경계 보안부터 제로트러스트 보안까지, 고도화 여정

안녕하세요, 토스페이먼츠 Security Engineer 김영재, 조성현입니다.

여러분이 토스페이먼츠의 서비스를 사용할 때마다, 보이지 않는 곳에서는 수많은 보안 시스템이 여러분을 보호하고 있습니다. 악의적인 트래픽을 차단하고, 이상 행위를 탐지하며, 가맹점과 함께 보안 수준을 높여가는 일. 토스페이먼츠 보안팀은 이 모든 것을 24시간 지켜보고 있어요.

하지만 처음부터 이런 체계를 갖춘 것은 아니었습니다. 기존 시스템 인수 당시, 토스페이먼츠가 마주한 보안 환경은 매우 열악했죠. 암호화된 트래픽조차 분석할 수 없었고, 단일 방어선에 의존하는 구조였습니다.

이 글은 그런 환경에서 출발해 IDC와 AWS 하이브리드 환경에서 경계보안부터 제로트러스트까지 단계별로 보안 체계를 구축한 4년간의 여정을 담고 있습니다.

우리가 풀어야 했던 4가지 보안 과제

서비스 보안과 단말 보안을 모두 강화하는 포괄적인 보안 체계를 만드는 것이 우리의 목표였습니다. 토스페이먼츠 보안팀이 집중한 영역은 크게 4가지였는데요.

저희는 단일 방어선의 한계를 인식하고, 체계적인 다층 방어(Defense in Depth) 전략을 수립했습니다.

1️⃣ 경계보안 고도화: 암호화 트래픽 가시성 확보, 외부 공격 차단 강화, 보안 생태계 강화 2️⃣ 서버단 내부망 보안: 경계를 뚫고 들어온 공격에 대비한 내부 방어 3️⃣ 컨테이너 런타임 보안: 최신 서비스 아키텍처에 맞춘 보안, 컨테이너 실행 환경 보호

그리고 사용자와 단말의 접근이 항상 안전하고 최소 권한이 유지되기 위해, 제로트러스트 보안을 선제적으로 도입했어요.

4️⃣ 제로트러스트 업무망 보안: 사용자와 단말에 대한 지속적 검증, 동적 접근제어

각 영역마다 우리가 마주한 문제와 해결 과정, 그리고 얻은 성과를 하나씩 살펴보겠습니다.

---

1. 경계보안 고도화 - 암호화 트래픽 방어, 하이브리드 보안 체계 구축

기존 인프라의 한계

기존 인프라 인수 당시 IDC 환경은 IPS(침입방지시스템)와 WAF(웹방화벽)만으로 방어하고 있었습니다.

가장 큰 문제는 암호화된 트래픽을 전혀 분석할 수 없었다는 점입니다. 요즘 웹 트래픽의 대부분은 HTTPS로 암호화되어 있습니다. 공격자들도 이를 잘 알고 있죠. 암호화된 트래픽 속에 악성 페이로드를 숨겨 보내면, 기존 보안 장비는 이를 탐지할 수 없었습니다.

저희는 보이지 않는 위협을 탐지하기 위해 SSL/TLS 트래픽 복호화 기능을 전면 도입했습니다. 동시에 토스페이먼츠의 하이브리드 클라우드 전환에 맞춰 새로운 경계 보안 체계를 설계했어요.

하이브리드 보안 아키텍처 구축

기존 IDC 환경에 AWS 클라우드를 추가하여 하이브리드 보안 체계를 완성했습니다.

IDC 환경:

• DDoS 방어를 최상위 계층에 배치
• SSL/TLS 복호화 장비 도입 → 암호화 트래픽 분석 가능
• IPS와 WAF 이중 보안 구축

AWS 환경:

• AWS WAF로 트래픽 필터링
• GuardDuty의 AI 기반 위협 탐지
• 클라우드 최적화 모니터링

특히 주목할 점은 두 환경 모두에서 암호화 트래픽 분석 기능을 강화하여, 기존에 탐지하기 어려웠던 암호화된 공격까지 효과적으로 차단할 수 있게 되었다는 것입니다. 이제 온프레미스와 클라우드를 아우르는 하이브리드 보안 가시성을 확보했습니다.

가맹점 공격 인입 대응: 함께 성장하는 보안

토스페이먼츠는 수많은 가맹점과 연결되어 있는데요. 하지만 가맹점의 보안이 취약하다면 어떻게 될까요? 그 가맹점을 통해 악성 트래픽이 유입될 수 있습니다.

