x

이메일로 만나보는 스타트업 가이드

투자, 행사, 정부사업 등 스타트업 생태계 소식을 이메일로 편하게 받아보세요.

뉴스레터로 만나는 스타트업 투자 리포트 ‘스타트업레시피’
  • 스타트업
    • 뉴스레터
    • 뉴스레시피
    • 인터뷰
  • 테크
  • 투자
    • 투자정보
    • 투자리포트
    • 추천 스타트업
    • 스타트업IR
  • 행사·지원사업
    • 행사
    • 정부사업
    • 입주모집
    • 마이크로 사이트
  • 자료실
  • 베타랩
  • subscribe
No Result
View All Result
뉴스레터로 만나는 스타트업 투자 리포트 ‘스타트업레시피’
  • 스타트업
    • 뉴스레터
    • 뉴스레시피
    • 인터뷰
  • 테크
  • 투자
    • 투자정보
    • 투자리포트
    • 추천 스타트업
    • 스타트업IR
  • 행사·지원사업
    • 행사
    • 정부사업
    • 입주모집
    • 마이크로 사이트
  • 자료실
  • 베타랩
  • subscribe
No Result
View All Result
뉴스레터로 만나는 스타트업 투자 리포트 ‘스타트업레시피’
No Result
View All Result

AI 시대 유니콘의 보안법…당근마켓·토스 전략은?

주승호 기자 by 주승호 기자
2026년 7월 9일
in news
Reading Time: 1 mins read

8일 서울 장충동 신라호텔에서 열린 제15회 정보보호의 날 기념식 부대행사로 열린 2026년 정보보호컨퍼런스에서 당근마켓과 토스가 자사 보안 전략을 공개했다. 양사 모두 유니콘 스타트업으로 AI가 서비스 전반에 빠르게 스며드는 상황에서 기존 보안 체계로는 대응이 어렵다는 문제의식을 공유했다.

당근마켓은 모의침투를 통한 상시 검증에서 출발해 제로트러스트와 AI 레드팀으로 점검 영역을 넓혀왔고 토스는 임직원의 AI 사용을 막기보다 안전하게 쓸 수 있는 통제 체계를 설계하는 데 집중했다.

이원규 당근마켓 팀장은 “100% 완벽한 정보 보안은 불가능에 가까운 과제”라며 “사고를 가장 빨리 인식하고 취약점을 선제적으로 찾아내는 데 주력해왔다”고 밝혔다. 당근마켓은 2022년과 2023년 웹, 모바일 앱, 백오피스 전반에 대해 외부 모의해킹을 받았고 2024년부터는 자체 인력을 통해 동일한 점검을 수행하고 있다. 지난해에는 구인구직 서비스 유출 사고가 업계 전반에서 빈발한 점을 감안해 알바 서비스를 대상으로 화이트해킹 업체를 통한 별도 점검도 진행했다. 그럼에도 자사 취약점이 정말 없는지에 대한 의문이 해소되지 않아 한국인터넷진흥원(KISA)의 실전형 모의침투 사업에 신청해 제3자의 객관적 점검을 받았다. 약 한 달간 진행된 이 점검에서 외부 단계에서는 다크웹에 노출된 구성원 정보 일부가 확인됐지만 이를 통한 내부 시스템 접근은 불가능했고 내부 단계에서 발견된 취약점은 2주 내 조치를 완료했다.

당근마켓은 올해도 자체 모의해킹, 화이트해킹 업체, KISA 점검을 병행하는 3중 검증 체계를 유지하고 있다. AI 기능이 확대되는 속도에 비해 AI 레드팀 점검이 뒤처져 있었다는 점을 인지한 당근마켓은 올 초 자체 인력을 투입해 대고객 서비스와 사내 AI 도구인 캠프, 프롬프트 스튜디오 등의 AI 취약점을 점검했다. 프롬프트 스튜디오에 등록된 수많은 프로젝트를 수작업으로 모두 진단하기 어려워 자동 진단 플랫폼을 자체 개발했고 신규 프로젝트에 대해 수동·자동 스케줄 점검을 병행하고 있다. 프롬프트 인젝션이나 시스템 프롬프트 유출을 100% 예방할 수는 없지만 지속적으로 노력을 기울이고 있으며 지난주에는 KISA의 AI 레드팀 모의해킹 사업자로도 선정됐다고 전했다.

