토스 CISO가 경영진에게 보안을 말하는 방법
“더 많은 보안 예산을 요구하기 전에, 더 명확한 전략을 제시하십시오”
지정호 비바리퍼블리카(토스 운영사) 최고정보보호책임자(CISO)는 20일 서울 양재에서 열린 ‘CONCERT FORECAST 2026: 기업 정보보호 이슈 전망’ 기조연설에서 이렇게 강조했다.
지 CISO는 “기업의 보안팀이 경영진과 제대로 소통하려면 위협과 공포가 아니라 리스크와 투자 효과의 언어로 말해야 한다”며 “보안을 막연한 비용이 아니라 사업 지속성과 성장을 위한 투자로 설명해야 경영진의 합의와 지원을 끌어낼 수 있다”고 말했다. 이어 그는 “경영진에게는 보안 위협이나 기술 소개보다 현실적인 질문이 필요하다”고 강조했다. “얼마를 더 쓰면 얼마나 더 안전해지나”라는 경영진의 질문에 보안 조직이 답할 수 있어야 한다는 것이다.
2017년 지 CISO가 토스의 초기 보안팀을 결성할 당시, 경영진은 “20억원이면 충분한가”, “40억원이면 지금보다 2배 안전해지나”, “6명이면 되나, 20명이면 되나”처럼 안전 수준을 경영진의 언어로 보안에 투자를 해야하는 이유를 설명해 달라고 요청했다. 그는 “당시 (본인도) 그 질문에 명확히 답하지 못했고, 그 실패가 고민의 출발점이 됐다”고 회상했다.
보안 예산 요구가 잘리는 이유, ‘자원 부족’보다 ‘언어 차이’
지 CISO는 보안팀과 경영진이 서로 다른 언어를 쓴다고 진단했다. 보안 조직은 위협, 취약점, 최악의 시나리오를 중심으로 말한다. 반면 경영진은 효과, 수치, 허용 가능한 손실, 회복 가능성을 기준으로 판단한다. 보안팀이 “이걸 막지 못하면 큰일 난다”고 말할 때, 경영진은 “그래서 어느 정도 투자하면 어느 수준까지 위험을 낮출 수 있나”를 묻는다는 얘기다. 그는 최악의 사고 시나리오로 경영진을 압박하는 방식은 한계가 분명하다고 짚었다. 이제는 데이터에 기반해 보안 투자 효과를 설명하는 방식으로 바꿔야 한다는 것이다.
이런 소통의 오류는 결국 보안팀의 피로도를 높인다. 지 CISO는 “공격은 늘고, AI로 위협 환경은 더 빨리 바뀌는데, 반복되는 감사와 점검은 실무 조직의 자원을 계속 소모한다”고 설명했다. 이어 “사고가 나면 원인 분석을 하고, 통제를 추가하고, 점검을 강화하는 흐름이 반복된다. 그런데 그 과정에서 자동화와 구조 개선은 뒤로 밀린다. 결국 조직은 더 전략적으로 움직이기보다 체크리스트를 맞추는 데 급급해지고, 그 상태가 오래 이어지면 구조적 취약성이 쌓인다”고 진단했다. 아울러 “사고는 늘고 투자는 정체되며 조직은 피로해지는 악순환이 지금 많은 기업 보안 조직의 현실”이라고 덧붙였다.
경영진은 보안에 관심 있다…관건은 ‘합의’
지 CISO는 경영진이 보안의 중요성을 몰라서 문제가 생기는 것은 아니라고 봤다. 실제로 많은 기업에서 경영진은 보안에 관심을 보인다. 다만 그 관심이 구체적인 목표, 책임 범위, 리스크 허용치로 이어지지 않는다는 게 핵심 문제라고 했다.
중요한 건 알지만 어디까지 책임지고 어디까지 감수할지 합의하지 못한 상태가 이어지면, 결국 보안은 늘 뒤로 밀리는 과제가 된다는 설명이다. 그는 “추상적인 관심을 구체적인 합의로 바꾸는 일이 CISO의 핵심 역할”이라고 강조했다.
이때 필요한 개념이 바로 ‘리스크 허용치’다. 모든 위험을 제로(0)으로 만드는 것은 민간 기업에서 현실적이지 않다. 보안을 지나치게 강화하면 생산성이 떨어지고, 서비스 속도와 사업 효율이 함께 낮아질 수 있다.
지 CISO는 “현실적인 보안 전략이란 결국 위험, 생산성, 비용 사이에서 조직에 맞는 균형점을 찾는 일”이라고 설명했다. 무조건 더 강한 보안이 아니라 사업 목적에 맞는 최적 수준의 보안을 정해야 한다는 말이다.
보안, 보험으로 설명하면 경영진 이해 쉬워
지 CISO가 제시한 핵심 비유는 보험이다. 보험과 보안은 모두 리스크를 줄이기 위해 돈을 쓴다는 공통점이 있다. 다만 보험이 손실 보상과 전가에 가깝다면, 보안은 예방·탐지·복구에 더 가깝다. 그는 경영진이 보안보다 보험의 구조에 더 익숙하다는 점에 주목했다. 그래서 보안팀도 “이 솔루션이 필요하다”가 아니라 “이 투자가 기대손실을 얼마나 줄이는가”로 설명해야 한다고 했다. 기대손실은 사고 발생 확률과 평균 손실을 곱해 계산할 수 있다. 보안 투자가 이 기대손실을 낮춘다면, 그 자체로 투자 명분이 된다.
