보안 리서치 성과 경험 취약점 발굴부터 재현과 패치 검증까지 제가 일하는 방식
특히 은행은 신뢰를 판매하는 조직입니다.
저의 리서치 방식은 재현 가능성과 영향 중심입니다.
통제는 인증과 권한, 트랜잭션 검증, 단말 신뢰, 이상 징후 차단입니다.
반복 검증이 가능한 보안테스트 케이스 묶음을 만들겠습니다.
3년 안에는 토스뱅크의 리서치 역량을 조직자산으로 만들겠습니다.
영향도, 악용 가능성, 탐지 가능성, 완화비용입니다.
성과물은 반복 검증 자동화 묶음입니다.

저는 보안을 기술의 분야라기보다 신뢰의 인프라라고 정의합니다.
특히 은행은 신뢰를 판매하는 조직입니다.
토스뱅크는 디지털 네이티브 은행으로서 고객 접점과 기능 출시 속도가 매우 빠른 편입니다.
속도가 빠른 조직일수록 보안은 종종 뒤늦게 붙는 기능으로 오해받습니다.
저의 리서치 방식은 재현 가능성과 영향 중심입니다.
취약점은 발견 자체보다 재현과 악용 가능성 평가, 그리고 패치 검증까지 이어질 때 조직에 가치가 됩니다.
서비스의 핵심 자산이 무엇인지, 자산으로 가는 경로가 어디인지, 경로의 인증과 권한 경계가 어디에서 형성되는지부터 정리합니다.
예를 들어 권한 검증이 한 곳에서만 수행되고 다른 경로에서는 누락될가 능성, 입력 검증이 프론트단에서만 이루어질 가능성, 토큰 갱신로직이 예외 케이스에서 흔들릴 가능성 같은 가설을 만듭니다.
예를 들어 동일한 리소스에 접근하는 여러 경로가 있을 때, 한 경로는 정책을 거치고 다른 경로는 우회하는 경우가 생깁니다.
저는 이런 경로불일치를 찾아내기위 해 API인벤토리를 만들고, 리소스 단위의 권한 요구사항을 정의한 뒤, 자동화된 요청 생성과 비교 검증으로 누락을 탐지합니다.
저는 위협 모델을 만들 때 항상 자산, 행위자, 경로, 통제, 탐지의 다섯 가지를 씁니다.
통제는 인증과 권한, 트랜잭션 검증, 단말 신뢰, 이상 징후 차단입니다.
예를 들어 인증이 강해도 사회공학으로 사용자가 직접 승인하게 만들 수 있고, 앱이 안전해도 단말이 감염되면 화면 조작이 가능합니다.
사전 억제는 악성 자동화를 어렵게 만드는 속도제한과 챌린지 설계입니다.
저는 샌드박스 환경에서 재현 가능한 테스트 데이터를 만들고, 관측 가능한 로그를 확보하며, 실험으로 인해 생길 수 있는 부작용을 차단하는 방식으로 연구를 진행합니다.
개발팀에는 재현 가능한 최소 케이스와 패치 방향을, 운영팀에는 탐지 시그널과 대응 시나리오를, 정책팀에는 리스크 정의와 기준을 제공합니다.
입사 후 90일에는 토스뱅크의 공격 표면을 빠르게 학습하고, 리서치가 조직에 바로 도움이 되는 산출물을 만들겠습니다.
반복 검증이 가능한 보안테스트 케이스 묶음을 만들겠습니다.
신규 취약점과 N데이 이슈에 대한 빠른 영향 분석 체계를 만들고, 외부 공개 취약점이 나오면 내부자산 영향도를 24시간 안에 판단할 수 있도록 프로세스를 정리하겠습니다.
3년 안에는 토스뱅크의 리서치 역량을 조직자산으로 만들겠습니다.
그리고 개발문화 안에서 보안리서치가 자연스럽게 녹아들도록, 설계 단계에서의 보안 리뷰와 실험 기반의 검증이 표준이 되게 만들겠습니다.
제가 우선순위가 높다고 보는 시나리오는 첫째 계정 탈취 기반의 고위험 거래 수행, 둘째 세션 또는 토큰 탈취를 통한 인증 우회, 셋째 공급망 또는 서드파티컴포넌트 취약점 악용입니다.
영향도, 악용 가능성, 탐지 가능성, 완화비용입니다.
반대로 영향이 제한적이고 탐지가 쉽고 임시완화가 가능한 경우에는 단계적 개선을 제안할 수 있습니다.
저는 개발팀과 함께 현실적 인패치 계획을 만들되, 임시완화 조치와 모니터링 강화, 회귀테스트 추가까지 포함해 조직이 '통제된 위험' 상태로 움직이게 하겠습니다.
핵심은 크래시를 많이 만드는 것이 아니라, 서비스에 의미 있는 위험으로 연결되는지 끝까지 검증하는 것입니다.
평가의 출발점은 세션의 생명주기입니다.

[hwp/pdf]2026 토스뱅크 Security Research Specialist 자기소개서