8일 서울 장충동 신라호텔에서 열린 제15회 정보보호의 날 기념식 부대행사로 열린 2026년 정보보호컨퍼런스에서 당근마켓과 토스가 자사 보안 전략을 공개했다. 양사 모두 유니콘 스타트업으로 AI가 서비스 전반에 빠르게 스며드는 상황에서 기존 보안 체계로는 대응이 어렵다는 문제의식을 공유했다.
당근마켓은 모의침투를 통한 상시 검증에서 출발해 제로트러스트와 AI 레드팀으로 점검 영역을 넓혀왔고 토스는 임직원의 AI 사용을 막기보다 안전하게 쓸 수 있는 통제 체계를 설계하는 데 집중했다.
이원규 당근마켓 팀장은 “100% 완벽한 정보 보안은 불가능에 가까운 과제”라며 “사고를 가장 빨리 인식하고 취약점을 선제적으로 찾아내는 데 주력해왔다”고 밝혔다. 당근마켓은 2022년과 2023년 웹, 모바일 앱, 백오피스 전반에 대해 외부 모의해킹을 받았고 2024년부터는 자체 인력을 통해 동일한 점검을 수행하고 있다. 지난해에는 구인구직 서비스 유출 사고가 업계 전반에서 빈발한 점을 감안해 알바 서비스를 대상으로 화이트해킹 업체를 통한 별도 점검도 진행했다. 그럼에도 자사 취약점이 정말 없는지에 대한 의문이 해소되지 않아 한국인터넷진흥원(KISA)의 실전형 모의침투 사업에 신청해 제3자의 객관적 점검을 받았다. 약 한 달간 진행된 이 점검에서 외부 단계에서는 다크웹에 노출된 구성원 정보 일부가 확인됐지만 이를 통한 내부 시스템 접근은 불가능했고 내부 단계에서 발견된 취약점은 2주 내 조치를 완료했다.
당근마켓은 올해도 자체 모의해킹, 화이트해킹 업체, KISA 점검을 병행하는 3중 검증 체계를 유지하고 있다. AI 기능이 확대되는 속도에 비해 AI 레드팀 점검이 뒤처져 있었다는 점을 인지한 당근마켓은 올 초 자체 인력을 투입해 대고객 서비스와 사내 AI 도구인 캠프, 프롬프트 스튜디오 등의 AI 취약점을 점검했다. 프롬프트 스튜디오에 등록된 수많은 프로젝트를 수작업으로 모두 진단하기 어려워 자동 진단 플랫폼을 자체 개발했고 신규 프로젝트에 대해 수동·자동 스케줄 점검을 병행하고 있다. 프롬프트 인젝션이나 시스템 프롬프트 유출을 100% 예방할 수는 없지만 지속적으로 노력을 기울이고 있으며 지난주에는 KISA의 AI 레드팀 모의해킹 사업자로도 선정됐다고 전했다.
또 4월부터 AWS AI 시큐리티 에이전트를 PoC로 활용해 일반 모의침투에서 놓칠 수 있는 취약점을 빠르게 도출하고 있다고 덧붙였다. 지난해 KISA 모의침투에서 다크웹에 노출된 계정으로도 내부 시스템 침투가 불가능했던 것은 제로트러스트 아키텍처가 제대로 작동한 결과였다. 이 팀장은 이를 계기로 안도감과 동시에 아키텍처의 충분성에 대한 의구심을 갖게 되어 구조 전체를 바꾸기보다 보호 영역을 세밀화하고 모니터링 자동화와 성숙도 모델 개선에 나섰다고 설명했다. 거버넌스 측면에서는 개인이나 리더의 감이 아닌 프레임워크 기반 판단을 위해 NIST CSF 2.0을 기준으로 보안 체계를 정리하고 있으며 이는 리더십이나 담당자가 바뀌더라도 모의해킹·AI 보안·제로트러스트 체계가 지속 운영되도록 하기 위함이라고 밝혔다. 그는 발표 마지막에 모의해킹도 AI 보안 서비스도 제로트러스트 솔루션도 예산 투자 없이는 불가능하다고 짚으며 2022년부터 지속 확대해온 정보보호 투자와 경영진의 관심이 성장의 밑바탕이 됐다고 밝혔다. 다만 최근 보안 사고가 빈발하면서 우수 보안 인재를 확보하기 위한 업계 경쟁도 치열해지고 있다고 덧붙였다.

이어 발표에 나선 지정호 토스 CISO는 AI 전환의 시대, 기업이 준비해야 할 것을 주제로 클라우드, 컨테이너 환경 전환기마다 기존 정보보호 관리 방법론이 변화를 따라가지 못했던 경험을 언급하며 AI 전환 역시 변화 속도가 워낙 빨라 오늘 제시하는 대응이 정답이라 확신할 수 없다고 말했다.