또 4월부터 AWS AI 시큐리티 에이전트를 PoC로 활용해 일반 모의침투에서 놓칠 수 있는 취약점을 빠르게 도출하고 있다고 덧붙였다. 지난해 KISA 모의침투에서 다크웹에 노출된 계정으로도 내부 시스템 침투가 불가능했던 것은 제로트러스트 아키텍처가 제대로 작동한 결과였다. 이 팀장은 이를 계기로 안도감과 동시에 아키텍처의 충분성에 대한 의구심을 갖게 되어 구조 전체를 바꾸기보다 보호 영역을 세밀화하고 모니터링 자동화와 성숙도 모델 개선에 나섰다고 설명했다. 거버넌스 측면에서는 개인이나 리더의 감이 아닌 프레임워크 기반 판단을 위해 NIST CSF 2.0을 기준으로 보안 체계를 정리하고 있으며 이는 리더십이나 담당자가 바뀌더라도 모의해킹·AI 보안·제로트러스트 체계가 지속 운영되도록 하기 위함이라고 밝혔다. 그는 발표 마지막에 모의해킹도 AI 보안 서비스도 제로트러스트 솔루션도 예산 투자 없이는 불가능하다고 짚으며 2022년부터 지속 확대해온 정보보호 투자와 경영진의 관심이 성장의 밑바탕이 됐다고 밝혔다. 다만 최근 보안 사고가 빈발하면서 우수 보안 인재를 확보하기 위한 업계 경쟁도 치열해지고 있다고 덧붙였다.

이어 발표에 나선 지정호 토스 CISO는 AI 전환의 시대, 기업이 준비해야 할 것을 주제로 클라우드, 컨테이너 환경 전환기마다 기존 정보보호 관리 방법론이 변화를 따라가지 못했던 경험을 언급하며 AI 전환 역시 변화 속도가 워낙 빨라 오늘 제시하는 대응이 정답이라 확신할 수 없다고 말했다.

그는 기존에는 사람이 업무를 처리하고 도구가 이를 보조했다면 지금은 AI가 대부분의 실무를 수행하고 사람은 최종 반영 여부만 판단하는 수준으로 역할이 축소되고 있다고 진단했다. 기존 보안 활동이 사고 발생, 재발 방지 규제 마련, 준수 증적 생성, 감사로 이어지는 관성적 사이클로 운영돼왔는데 이 사이클 안에 AI 변화에 대한 대응이 빠져 있다는 점을 문제로 지적했다. 특히 AI 프롬프트에 입력한 정보가 학습되어 제3자에게 노출될 수 있다는 점에서 일반 SaaS 서비스와는 위험 수준이 다르다고 강조하며 AI를 무조건 차단하거나 무조건 허용하기보다 안전하게 쓸 수 있는 체계를 만들어야 한다고 밝혔다.

토스는 매주 금요일 AI 서프데이를 운영해 AI 사용을 적극 장려하는 동시에 아이덴티티(싱글사인온/2차 인증), 디바이스(MDM/ 9종의 보안 에이전트 설치 상태 검증), 네트워크(조건 충족 시에만 접근 허용), 프롬프트(DLP를 통한 개인정보/크리덴셜/토큰 입력 차단/로그 모니터링)로 구성된 4중 통제 체계를 운영하고 있다.

인터넷망에서는 구글 싱글사인온 연동, 엔터프라이즈 수준 보안 통제, 프롬프트 미학습 등 기준을 충족한 약 40여종의 AI 서비스만 허용하는 화이트리스트 정책을 적용하고 나머지는 차단한다. 망분리 환경에서는 가드레일을 통해서만 AI를 이용할 수 있도록 하며 고객정보 직접 활용은 금지하고 비식별·가명 처리를 거친 데이터만 승인 후 사용할 수 있게 했다. 가드레일에는 유해 콘텐츠를 차단하는 콘텐츠 가드, 개인정보·토큰을 정규표현식으로 탐지하는 레젝스 가드, 우회 공격을 막는 프롬프트 가드 등 3가지 엔진이 작동한다.

지 CISO는 임직원이 직접 만드는 AI 에이전트를 새로운 리스크로 짚었다. 만든 사람의 자격증명이 그대로 내재된 채 동료에게 공유되면 실제 누가 어떤 작업을 했는지 로그로 추적하기 어렵고 AI가 업무 성공을 위해 필요 이상의 과도한 권한과 API를 스스로 생성하려는 경향이 있다는 점을 지적했다.

