Security Researcher (Platform)

• 토스의 Security Platform 팀은 토스의 방어력을 세계 최고 수준으로 끌어 올리는 것을 목표로 해요. 우리는 보안이 개발 수명주기 전체에 자연스럽게 녹아드는 거대한 '보안 플랫폼(Security Platform)'을 만듭니다.
• AI 덕분에 개발 속도가 폭발적으로 빨라졌고, 각 팀이 플랫폼과 API를 찍어내듯 만드는 시대가 되었습니다. 경계가 무너진 환경에서 사람의 손으로 일일이 리뷰하고, 사후에 이벤트 로그를 보며 탐지하는 전통적인 방식으로는 이 속도를 절대 따라갈 수 없습니다.
• 그래서 우리는 리스크를 사후에 수동으로 잡는 게 아니라, '공통 인증/인가 체계'를 통해 전사의 길목을 통제하고, 위험한 코드가 배포되기 전에 '사전 방어 플랫폼'으로 원천 차단하는 구조적 해결책을 만듭니다.
• 개발자가 가장 빠른 길로 가면 그게 곧 가장 안전한 길(Paved Road)이 되도록, 보이지 않는 안전한 인증·인가 및 방어 인프라를 만드는 중심에 합류하세요.

 

• 내부,외부,공개 API, 관리영역 등을 아우르는 토스의 통합 자산 접근 통제(IAM) 체계와 공통 인증/인가 게이트웨이를 설계하고 구축합니다.
• 사후 탐지를 넘어, 코드가 메인에 머지되거나 배포되기 전 단계에서 취약점과 악성 로직을 실시간으로 차단하는 사전 방어 플랫폼을 만듭니다.
• AI 시대를 맞아 폭발적으로 빨라진 PR(Pull Request) 속도에서도 보안 공백이 생기지 않도록, AI 기반 리뷰 및 자동 코드 수정 기능이 포함된 DevSecOps 파이프라인을 고도화합니다.
• 소스코드 도입부터 배포에 이르기까지, 오픈소스 레지스트리(npm, PyPI, Maven 등)의 위협이나 프롬프트 인젝션 우회 같은 신규 리스크가 전사 시스템으로 흘러 들어오지 못하도록 원천 차단하는 방어 체계를 만듭니다.

 

• 운영체제, 네트워크, 웹/시스템 동작 원리를 깊이 이해하고 있으며, 인증 프로토콜(OAuth, SAML, JWT 등)과 API 게이트웨이 라우팅 구조에 대한 이해가 있으신 분이 필요해요.
• 단일 버그나 개별 취약점을 찾는 데 그치지 않고, 문제의 본질을 파악해 '모든 개발자가 공통으로 쓰는 인증 모듈이나 사전 차단 파이프라인'의 형태로 근본적인 해결책을 제시하는 데 흥미를 느끼는 분이 필요해요.
• CI/CD 파이프라인, 컨테이너/쿠버네티스 환경 위에서 보안 프로세스를 어떻게 자연스럽게 자동화하고 녹여낼지 고민해 보신 분을 찾아요.
• AI/LLM 보안(Vibe Coding 리스크 대응 등)을 비롯한 새로운 기술과 패러다임 변화를 두려움 없이 학습하고 적용할 수 있는 분이면 좋아요.

 

 

• 다양한 환경에서 인증/인가 체계를 설계하거나 게이트웨이 라우팅 보안을 개선해 본 경험이 있다면 들려주세요.
• SAST, DAST, SCA, 시크릿 탐지 등의 보안 솔루션을 직접 개발해 보았거나, 이를 CI/CD 파이프라인에 통합하여 개발 초기 단계에서 리스크를 사전 차단(Mitigate) 시스템을 구축해 본 경험이 있다면 들려주세요.
• AI 생성 코드의 보안성 검증, 오픈소스 공급망 보안, 또는 LLM을 활용한 보안 프로세스 자동화 관련 프로젝트나 연구 경험이 있다면 좋습니다.
• 꼭 거창한 경력이 아니더라도, 특정 문제를 시스템적·구조적으로 해결하기 위해 치열하게 고민했던 과정을 적어주세요.

 

토스에서 사용하는 기술

• Domain: Access Control (IAM), Auth Gateway, Secure SDLC / DevSecOps, Supply Chain Security, AI/LLM Security
• Languages & Frameworks: Python, Go, Kotlin/Spring, TypeScript/React
• Infra & Tools: CI/CD, Kubernetes, IaC, API Gateway

 

토스로의 합류여정

• 서류 접수 > 직무 인터뷰 > 문화적합성 인터뷰 > 레퍼런스 체크 > 처우 협의 > 최종 합격 및 입사

 

함께할 동료를 위한 한마디

• "사후에 불을 끄는 보안관이 아니라, 애초에 불이 날 수 없는 전사 인증/인가의 판을 짜고 사전 방어 성벽을 쌓을 Researcher를 기다립니다."
• 사용하지 않는 기능을 단순히 멋지게 보이기 위해 만들지 않아요. 의미 없는 기능이라면 시간 낭비하지 않고, 윗사람 눈치 보며 업무를 하지 않아요. 우리는 누군가의 통제가 없어도 스스로 알아서 잘 하는 프로 중에 프로에요. 토스의 금융보안 기술 내재화에 동참하여 혁신을 하실 동료를 찾고 있어요.