Tossのプログラムは最初の2年間は数か月しか実行されませんでしたが、2023年後半以降、同社は継続的に維持しています。ハッカーは、アプリケーションの脆弱性を発見するとすぐにそれを報告することができます。これらのホワイトハットハッカーは、重大なバグを発見した場合、最大3,000万ウォン(5億ドン以上)の報酬を受け取ることができます。

Toss は、韓国で定期的にバグ報奨金プログラムを運営している唯一の金融会社です。ホワイトハットハッカーであり、Tossのセキュリティ責任者でもあるリー・ジョンホ氏によると、これは同社のセキュリティ能力に対する自信を反映しているという。

8ax1ybjo.png
トスのセキュリティ部門責任者、イ・ジョンホ氏。写真: コリア・ヘラルド

リー氏はコリア・ヘラルド紙に対し、バグ報奨金プログラムは企業がセキュリティシステム内で気づいていない脆弱性をすべて明らかにすることができると語った。さらに、Toss は、セキュリティ システムや戦略の有効性をテストするために攻撃をシミュレーションする任務を負ったサイバー セキュリティ スタッフのチームを指す「レッド チーム」を擁する唯一の韓国企業でもあります。

Toss のレッドチームは、Lee のほかに 10 人のホワイトハットハッカーで構成されています。彼らは毎日「ブルーチーム」(守備チーム)と連携します。 「偏見を排除することで、企業が見落としている脆弱性を発見し、防御を突破しようとします。その結果、実際の脅威に対する耐性が強化されます」とリー氏は説明します。

Toss は、Toss Guard や Phishing Zero などのカスタム防御プログラムを作成し、社内に統合することで、セキュリティ対策を強化しました。これらの対策は、会社の成長に対応するための柔軟性と拡張性を確保するだけでなく、トスの独自の環境に適した厳重な防御システムを促進するものでもあるとリー氏は強調した。

しかし、セキュリティの強化に取り組むことは、多大なコストがかかることから、企業にとって簡単な選択肢ではありません。トスを運営するビバ・リパブリカの報告書によると、昨年情報技術に投資された総額839億ウォンのうち、11.5%(96億ウォン)がセキュリティに充てられており、これは韓国のハイテク企業の中で最も高い割合の一つだという。

Lee 氏は、セキュリティ強化への取り組みが Toss への入社を選んだ理由であると述べています。セキュリティソリューションプロバイダーのRaonSecureで10年間勤務した後、Lee氏は多くの企業から求められるようになりました。当初、彼はトスを拒否したが、後に創業者兼CEOのイ・スンゴン氏に説得され、考えを変えた。

リー氏はトスの防御システムは完璧ではないと強調した。皮肉なことに、技術が進歩するにつれて、サイバー犯罪者が私たちの日常生活に侵入することが容易になっていると彼は指摘する。大規模言語モデル、ChatGPT などの生成 AI テクノロジーは、新しい攻撃方法をもたらし、サイバー犯罪者の参入障壁を下げます。さらに、月額サブスクリプションサービスとして利用できるランサムウェアもあります。

リー氏は、この市場が急速に成長していることを指摘し、企業が既成のソリューションに頼るのではなく、独自のセキュリティシステムを開発することが重要だと述べた。同時に、サイバー攻撃のリスクを最小限に抑えるためには、全体的な意識を高めることが必要です。彼は、学校で火災安全が教えられているのと同じように、サイバーセキュリティも義務教育プログラムに組み込むべきだと提案した。

(コリア・ヘラルド紙によると)