그는 기존에는 사람이 업무를 처리하고 도구가 이를 보조했다면 지금은 AI가 대부분의 실무를 수행하고 사람은 최종 반영 여부만 판단하는 수준으로 역할이 축소되고 있다고 진단했다. 기존 보안 활동이 사고 발생, 재발 방지 규제 마련, 준수 증적 생성, 감사로 이어지는 관성적 사이클로 운영돼왔는데 이 사이클 안에 AI 변화에 대한 대응이 빠져 있다는 점을 문제로 지적했다. 특히 AI 프롬프트에 입력한 정보가 학습되어 제3자에게 노출될 수 있다는 점에서 일반 SaaS 서비스와는 위험 수준이 다르다고 강조하며 AI를 무조건 차단하거나 무조건 허용하기보다 안전하게 쓸 수 있는 체계를 만들어야 한다고 밝혔다.
토스는 매주 금요일 AI 서프데이를 운영해 AI 사용을 적극 장려하는 동시에 아이덴티티(싱글사인온/2차 인증), 디바이스(MDM/ 9종의 보안 에이전트 설치 상태 검증), 네트워크(조건 충족 시에만 접근 허용), 프롬프트(DLP를 통한 개인정보/크리덴셜/토큰 입력 차단/로그 모니터링)로 구성된 4중 통제 체계를 운영하고 있다.
인터넷망에서는 구글 싱글사인온 연동, 엔터프라이즈 수준 보안 통제, 프롬프트 미학습 등 기준을 충족한 약 40여종의 AI 서비스만 허용하는 화이트리스트 정책을 적용하고 나머지는 차단한다. 망분리 환경에서는 가드레일을 통해서만 AI를 이용할 수 있도록 하며 고객정보 직접 활용은 금지하고 비식별·가명 처리를 거친 데이터만 승인 후 사용할 수 있게 했다. 가드레일에는 유해 콘텐츠를 차단하는 콘텐츠 가드, 개인정보·토큰을 정규표현식으로 탐지하는 레젝스 가드, 우회 공격을 막는 프롬프트 가드 등 3가지 엔진이 작동한다.
지 CISO는 임직원이 직접 만드는 AI 에이전트를 새로운 리스크로 짚었다. 만든 사람의 자격증명이 그대로 내재된 채 동료에게 공유되면 실제 누가 어떤 작업을 했는지 로그로 추적하기 어렵고 AI가 업무 성공을 위해 필요 이상의 과도한 권한과 API를 스스로 생성하려는 경향이 있다는 점을 지적했다.
현재는 내부망에서 통제 불가능한 에이전트의 이용을 차단하고 있으며 향후에는 에이전트를 직접 검수하고 API 게이트웨이 단에서 화이트리스트 방식으로 접근 가능한 API를 지정하는 관리 체계를 구축할 계획이라고 밝혔다. 외부 코드 생성 플랫폼에서 회사도 모르게 돌아가는 서비스, AI가 생성한 방대한 양의 코드, 업무 자동화용 스크립트 등도 새로운 보호 대상으로 포함해야 한다고 강조했다.
그는 “보안팀 역시 수작업 중심 활동을 자동화하고 AI를 적극 활용해 필요 최소한의 판단만 수행하는 방향으로 진화해야 한다”며 “토스가 로그를 수집하는 보안 솔루션만 약 45종에 달할 정도로 데이터량이 방대해 사람이 일일이 확인하던 분석, 판단, 조치 과정을 AI 도움으로 전환하고 있다”고 덧붙였다. 이러한 자동화 없이는 AI 전환 시대에 급증하는 보안팀 업무량을 감당할 리소스를 확보하기 어렵다고 밝혔다.
![[AI서머리] 네오아크로보틱스, 5억원 시드‧스펙트라인텔, 시드 투자 유치](https://i0.wp.com/startuprecipe.co.kr/wp-content/uploads/2026/07/260709_neoarcrobotics.com_502305235_slimpic.webp?resize=350%2C250&ssl=1)
![[AI서머리] 로앤컴퍼니, AI학회서 논문 채택‧오늘의집, 소규모 시공 사업자 전용 멤버십 도입](https://i0.wp.com/startuprecipe.co.kr/wp-content/uploads/2026/07/260709_enhans.ai_503202305_slimpic.webp?resize=350%2C250&ssl=1)
![[AI서머리] 서울창업허브M+, Slush 2026 참가 기업 모집‧게임 진로특강·e스포츠 대회 개최](https://i0.wp.com/startuprecipe.co.kr/wp-content/uploads/2026/07/260709_Canva_503200235.jpg?resize=350%2C250&ssl=1)
![[AI서머리] 벤처기업협회-세이브택스, 맞춤형 세무 지원‧인탑스, 액셀러레이팅 5기 선정](https://i0.wp.com/startuprecipe.co.kr/wp-content/uploads/2026/07/260708_kvca.or_.kr_500230535_slimpic.webp?resize=350%2C250&ssl=1)
![[AI서머리] 서울창업허브M+, Slush 2026 참가 기업 모집‧게임 진로특강·e스포츠 대회 개최](https://i0.wp.com/startuprecipe.co.kr/wp-content/uploads/2026/07/260709_Canva_503200235.jpg?resize=75%2C75&ssl=1)
![[AI서머리] 벗뷰리풀, 8억 투자 유치‧채널코퍼레이션, AI 비즈니스 OS 시장 본격화](https://i0.wp.com/startuprecipe.co.kr/wp-content/uploads/2026/07/260708_delvine.co_.kr_502005235_slimpic.webp?resize=350%2C250&ssl=1)