현재는 내부망에서 통제 불가능한 에이전트의 이용을 차단하고 있으며 향후에는 에이전트를 직접 검수하고 API 게이트웨이 단에서 화이트리스트 방식으로 접근 가능한 API를 지정하는 관리 체계를 구축할 계획이라고 밝혔다. 외부 코드 생성 플랫폼에서 회사도 모르게 돌아가는 서비스, AI가 생성한 방대한 양의 코드, 업무 자동화용 스크립트 등도 새로운 보호 대상으로 포함해야 한다고 강조했다.

그는 “보안팀 역시 수작업 중심 활동을 자동화하고 AI를 적극 활용해 필요 최소한의 판단만 수행하는 방향으로 진화해야 한다”며 “토스가 로그를 수집하는 보안 솔루션만 약 45종에 달할 정도로 데이터량이 방대해 사람이 일일이 확인하던 분석, 판단, 조치 과정을 AI 도움으로 전환하고 있다”고 덧붙였다. 이러한 자동화 없이는 AI 전환 시대에 급증하는 보안팀 업무량을 감당할 리소스를 확보하기 어렵다고 밝혔다.

이 글 공유하기:

  • 트위터로 공유하기 (새 창에서 열림)
  • 페이스북에 공유하려면 클릭하세요. (새 창에서 열림)
  • 인쇄하기 (새 창에서 열림)
  • 클릭하여 친구에게 이메일로 링크 보내기 (새 창에서 열림)
ShareTweetPin

뉴스 레터 구독하기

Related Posts

[AI서머리] 네오아크로보틱스, 5억원 시드‧스펙트라인텔, 시드 투자 유치
news

[AI서머리] 네오아크로보틱스, 5억원 시드‧스펙트라인텔, 시드 투자 유치

초분광 기술 스타트업 스펙트라인텔, 카카오벤처스 시드 투자 유치 초소형 이미징 초분광기 스타트업 스펙트라인텔이 카카오벤처스로부터 시드 투자를 유치하며 본격적인 사업...

by 이석원 기자
2026년 7월 9일
[AI서머리] 로앤컴퍼니, AI학회서 논문 채택‧오늘의집, 소규모 시공 사업자 전용 멤버십 도입
news

[AI서머리] 로앤컴퍼니, AI학회서 논문 채택‧오늘의집, 소규모 시공 사업자 전용 멤버십 도입

크림, 2026 상반기 리포트 발표… 캐릭터 IP와 고관여 테크가 주도한 소비 트렌드 한정판 거래 플랫폼 크림(KREAM)이 2026년 상반기 거래...

by 이석원 기자
2026년 7월 9일
[AI서머리] 서울창업허브M+, Slush 2026 참가 기업 모집‧게임 진로특강·e스포츠 대회 개최
news

[AI서머리] 서울창업허브M+, Slush 2026 참가 기업 모집‧게임 진로특강·e스포츠 대회 개최

서울창업허브M+, Slush 2026 참가 스타트업 모집 서울시와 서울경제진흥원이 세계 최대 규모의 스타트업 행사인 Slush 2026에 참여할 서울 소재 혁신기업을...

by 이석원 기자
2026년 7월 9일
[AI서머리] 벤처기업협회-세이브택스, 맞춤형 세무 지원‧인탑스, 액셀러레이팅 5기 선정
news

[AI서머리] 벤처기업협회-세이브택스, 맞춤형 세무 지원‧인탑스, 액셀러레이팅 5기 선정

벤처기업협회-세이브택스, 초기 벤처기업 맞춤형 세무 지원 나서 (사)벤처기업협회가 초기 벤처·스타트업의 경영 부담 완화를 위해 세무법인 ‘세이브택스’와 손잡고 실질적인 경영지원...

by 이석원 기자
2026년 7월 8일
Next Post
[AI서머리] 서울창업허브M+, Slush 2026 참가 기업 모집‧게임 진로특강·e스포츠 대회 개최

[AI서머리] 서울창업허브M+, Slush 2026 참가 기업 모집‧게임 진로특강·e스포츠 대회 개최

POPULAR

  • [AI서머리] 벗뷰리풀, 8억 투자 유치‧채널코퍼레이션, AI 비즈니스 OS 시장 본격화

    [AI서머리] 벗뷰리풀, 8억 투자 유치‧채널코퍼레이션, AI 비즈니스 OS 시장 본격화

    0 shares
    Share 0 Tweet 0
  • AI 스타트업 베니스 AI, 유니콘 등극

    0 shares
    Share 0 Tweet 0
  • [AI서머리] 식스센스, 10억원 프리시드 투자 유치‧오디엔, 당뇨병 디지털치료기기 국책 과제 수주

