이데일리

김현아의 IT세상읽기 +더보기

• 

  토스, 네카오 다음 혁신이 될까

  김현아 기자 2026.04.12

  [이데일리 김현아 기자] 국내 플랫폼 산업의 지난 10년은 네이버와 카카오가 규정해왔다. 검색과 메신저로 트래픽을 확보한 뒤 결제와 금융을 얹는 ‘플랫폼 → 트래픽 → 금융’의 확장 공식이었다.그런데 이 공식을 정면으로 거스르는 플레이어가 있다. 토스, 그리고 그 중심에 이승건 대표다.◇IBK와의 출발점…핀테크 판을 연 협력토스의 성장에는 초기부터 금융권과의 제휴가 결정적이었다. 특히 IBK기업은행과의 협력은 상징적인 분기점이었다. 2015년 전후 정부의 핀테크 규제 완화 흐름 속에서 공인인증서 의무와 액티브X 규제가 폐지되며 간편송금 환경이 열렸다. 이 과정에서 토스는 IBK기업은행과 실시간 출금 기반 펌뱅킹 제휴를 맺으며 서비스 기반을 확보했다.초기 제도 불확실성이 컸던 상황에서 은행권 협력은 토스가 시장에 안착하는 결정적 발판이 됐다. 특히 2015년 1월 금융위 업무보고 자리에서 이승건 대표가 “은행 협조 없이는 핀테크 확장이 어렵다”고 대통령 앞에서 발언하고, 당시 동석했던 권선주 IBK기업은행장이 화답하면서 논의가 급물살을 탄 점은 업계에서 ‘승부수’로 평가된다.다만 이 시기 토스의 성장 역시 규제 완화라는 정책 환경 변화 없이는 불가능했다는 점에서, 이승건 대표는 운이 참 좋다는 해석도 나온다.◇“금융에서 시작해 일상으로”…역방향 확장네이버와 카카오는 트래픽을 먼저 확보한 뒤 금융을 얹었다. 반면 토스는 금융에서 시작해 생활 영역으로 확장했다.간편송금으로 출발한 토스는 토스뱅크, 토스증권, 토스인슈어런스, 토스페이먼츠로 이어지며 종합 금융 플랫폼 구조를 갖췄다. 여기에 토스모바일, 토스플레이스까지 더하며 오프라인 영역으로까지 확장하고 있다.초기 IT기업들이 부담스러워하던 금융 라이선스 비즈니스를 내부로 흡수해 계열화한 점은 분명한 성과다. 다만 동시에 금융·통신·결제·플랫폼이 한 기업 내부로 집중되면서 규제 리스크 역시 함께 커졌다는 평가도 존재한다.토스에게 금융은 기능이 아니라 ‘입구’다. 그러나 그 입구가 너무 넓어지면서, 이제는 복합 금융그룹에 가까운 구조적 복잡성도 안고 있다.최근 토스 전략의 핵심은 결제 경험의 재설계다. 토스플레이스를 중심으로 단말기와 가맹점 인프라를 확보하는 데서 나아가 얼굴결제까지 진행하고 있다.얼굴 인식 결제는 카드·QR·비밀번호 없이 결제가 가능한 구조다. 매장에서 얼굴만으로 결제가 완료되고, 가맹점은 별도 입력 없이 고객을 식별한다.이는 편의성 혁신이면서 동시에 논쟁적인 영역이기도 하다. 생체정보 활용은 보안성과 프라이버시 이슈를 동반할 수밖에 없고, 규제 환경에 따라 확장 속도가 달라질 수 있다.결제 순간을 데이터 플랫폼으로 바꾸겠다는 전략은 분명하지만, 동시에 사회적 수용성과 제도적 정합성을 넘어야 하는 과제도 남아 있다.