안녕하세요, 토스페이먼츠 Security Engineer 김영재, 조성현입니다.
여러분이 토스페이먼츠의 서비스를 사용할 때마다, 보이지 않는 곳에서는 수많은 보안 시스템이 여러분을 보호하고 있습니다. 악의적인 트래픽을 차단하고, 이상 행위를 탐지하며, 가맹점과 함께 보안 수준을 높여가는 일. 토스페이먼츠 보안팀은 이 모든 것을 24시간 지켜보고 있어요.
하지만 처음부터 이런 체계를 갖춘 것은 아니었습니다. 기존 시스템 인수 당시, 토스페이먼츠가 마주한 보안 환경은 매우 열악했죠. 암호화된 트래픽조차 분석할 수 없었고, 단일 방어선에 의존하는 구조였습니다.
이 글은 그런 환경에서 출발해 IDC와 AWS 하이브리드 환경에서 경계보안부터 제로트러스트까지 단계별로 보안 체계를 구축한 4년간의 여정을 담고 있습니다.
우리가 풀어야 했던 4가지 보안 과제
서비스 보안과 단말 보안을 모두 강화하는 포괄적인 보안 체계를 만드는 것이 우리의 목표였습니다. 토스페이먼츠 보안팀이 집중한 영역은 크게 4가지였는데요.
저희는 단일 방어선의 한계를 인식하고, 체계적인 다층 방어(Defense in Depth) 전략을 수립했습니다.
1️⃣ 경계보안 고도화: 암호화 트래픽 가시성 확보, 외부 공격 차단 강화, 보안 생태계 강화 2️⃣ 서버단 내부망 보안: 경계를 뚫고 들어온 공격에 대비한 내부 방어 3️⃣ 컨테이너 런타임 보안: 최신 서비스 아키텍처에 맞춘 보안, 컨테이너 실행 환경 보호
그리고 사용자와 단말의 접근이 항상 안전하고 최소 권한이 유지되기 위해, 제로트러스트 보안을 선제적으로 도입했어요.
4️⃣ 제로트러스트 업무망 보안: 사용자와 단말에 대한 지속적 검증, 동적 접근제어
각 영역마다 우리가 마주한 문제와 해결 과정, 그리고 얻은 성과를 하나씩 살펴보겠습니다.
1. 경계보안 고도화 - 암호화 트래픽 방어, 하이브리드 보안 체계 구축
기존 인프라의 한계
기존 인프라 인수 당시 IDC 환경은 IPS(침입방지시스템)와 WAF(웹방화벽)만으로 방어하고 있었습니다.
가장 큰 문제는 암호화된 트래픽을 전혀 분석할 수 없었다는 점입니다. 요즘 웹 트래픽의 대부분은 HTTPS로 암호화되어 있습니다. 공격자들도 이를 잘 알고 있죠. 암호화된 트래픽 속에 악성 페이로드를 숨겨 보내면, 기존 보안 장비는 이를 탐지할 수 없었습니다.
저희는 보이지 않는 위협을 탐지하기 위해 SSL/TLS 트래픽 복호화 기능을 전면 도입했습니다. 동시에 토스페이먼츠의 하이브리드 클라우드 전환에 맞춰 새로운 경계 보안 체계를 설계했어요.
하이브리드 보안 아키텍처 구축
기존 IDC 환경에 AWS 클라우드를 추가하여 하이브리드 보안 체계를 완성했습니다.
특히 주목할 점은 두 환경 모두에서 암호화 트래픽 분석 기능을 강화하여, 기존에 탐지하기 어려웠던 암호화된 공격까지 효과적으로 차단할 수 있게 되었다는 것입니다. 이제 온프레미스와 클라우드를 아우르는 하이브리드 보안 가시성을 확보했습니다.
가맹점 공격 인입 대응: 함께 성장하는 보안
토스페이먼츠는 수많은 가맹점과 연결되어 있는데요. 하지만 가맹점의 보안이 취약하다면 어떻게 될까요? 그 가맹점을 통해 악성 트래픽이 유입될 수 있습니다.
저희는 단순히 차단하는 것을 넘어, 가맹점과 함께 보안 수준을 높이는 프로세스를 구축했습니다.
실제로 가맹점에게 보내는 이메일에는 이런 내용이 담겨 있습니다:
단순한 "차단됐습니다"가 아니라, "어떤 공격이 발생했고, 어떻게 해결해야 하는지"까지 상세히 안내합니다.
보안 모니터링 강화의 성과
이러한 노력의 결과로 구체적인 성과를 달성했습니다.
