수성을 인정받았다.

다만 최근 외부 기관의 정보보호 사고로 경각심을 높이고 있다. 토스뱅크 관계자는 "중장기 계획을 재확인하고 정보보호 프로젝트에 대해 더 적극적이고 정확한 적용이 될 수 있도록 세부적인 검토를 진행하고 있다"며 "정보보호 이슈에 대한 이사회 공유 및 추가 인력 구성이 반영된 2026년 계획을 수립 중"이라고 설명했다.