이승건 비바리퍼블리카(토스 운영사) 대표◇“구조”…이승건식 운영 방식토스 내부에서는 이승건 대표를 두고 “워커홀릭이면서 구조로 밀어붙이는 리더”라는 평가가 나온다. 슬랙 중심의 비동기 협업, 결정적 순간의 개입 방식은 조직 운영 자체가 구조 설계와 맞닿아 있다는 의미다. 다만 이러한 강한 구조 중심 문화는 효율성과 속도를 높이는 동시에, 조직 피로도나 의사결정 집중 리스크로 이어질 수 있다는 지적도 함께 존재한다. 토스가 사람을 많이 뽑고, 이직률 역시 높은 것도 이 때문이다.토스는 최근 빠른 실적 개선을 보이고 있다. 2025년 기준 매출 2조6,983억 원(전년 대비 38% 증가), 영업이익 3,360억 원, 순이익 2,018억 원을 기록하며 사상 최대 실적을 달성했다. 카카오페이와 네이버파이낸셜 역시 각각 흑자 전환과 두 자릿수 성장세를 이어가며 핀테크 산업 전반이 본격적인 수익화 국면에 들어섰다.다만 시장에서는 “성장 국면은 확인됐지만, 다음 단계는 지속 가능한 수익 구조와 규제 대응력”이라는 평가도 함께 나온다.토스 조직문화는 종종 예측 불가능한 유머로 설명되기도 한다.대표적인 일화로, 이승건 대표는 토스 초기 이사간 사무실 출입문에 북어를 걸어뒀다. 한국에서 북어는 이사 때 액운을 막고 새 출발을 기원하는 상징물이다. 이를 스타트업 특유의 방식으로 받아들여 ‘의식’처럼 활용한 셈이다.또 만우절이면 직원들 복지와 관련된 반 농담 반 실행 글을 올린다. 금융이라는 가장 보수적인 산업 안에서 가장 비보수적인 조직 문화를 유지하려는 시도다.◇네이버·카카오 vs 토스, 갈라지는 전략세 회사의 방향은 다르다.네이버는 AI 기반 추천과 결제서비스 중심으로 금융을 재구성하고 있고, 카카오는 메신저 기반 연결성을 금융으로 확장하고 있다. 여기에 네이버는 두나무와의 결합, 카카오는 스테이블코인 논의 등으로 확장 축을 넓히는 모습이다.반면 토스는 결제·계좌·소비 데이터를 하나로 묶는 ‘돈의 흐름’ 자체에 집중한다. AI 활용은 검토되고 있지만, 기술 서사보다는 구조 설계와 실행에 방점이 찍혀 있다.토스의 확장은 쉽지는 않다. 오프라인 진출은 비용 부담이 크고, 금융 규제는 여전히 높은 장벽이다. 얼굴결제와 같은 생체 기반 서비스는 사회적 수용성과 보안 논쟁도 동반한다.무엇보다 토스의 가장 큰 리스크는 ‘확장 속도에 비해 구조가 지나치게 복잡해지는 문제’다. 금융·통신·결제·오프라인 인프라가 동시에 커지면서 관리 난이도는 빠르게 상승하고 있다.그럼에도 플랫폼의 본질은 결국 흐름이라는 점에서 눈여겨볼만 하다. 기술은 바뀌어도 돈의 흐름은 쉽게 바뀌지 않기 때문이다.플랫폼의 다음 시대는 아직 정해지지 않았다. 그러나 한 가지는 분명하다.가장 복잡한 문제를 정면으로 건드리는 플레이어, AI를 가장 잘 활용하는 기업이 다음 시대의 규칙을 만들 것으로 보인다. 그리고 지금 그 자리에 있는 이름 중 하나가 토스다.