가맹점들과의 협력적 보안 관리를 통해 단순한 서비스 제공자를 넘어 신뢰할 수 있는 보안 파트너로서의 역할을 수행하고 있습니다.
2. 서버단 내부망 보안 - "경계를 넘어온 공격에 대비하기"
경계보안만으로는 충분하지 않다
"경계보안이 완벽하면 내부는 안전할까요?"아닙니다. 정교한 공격자들은 경계보안을 우회하여 내부망으로 침투할 수 있어요.
제로데이 취약점 공격, 피싱을 통한 내부 침투, 공급망 공격 등 경계를 우회하는 방법은 많습니다. 그래서 저희는 경계와 내부를 모두 지키는 이중 방어 체계를 구축했습니다.
IDC 환경: Wazuh 통합 모니터링
IDC 서버 보안을 강화하기 위해 Wazuh를 도입했습니다.
Wazuh는 오픈소스 보안 플랫폼으로 서버·엔드포인트·클라우드 환경 전반의 로그 수집, 위협 탐지, 취약점 관리, 규정 준수 모니터링 등을 제공하는 통합 보안 솔루션입니다.
도입 배경:
다음 다이어그램은 Wazuh의 다양한 기능을 보여줍니다.
로그 수집부터 명령 실행 모니터링, 파일 무결성 체크, 악성코드 탐지, 시스템 인벤토리 수집까지 서버 보안에 필요한 주요 기능을 통합적으로 제공합니다. 토스페이먼츠가 활용하는 Wazuh 시스템의 핵심 기능들은 다음과 같아요.
Wazuh 도입으로 생성된 실시간 알림과 화이트리스트 기반 예외 관리로 효율적인 서버 이상행위 탐지 체계를 만들었습니다. 통합 관리, 실시간 탐지, 자동 대응이 가능한 서버 보안 모니터링 체계를 완성했어요.
AWS 환경: GuardDuty 지능형 탐지
AWS 환경에서는 GuardDuty를 활용하여 내부망 보안을 강화했습니다.
GuardDuty EC2 보호 메커니즘:
실제 탐지 사례:
위 사례에서 보시는 것처럼 상세한 프로세스 정보부터 멀웨어 스캔 결과까지 체계적으로 기록되어 위협 분석과 대응이 가능합니다. 이를 통해 클라우드 환경에서도 온프레미스와 동일한 수준의 내부망 보안을 확보할 수 있었어요.
3. 컨테이너 런타임 보안 - "최후의 방어선"
왜 컨테이너 보안이 중요한가
"경계 보안도 있고, 서버 보안도 있는데 컨테이너 보안까지 필요할까요?"네, 필요합니다.
컨테이너 환경은 서버와는 다른 특성을 가지고 있습니다. 빠르게 생성되고 삭제되며, 오케스트레이션 플랫폼으로 관리되죠. 전통적인 서버 보안 도구만으로는 컨테이너의 동적인 특성을 따라잡기 어렵습니다.
컨테이너 런타임 보안은 마지막 방어선입니다.
경계 보안에서 외부 공격을 차단하고, 서버 보안에서 호스트를 보호하지만, 이 두 단계를 우회한 공격이 발생할 수 있어요. 경계 보안과 서버 보안을 우회한 공격이라도, 컨테이너 실행 환경에서 이상 행동을 탐지하면 차단할 수 있습니다.
IDC 환경: Falco 런타임 모니터링
IDC의 쿠버네티스 환경에서는 Falco를 구축하여 컨테이너 런타임 보안을 구현했습니다.
Falco는 CNCF(Cloud Native Computing Foundation)에 속한 오픈소스 런타임 보안(Runtime Security) 도구입니다. Kubernetes, Linux 서버에서 실시간으로 시스템 호출(Syscall)을 감시해 비정상적·의심스러운 행동을 탐지합니다.
Falco의 주요 기능:
Falco의 3단계 프로세스:
Falco Sidekick 통합:
Falco의 컴패니언 프로젝트인 Falco Sidekick을 도입하여 보안 이벤트를 다양한 시스템으로 전달합니다.
실제 탐지 사례:
이러한 런타임 모니터링을 통해 정적 스캔으로는 탐지하기 어려운 실행 시점의 보안 위협을 실시간으로 감지하고 대응할 수 있습니다.
AWS 환경: GuardDuty 컨테이너 런타임 보안
AWS 환경에서는 GuardDuty의 컨테이너 보안 기능을 활용하고 있습니다.