방법 중 하나는 ‘수치화’다. 특정 사고가 발생했을 때 한 사업 영역에서 이용자가 얼마나 이탈할 수 있는지, 이용자 1인당 평균 수익이 얼마인지, 그 결과 손실 규모가 어느 정도인지 추정해보는 식이다.
처음부터 정밀한 숫자가 나오지는 않더라도, 사업 구역과 자산 중요도를 나누고 실제 사례를 반영해가며 수치의 해상도를 높여가야 한다고 설명했다. 위험하다는 감각적 표현을 “어떤 사고가 나면 얼마의 손실이 생길 수 있다”는 숫자로 구체화하는 과정이 필요하다는 것이다.
토스가 제시한 4단계…무엇을 지키고 멈출지 정하라
지 CISO는 경영진과 합의를 만들기 위한 실행 프레임도 제시했다. 첫 단계는 ‘보호 범위를 정하는 일’이다. 모든 자산을 같은 수준으로 지키겠다는 접근은 현실적이지 않다. 매출, 고객 신뢰, 규제 대응과 직결되는 핵심 자산을 먼저 식별하고, 비핵심 자산과 구분해야 한다. 내부 시스템만 볼 것도 아니다. 클라우드, 서비스형소프트웨어(SaaS), 위탁사, 제3자 연계까지 포함해 외부 의존성을 함께 봐야 한다고 했다.
둘째는 ‘리스크 허용치를 합의하는 일’이다. 보안팀 단독이 아니라 재무, 법무, 사업 부서가 함께 참여해 “우리 회사가 감당 가능한 최대 손실은 얼마인가”, “어느 수준의 서비스 중단까지 허용 가능한가”를 정해야 한다는 것이다.
셋째는 ‘목표를 수치화하는 일’이다. 평균 탐지 시간(MTTD), 평균 대응 시간(MTTR), 핵심 공격 시나리오 대응 범위처럼 측정 가능한 목표가 있어야 현재 수준과 목표 간 격차를 볼 수 있고, 투자 우선순위도 정할 수 있다. 넷째는 하지 않을 일을 정하는 것이다. 그는 무엇을 할지 정하는 것만큼 무엇을 하지 않을지 정하는 것도 전략이라고 강조했다.
지 CISO는 영향이 낮은 외부 애플리케이션 프로그램 인터페이스(API)를 실시간으로 전수 검사하는 일, 사람이 반복적으로 작성하는 주간 보고서 같은 업무는 과감히 줄이거나 자동화할 수 있다고 설명했다.
실제로 토스 내부에서도 자산 중요도에 따라 통제 강도를 다르게 가져간다고 소개했다. 직원 편의용 태블릿처럼 상대적으로 민감도가 낮은 자산은 보안 통제를 완화하고, 외부 노출이 거의 없는 빌드 머신은 일반 업무용 단말과 같은 수준으로 관리하지 않는 식이다. 핵심 자산과 비핵심 자산을 구분하지 않으면 결국 중요한 곳에 자원을 집중하지 못한다는 점을 보여주는 사례다.
90일 안에 시작할 수 있는 변화
보안 투자를 경영진으로부터 이끌어내기 위한 ‘90일 플랜’도 소개했다. 첫째, 보안팀이 아니라 비즈니스와 함께 우선순위를 정하는 워크숍을 열 것. 둘째, 반복적인 통제와 대응, 보고 업무를 자동화할 것. 셋째, 여러 시스템에 흩어진 정보를 하나로 모아 경영진이 빠르게 판단할 수 있는 보고 구조를 만들 것. 이 세 가지를 동시에 작은 범위에서 시작해 효과를 검증하고 점진적으로 확산하라는 제안이다. 핵심은 완벽한 체계를 한 번에 만드는 것이 아니라, 짧은 시간 안에 이 전략이 실제 효과가 있다는 사실을 증명하는 데 있다.
투자 우선순위에 대한 설명도 같은 맥락이었다. 그는 과거 토스에서 자동화에 40%, 정보기술(IT) 자산 관리와 사각지대 해소에 30%, 탐지·대응 유지에 30%를 배분했던 사례를 소개했다.
중요한 것은 특정 비율이 아니라, 반복 업무를 줄여 여유 자원을 만들고 그 자원을 다시 더 중요한 보안 영역에 재투자하는 선순환 구조라고 했다. 최근에는 자동화는 물론 AI 관련 위험과 활용 방안을 함께 검토하고 있다고도 덧붙였다.
“보안이 어떻게 경영에 도움 되는 지 증명해야”
지 CISO는 “자원이 부족하다는 말은 어느 조직에서나 나온다. 하지만 경영진이 듣고 싶은 것은 부족함의 호소가 아니라, 어떤 전략으로 어떤 위험을 줄이고 어떤 사업 효과를 만들 것인지에 대한 설명”이라고 강조했다.
보안 책임자의 역할도 예산을 따내는 데서 끝나지 않는다. 그 예산이 어떻게 효과적으로 쓰이고, 결과적으로 비즈니스 성장과 신뢰 확보에 어떻게 기여하는지까지 증명해야 한다는 것이다.
토스 운영사인 비바리퍼블리카에 따르면, 회사는 창업 초기부터 보안을 경영의 최우선 가치로 두고, 금융권 최초의 정보보호 자율 공시, CISO와 개인정보보호책임자(CPO) 분리 선임, 독립적 보안 거버넌스 체계 구축을 이어가고 있다. 지 CISO의 주도로 보안 투자가 8년 전보다 15배 이상 확대됐고 전문 인력도 꾸준히 늘고 있다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