    0 shares
    Share 0 Tweet 0
  • [AI서머리] 오토메타, 105억 시리즈A 투자 유치‧토스 찾아온 필리핀 중앙은행·세계은행

    0 shares
    Share 0 Tweet 0
  • [AI서머리] 중소기업 재도약 대책 발표‧오렌지플래닛, 2026 하반기 정기모집

    0 shares
    Share 0 Tweet 0

이메일로 만나보는 스타트업 가이드

투자, 행사, 정부사업 등 스타트업 생태계 소식을 이메일로 편하게 받아보세요.

회사소개 | 개인정보 처리방침 | 서비스 이용약관 | 청소년 보호 정책 | 윤리강령 | 정정·반론보도 요청 | 이용자 위원회
법인명 : 주식회사 미디어레시피 | 제호 : 스타트업레시피 | 등록번호 : 서울, 아55704 | 등록일자 : 2024년 11월 14일
발행인 : 이석원 | 편집인 : 이석원
주소 : 서울시 강서구 마곡동 757-5 마곡나루역 프라이빗타워1 6층 604호 | 전화 : 070-4048-4013 | 청소년보호책임자 : 정용환
보도자료 및 제휴 문의 : news@startuprecipe.co.kr
Copyright 2020 © Media Recipe. All Rights Reserved.
No Result
View All Result
  • 스타트업
    • 뉴스레터
    • 뉴스레시피
    • 인터뷰
  • 테크
  • 투자
    • 투자정보
    • 투자리포트
    • 추천 스타트업
    • 스타트업IR
  • 행사·지원사업
    • 행사
    • 정부사업
    • 입주모집
    • 마이크로 사이트
  • 자료실
  • 베타랩
  • subscribe

© 2026 JNews - Premium WordPress news & magazine theme by Jegtheme.

 

댓글 로드중...
 

    이메일 수집 동의

    스타트업레시피는 최초 회원 가입 또는 서비스를 이용할 때 이용자로부터 아래와 같은 개인 정보를 수집하고 있습니다.
    이용자는 본 개인정보 수집·이용 동의서에 따른 동의를 하면 ‘필요한 최소한의 정보 외에 개인정보’ 수집·이용에 동의하지 아니할 권리가 있습니다.
    개인정보 취급 및 처리에 대한 상세한 사항은 사이트 하단에 공개한 ‘개인정보 처리방침’을 참조하십시오. 다만 본 동의서 내용과 상충되는 부분은 본 동의서의 내용이 우선합니다.

    1. 수집하는 개인정보의 항목 및 이용목적

    1) 수집항목 및 목적 (필수)

    □ 뉴스레터 수신: 이메일

    ※ 귀하께서는 필수항목 수집·이용에 대한 동의를 거부하실 수 있으나, 이는 서비스 제공에 필수적으로 수집해야 하는 정보이므로 동의를 거부하실 경우 뉴스레터 구독을 이용하실 수 없습니다.

    2. 개인정보의 보유 및 이용기간

    회원의 개인정보는 뉴스레터 수신을 거부하면 자동으로 파기됩니다.

    다만, 스타트업레시피는 관련법령의 규정에 의해 개인정보를 보유할 필요가 있는 경우, 해당 법령에서 정한 바에 의하여 아래와 같이 개인정보를 보유할 수 있습니다.

    – 계약 또는 청약철회 등에 관련 기록 : 5년

    – 대금결제 및 재화 등의 공급에 관한 기록 : 5년

    – 소비자의 불만 또는 분쟁처리에 관한 기록 : 3년

    – 신용정보의 수집/처리 및 이용 등에 관한 기록 : 3년

    – 표시/광고에 관한 기록 : 6개월

    – 이용자의 인터넷 등 로그기록/ 이용자의 접속지 추적자료 : 3개월

    – 그 외의 통신사실 확인 자료 : 12개월

    이 글 공유하기:

    • 트위터로 공유하기 (새 창에서 열림)
    • 페이스북에 공유하려면 클릭하세요. (새 창에서 열림)
    • 인쇄하기 (새 창에서 열림)
    • 클릭하여 친구에게 이메일로 링크 보내기 (새 창에서 열림)
    닫기