• 

  끝나지 않은 펨토셀 리스크, ‘단단한 KT’의 시작은 어디부터인가

  김현아 기자 2026.04.05

  [이데일리 김현아 기자] KT(030200)가 다시 ‘기본’으로 돌아가고 있습니다. 박윤영 대표는 취임 직후 과천 네트워크·보안 관제센터와 혜화국사를 연이어 방문하며 명확한 메시지를 던졌습니다. 통신사의 본질은 결국 네트워크 안정성과 보안이라는 선언입니다. 현장 중심 경영, 조직 슬림화, 보안 인력 보강 등 일련의 조치도 신뢰 회복을 겨냥한 움직임입니다.하지만 KT가 직면한 과제는 단순한 이미지 개선을 넘어섭니다. 보안 리스크는 현재진행형이며, 특히 펨토셀(소형 기지국) 취약성 논란은 통신 인프라의 근본적 안정성을 묻고 있습니다.◇드러난 취약점과 KT의 반박보안업계에서는 최근 의미 있는 문제 제기가 있었습니다. 티오리 박세준 대표는 지난 4일 국내 통신사 펨토셀 장비에서 원격 코드 실행(RCE)과 로컬 권한 상승(LPE) 취약점을 발견했다며 이는 지금까지 공개된 취약점이 아니라고 밝혔습니다. 공격자가 장비를 장악해 이용자 통신을 감청하거나 데이터를 조작할 수 있으며, 감염된 장비를 활용한 분산서비스공격(DDoS) 가능성도 거론됐습니다.그러나 KT는 즉각 반박했습니다. KT 관계자는 “RCE 취약점은 외부 접근 자체를 차단했고, LPE 취약점은 루트 권한 탈취 시도 시 부팅 차단 등 방어 기능을 적용했다”고 설명했습니다. 또한 박세준 대표가 인지한 취약점은 작년 연말 기준으로, 현재는 이미 기술적 보완이 완료됐다고 언급했습니다. KT는 지난해 펨토셀 보안 이슈 이후 외부 전문가와 협력하며 보안 기능을 강화해왔다고 밝혔습니다. 박 대표가 국가정보원(국가사이버안보센터)에 제보한 만큼, KT가 진행한 조치가 완료돼 보안 걱정이 없는지 조만간 확인될 전망입니다.서창석 KT 당시 네트워크부문장(부사장)이 2025년 12월 17일 서울 종로구 케이티 광화문빌딩 웨스트에서 무단 소액결제 및 개인정보 유출 피해 관련 전수조사 결과를 발표하고 있다. 사진=연합뉴스◇AI 전환보다 먼저, 보안의 재설계이런 가운데, 박윤영 대표는 지난 3월 31일 취임과 동시에 ‘단단한 본질’을 강조하며 KT를 AI 전환(AX) 플랫폼 기업으로 탈바꿈시키겠다는 비전을 제시했습니다. 실제 조직 개편을 보면 미디어 조직 축소·보안 조직 확대가 눈에 띕니다. 정보보안 기능과 네트워크 산하 보안운용 기능이 분산돼 있던 구조를, 정보보안실을 중심으로 통합하고 최고정보보호책임자(CISO) 중심 거버넌스를 구축했습니다. 여기에 보안 강화를 위해 금융결제원 출신 이상운 전무(정보보안실장)를 영입하기도 했습니다.그럼에도 펨토셀과 같은 엣지 네트워크 장비는 광범위하게 분산돼 있고 관리 사각지대에 놓이기 쉽습니다. AI와 데이터센터 중심 인프라가 확대될수록 이러한 ‘말단 장비’의 취약성은 전체 시스템 리스크로 증폭됩니다. 가장 약한 고리가 전체를 무너뜨릴 수 있는 구조입니다.통신사가 AI 서비스를 직접 만들기도 하지만, 무엇보다 기반을 제공하는 역할에 충실해야 합니다. 그 기반은 안전성 위에 서야 하며, 전력과 광케이블이 AI 시대 인프라라면, 보안은 이를 지탱하는 필수 조건입니다. KT의 신뢰 회복은 얼마나 빠르게 새로운 사업을 확장하느냐가 아니라, 기존 네트워크를 AI시대 새로운 보안 위협으로부터 얼마나 견고하게 지켜내느냐에 달려 있다고 해도 과언이 아닙니다.박 대표의 현장 방문과 보안 중심 조직 개편은 의미가 크지만, 출발점일 뿐입니다. 이제 필요한 것은 잠재된 위협을 선제적으로 드러내고 해결하는 실행력입니다.끝나지 않은 펨토셀 리스크는 여전히 존재합니다. 박윤영 대표가 강조한 ‘단단한 KT’는 보안 강화와 잠재 위협 선제 대응에서부터 시작돼야 할 듯 합니다.

