`뚫리면 안돼` 모바일 보안 강화 나서는 핀테크 업계
by이후섭 기자
2020.10.29 16:23:58
`앗 뜨거` 토스, 암호 솔루션 도입하고 보안인력 충원도
사이버 보안 전문기업에 인프라 관련 취약점 점검 의뢰도
KISA도 컨설팅으로 힘 보태…맞춤형 가이드라인도 제공
[이데일리 이후섭 기자] 핀테크 업계가 모바일 플랫폼 등 보안 강화에 열을 올리고 있다. 잇단 부정결제 이슈로 곤혹을 치렀던 토스는 암호 보안솔루션을 도입할 뿐만 아니라 보안 인력 확충에 나섰고, 보안 취약점 진단을 받는 기업들도 있다. 한국인터넷진흥원(KISA)에서도 핀테크 기업에 보안 컨설팅을 제공하는 등 지원에 적극 나서고 있다.
29일 핀테크 업계에 따르면 토스는 최근 글로벌 보안기업 인터트러스트의 화이트박스 암호 보안 솔루션 `화이트크립션(whiteCryption)`을 국태 총판을 맡고 있는 쿤텍을 통해 도입하기로 했다. 모바일 금융 플랫폼 토스(Toss)의 애플리케이션 보안 강화에 나선 것이다.
토스는 지난 6월 개인정보를 도용한 부정 결제가 발생하면서 피해금액 938만원을 전액 환급했고, 최근에도 분실된 스마트폰을 통해 150만원이 계좌에서 빠져나가는 사고가 발생했다. 토스의 서버가 해킹을 당하거나 사이버 공격에 노출된 것은 아니지만, 간편결제 시스템이 강조하는 편의성 만큼이나 보안에 대한 중요성을 다시 한번 일깨우는 계기가 됐다.
토스는 화이트크립션 시큐어 키박스 도입을 통해 금융 서비스 보안을 한층 강화하고, 이용자의 개인정보를 보호하겠다는 방침이다. 화이트크립션 시큐어 키박스는 암호키가 메모리에 노출되지 않도록 화이트박스 암호가 실행되는 중에도 암호키를 항상 인코딩해 화이트박스 공격으로부터 암호키를 보호하며 키 생성, 암호화, 디지털 서명, 동적 키 래핑과 같은 기본적인 암호화 기능도 함께 보호한다.
또 토스를 운영하는 비바리퍼블리카는 토스를 비롯해 토스혁신준비법인(가칭 토스뱅크), 토스준비법인(가칭 토스증권), 토스페이먼츠 등 모든 계열사에 대한 경력직 보안 인력 공개 채용에도 나섰다. 보안 엔지니어, 정보보안 정책담당, 네트워크 보안 기술담당 등 주요 보안 부문 12개 분야에 최소 1명 이상 채용할 계획이며, 이와 별도로 보안 개발자 및 보안정책 담당자 등 5개 분야에 대해서는 인재풀 형식의 지원도 받는다. 토스에는 현재 총 30명의 보안 인력이 근무하고 있으며, 정보기술 분야에 지출한 금액 중 12.8%에 해당하는 약 40억원을 보안에 투자하고 있다.
디지털 부동산 수익증권 유통 플랫폼을 운영하는 카사코리아는 최근 보안 전문기업 티오리와 협업해 플랫폼 인프라 관련 취약 점검을 완료했다. 티오리는 미국 텍사스 오스틴에 본사를 둔 사이버보안 연구개발(R&D) 기업으로, 마이크로소프트·페이스북·네이버 등의 보안 점검을 수행하는 등 글로벌 시장에서 보안 기술력을 인정받고 있다.
현재 강남의 1호 빌딩 공모를 앞두고 있는 카사는 티오리의 실전 점검을 통해 보안 시스템을 지속적으로 강화하는 한편 보안 인력 확보에도 지속적으로 투자하고 있으며, 정보보호 현황 자율공시제도에도 참여하고 있다.
KISA도 핀테크 기업의 보안 강화에 힘을 보태고 있다. 지난 2016년 핀테크 기업에 대한 보안 컨설팅을 진행해 온 KISA는 올해 현재까지 48개 기업에 대한 컨설팅을 마무리했으며, 내년에도 50개 기업에 맞춤형 컨설팅과 보안 교육을 제공할 예정이다. KISA는 핀테크 솔루션의 보안성을 체크해 부족한 점을 지원하고 핀테크 서비스에 대한 보안 취약점 점검, 모의해킹도 지원한다.
KISA 관계자는 “올해까지는 핀테크 보안 컨설팅 자체에 주안점을 뒀다면 내년에는 컨설팅 이행을 제고하는 방향으로 사업을 추진할 계획”이라며 “기업들이 컨설팅 받았던 부분을 자체 점검하면서 이행하는데 어려움이 없도록 도와주는 기업 맞춤형 가이드라인도 제공할 것”이라고 설명했다.