투자액과 전담 인력 확충에 더해 정보보호 준비도 평가 AAA+P 등급을 새로 취득하고 버그바운티·침해사고 대응 훈련 등 활동 범위도 대폭 넓히며 보안 전반을 물샐틈없이 방어하고 있다.
12일 한국인터넷진흥원(KISA) 정보보호 공시현황에 따르면 지난해 토스페이먼츠의 정보기술부문 투자액은 411억8313만 원으로 전년 351억6055만 원 대비 17.1% 증가했다.
그중 정보보호부문 투자액은 44억3649만 원으로 전년 35억9361만 원 대비 23.4% 늘었다. 정보기술 투자액 대비 정보보호 투자 비중은 10.2%에서 10.8%로 0.6%포인트 상승했다.
인력도 큰 폭으로 늘렸다. 전체 임직원은 373명에서 479.6명으로 약 107명 증가했고 정보기술부문 인력은 189명에서 161.9명으로 줄었다.
반면 정보보호 전담 인력은 13명(내부 12명·외주 1명)에서 19명(내부 18명·외주 1명)으로 6명 늘었다. 정보기술부문 인력 대비 정보보호 전담 인력 비중도 6.9%에서 11.7%로 4.8%포인트 상승했다.
인증 현황에서도 변화가 생겼다. 전년 공시에서 보유하고 있던 ISMS, ISO27001:2022, ISO27701:2019, PCI DSS Ver 4.0에 더해 올해는 '정보보호 준비도 평가 AAA+P' 등급이 새로 추가됐다.
정보보호 활동 내용도 확대됐다. 전년에는 전자금융기반시설 취약점 분석평가, 공개용 홈페이지 취약점 점검, PCI DSS ASV 분기 리포트, 정보보안 점검의 날, 정보보호 위원회 운영, 임직원 정보보안 교육, 정보유출 상시 모니터링 등을 운영했다.
그러나 올해는 침해사고 대응 훈련(DDoS·API·서버해킹), 토스 보안 컨퍼런스(가디언즈) 참여, 토스 버그바운티 챌린지 참여, 개인정보 처리방침 개정, 개인(신용)정보 수탁사 점검, 개인(신용)정보 내부관리계획 이행실태 점검, 개인정보보호배상책임보험 및 전자금융거래배상책임보험 가입 등이 추가됐다.
토스페이먼츠는 결제 신뢰도가 곧 사업 경쟁력인 만큼 보안을 선택이 아닌 필수 투자로 접근해 왔다는 입장이다.
토스페이먼츠 관계자는 "토스페이먼츠는 PG사로 거래의 기밀성·무결성·가용성을 모두 확보해야 하는 사업 특성상 사이버 보안의 비중이 본질적으로 크다"며 "온라인 결제가 확대될수록 보안 수요도 함께 커지며 회사는 이를 일회성이 아닌 지속적 투자로 대응해 왔다"고 설명했다.
이어 "실제 IT투자 대비 보안투자 비율은 2023년부터 2025년까지 3년 연속 10%를 상회했고 인력 측면에서도 2025년 처음으로 IT인력 대비 보안인력 비율이 두자릿수에 도달했다"며 "이는 금융업은 신뢰가 사업의 근간인 만큼 사고 예방을 사활적 과제로 보고 인력·투자를 함께 확충해 온 결과"라고 덧붙였다.
[소비자가만드는신문=서현진 기자]