• 

  가상자산거래소 규제, 가장 센 칼부터 꺼내선 안 된다

  김현아 기자 2026.03.29

  [이데일리 김현아 기자] “이미 적법하게 운영돼 온 민간 기업과 개인에 대해, 사후적으로 지분을 제한하고 자유를 박탈하는 것은 상상하기 어렵다.”최근 한국헌법학회 이슈 세미나에서 나온 이영진 전 헌법재판관의 이 지적은 지금의 가상자산거래소 규제 논란의 본질을 찌른다. 이 문제는 업계 반발의 문제가 아니라, 국가가 공익을 이유로 어디까지 민간의 재산권과 경영 자유를 제한할 수 있는지 묻는 사안이다.금융시장 안정과 이용자 보호는 분명 중요하다. 하지만 그런 공익만으로 기존 거래소 대주주의 지분을 사후적으로 강제 제한하는 것은 다른 문제다. 헌법 질서에서 강한 규제는 마지막 수단이어야 한다. 덜 침해적인 대안이 있는데도 가장 센 규제부터 꺼내 들면 비례성과 최소침해 원칙에 부딪힐 수밖에 없다.◇정부의 우려는 이해되지만, 결론은 성급하다정부의 고민도 이해할만 하다. 원화 기반 스테이블코인이 달러 기반 코인과 맞물리면 자본 유출과 환율 불안으로 이어질 수 있다. 문제가 생겼을 때 누가 책임지고 누가 통제할지도 불분명하다. 은행은 감독 수단이 분명하지만, 가상자산 사업자는 해외 법인으로 빠지거나 책임 소재가 흐려질 수 있다는 우려도 있다.하지만 우려가 크다고 해법까지 자동으로 정당화되지는 않는다. 리스크가 크니 지분부터 자르자는 식이라면, 정교한 규제가 아니라 성급한 규제다.강제적 지분 제한은 가장 강한 규제다. 그렇다면 먼저 물어야 한다. 그 전에 할 수 있는 조치를 정말 다 해봤는가. 답은 아직 아니다.오는 8월부터 대주주 적격성 심사를 강화하는 특정금융정보법 개정안이 시행된다. 먼저 그 실효성부터 확인해야 한다. 대주주의 평판, 재무건전성, 이해상충 가능성, 자금 출처, 내부자 통제 능력을 촘촘히 보는 것이 우선이다. 지분율 숫자를 자르는 것보다 실제 위험 행위를 더 직접 겨냥하면서도 침해는 덜하다.해외도 비슷하다. 가장 엄격하다고 알려진, 미국 뉴욕주의 비트라이선스는 주요 주주에 대한 지문채취까지 요구하지만 지분 상한을 규제하진 않는다. 유럽연합의 MiCA도 10% 이상 적격지분 보유자에 대한 평판·재무건전성 평가를 두고 있다. 일본 역시 거래소 등록·감독은 엄격하지만 주요 주주 지분율 상한 규정은 없다. 해외가 안 하니 우리도 못 한다는 뜻은 아니다. 다만 지분 제한이 유일하거나 선행돼야 할 수단은 아니라는 점은 분명하다.◇숫자보다 중요한 것은 통제다더 중요한 것은 지분율 숫자가 아니라, 그 지분이 어떻게 행사되고 통제되느냐다. 대주주 리스크의 본질은 숫자보다 권한의 행사 방식에 있다. 그렇다면 규제의 초점도 숫자가 아니라 행위에 맞춰져야 한다.대주주 및 특수관계인 거래 공시, 이용자 예치금과 가상자산 보관 현황 공시, 상장 심의 절차의 독립성 확보, 대주주에 대한 신용공여 제한, 일정 규모 이상 지분 변동과 경영권 이전 시 승인, 주기적 적격성 유지 심사 같은 장치가 더 직접적이다. “얼마까지 가질 수 있느냐”보다 “가진 힘을 어떻게 쓰지 못하게 막을 것이냐”가 더 중요하다.사외이사 선임, 감사위원회 설치, 지배구조 내부규범 제정도 같은 맥락이다. 위험한 것은 대주주 그 자체가 아니라, 대주주를 견제할 장치가 없는 구조다.업계도 “혁신을 막는다”, “벤처를 죽인다”는 말만 반복해선 설득력이 약하다. 정부가 금융안정과 책임소재를 걱정한다면, 업계도 대주주 적격성 심사 강화, 내부통제 명문화, 특수관계인 거래 제한, 공시 확대, 이사회 독립성 강화, 이용자 자산 보호 장치 같은 대안을 내놔야 한다.소유 분산이 필요하다면 IPO나 전략적 투자 유치를 통해 성장 과정에서 자연스럽게 지분을 분산시키는 방법도 있다. 실제로 코인베이스도 상장 이후 창업자·초기 투자자 중심 구조에서 기관투자가 비중이 커지는 방향으로 분산된 것으로 알려졌다.◇지금 필요한 것은 강한 규제가 아니라 정확한 규제다가상자산 시장은 더 이상 방치할 수 없는 영역이다. 그러나 그렇다고 가장 센 규제부터 들이밀어도 되는 예외지대는 아니다. 강제적 대주주 지분 제한은 출발점이 아니라 마지막 카드여야 한다.지금 필요한 것은 “누가 얼마나 가질 수 있느냐”를 먼저 자르는 정치가 아니다. “어떻게 통제하고 어떻게 책임지게 할 것인가”를 설계하는 정책이다. 순서를 거꾸로 세우면 규제는 명분을 잃고, 시장은 신뢰를 잃는다.