통합 구성:
실제 탐지 사례:
이처럼 GuardDuty를 통해 AWS 환경에서 발생하는 컨테이너 보안 이벤트를 효과적으로 모니터링하고 있어요.
4. 제로트러스트 업무망 보안 - "신뢰하지 않고, 항상 검증한다"
일반적인 업무망 보안 모델의 한계
많은 기업들이 사용하는 일반적인 업무망 접근 모델은 아래와 같은데요.
VPN에서는 ID/PW 인증과 2차 인증을 통해 안전성을 높이고, NAC에서는 등록된 MAC 주소의 PC만 연결을 허용합니다. 방화벽으로 필요한 통신을 허용해요.
안전해 보일 수 있습니다.
하지만 토스페이먼츠의 내부 모의해킹 결과, 일반적인 업무망 보안 모델 구조는 생각보다 쉽게 무너질 수 있다는 걸 확인했습니다.
일반 모델의 우회 가능한 허점들
1) 백신 검증 우회:
2) IP 기반 접근 통제의 한계:
- 시간이 지날수록 허용 범위가 넓어짐
- 직무나 PC 변경 시 자동 반영 안됨
- 접근 로그에서 IP만 표시되므로, 누군지 알기 어려움
- 최소 권한 원칙 지키기 어려움
3) VPN의 문제점:
- 재택근무 시 인터넷 보안 미적용될 수 있음
- VPN은 공인 IP를 가지므로 공격 포인트로 노출
- 연결 시 내부 네트워크가 노출되는 구조적 문제가 있음
4) 백신의 한계:
- 알려진 위협만 탐지 가능
- 최신 위협(Zero-day) 탐지 불가
- 자세한 정보 및 대응 기능 부족
토스페이먼츠의 제로트러스트 보안
이런 문제들을 해결하기 위해 우리는 제로트러스트 보안을 선제적으로 도입했습니다.
제로트러스트의 핵심 원칙:
"어떤 것도 신뢰하지 않고, 항상 검증한다"지속적인 검증을 통해 접속이 동적으로 허용되거나 차단되기 때문에 보다 안전합니다.
클라우드 기반 ZTNA 솔루션
저희는 클라우드 기반 ZTNA(Zero Trust Network Access) 솔루션을 중심으로 접근을 통제하고 있습니다.
핵심 구조:
일반 모델의 우회가능한 허점들도 모두 방어되며, 자동 차단됩니다.
EDR 기반 고도화된 위협 탐지
일반 모델에서 백신 우회를 사용한다면, 보안팀은 단말이 해킹된 상태를 인지할 수 없게 됩니다.
토스페이먼츠의 제로트러스트 보안 모델은 보안 솔루션을 우회하기 어려워요. 그래서 단말이 해킹된 상태라면, EDR이 이상행위를 탐지하고 보안팀이 즉시 이벤트를 수신하게 됩니다. 따라서 항상 안전한 상태를 보장할 수 있죠.
사용자 중심의 동적 권한 관리
IP 기반이 아닌 사용자 속성 기반의 동적 그룹으로 권한을 관리합니다.
위와 같이 직무나 팀이 바뀌면 권한도 자동으로 변경됩니다. 이를 통해 최소권한원칙을 보장하고 있어요.
제로트러스트 기반으로 단말 상태와 권한을 항상 검증하며 꼭 필요한 리소스만 접근할 수 있도록 하여 안전한 업무망을 지키고 있습니다.
보안 고도화 여정은 계속됩니다
4년 전 기존 시스템 인수 당시, 토스페이먼츠가 마주한 보안 환경은 매우 열악했습니다. 암호화된 트래픽조차 분석할 수 없었고, 단일 방어선에 의존하는 구조였습니다.
하지만 지금은 다릅니다.
경계보안부터 내부망, 컨테이너, 업무망까지. IDC와 AWS를 아우르는 하이브리드 환경에서 업계 최고 수준의 보안 체계를 구축했습니다. 이 여정에서 우리가 배운 것은 아래와 같아요.
토스페이먼츠 보안팀의 여정은 아직 끝나지 않았습니다. 새로운 위협이 계속 등장하고, 보안 기술도 계속 진화하고 있어요. 저희는 앞으로도 보이지 않는 곳에서 서비스를 지키는 사람들로서, 더 안전한 서비스를 만들기 위해 노력하겠습니다.
✅ 이번 아티클은 Toss Makers Conference 25의 "경계 보안부터 제로트러스트 보안까지, 고도화 여정" 세션을 바탕으로 재구성되었습니다.
English (US) · 