저희는 단순히 차단하는 것을 넘어, 가맹점과 함께 보안 수준을 높이는 프로세스를 구축했습니다.

4단계 협력적 대응 프로세스:

1. 감지: 가맹점을 통해 유입되는 악성 트래픽 실시간 탐지
2. 격리: 즉시 해당 가맹점 차단하여 추가 공격 차단
3. 안내: 차단 사유와 구체적인 해결 방법을 담은 이메일 발송
4. 재연결: 가맹점의 보안 조치 완료 확인 후 서비스 재개

실제로 가맹점에게 보내는 이메일에는 이런 내용이 담겨 있습니다:

SQL 인젝션 공격[공격 유형]으로 인한 IP 차단 안내

…

공격인입 파라메터: XXXXXX [취약지점]

…

귀사의 서비스를 안전하게 운영하기 위해 웹 서비스의 안전한 보안시스템 적용을 권고 드립니다.

[문제 해결 가이드]

…

SQL Injection 이란?

[공격 및 영향도 설명]

…

조치 완료 하시고, 어떤 조치를 취하셨는지 아래 명시된 메일 또는 전화로 답변주시면

IP 차단 해제 진행 해드릴 수 있도록 하겠습니다. [문의 / 피드백]

[연락처]

…

감사합니다.

토스페이먼츠 드림

단순한 "차단됐습니다"가 아니라, "어떤 공격이 발생했고, 어떻게 해결해야 하는지"까지 상세히 안내합니다.

보안 모니터링 강화의 성과

이러한 노력의 결과로 구체적인 성과를 달성했습니다.

트래픽 모니터링 가시성 향상:

• 실시간 감지 체계 구축
• 자동 알림 시스템 운영
• 취약점 분석 능력 확보

공동 보안관리 체계:

• 즉시 통보 프로세스
• 해결 가이드 제공
• 사후 관리 지원

최종 성과:

• 피해 최소화
• 보안 생태계 강화
• 서비스 안정성 향상

가맹점들과의 협력적 보안 관리를 통해 단순한 서비스 제공자를 넘어 신뢰할 수 있는 보안 파트너로서의 역할을 수행하고 있습니다.

---

2. 서버단 내부망 보안 - "경계를 넘어온 공격에 대비하기"

경계보안만으로는 충분하지 않다

"경계보안이 완벽하면 내부는 안전할까요?"

아닙니다. 정교한 공격자들은 경계보안을 우회하여 내부망으로 침투할 수 있어요.

제로데이 취약점 공격, 피싱을 통한 내부 침투, 공급망 공격 등 경계를 우회하는 방법은 많습니다. 그래서 저희는 경계와 내부를 모두 지키는 이중 방어 체계를 구축했습니다.

IDC 환경: Wazuh 통합 모니터링

IDC 서버 보안을 강화하기 위해 Wazuh를 도입했습니다.

Wazuh는 오픈소스 보안 플랫폼으로 서버·엔드포인트·클라우드 환경 전반의 로그 수집, 위협 탐지, 취약점 관리, 규정 준수 모니터링 등을 제공하는 통합 보안 솔루션입니다.

도입 배경:

1. Lateral Movement(측면 이동 공격) 탐지의 필요성: 서버간 이동 공격은 경계보안으로 탐지하기 어려움
2. 로그 분석의 어려움: 서버의 원본 로그는 읽기 어려운 형태로 저장
3. 중앙화된 관리 부재: 다양한 OS의 System, 인증 Log 통합 관리 필요
4. 실시간 탐지 요구: 이상행위에 대한 즉각적인 알림 체계 필요

다음 다이어그램은 Wazuh의 다양한 기능을 보여줍니다.

로그 수집부터 명령 실행 모니터링, 파일 무결성 체크, 악성코드 탐지, 시스템 인벤토리 수집까지 서버 보안에 필요한 주요 기능을 통합적으로 제공합니다. 토스페이먼츠가 활용하는 Wazuh 시스템의 핵심 기능들은 다음과 같아요.

Wazuh 도입으로 생성된 실시간 알림과 화이트리스트 기반 예외 관리로 효율적인 서버 이상행위 탐지 체계를 만들었습니다. 통합 관리, 실시간 탐지, 자동 대응이 가능한 서버 보안 모니터링 체계를 완성했어요.

AWS 환경: GuardDuty 지능형 탐지

AWS 환경에서는 GuardDuty를 활용하여 내부망 보안을 강화했습니다.

GuardDuty EC2 보호 메커니즘:

• Malware Protection 기반 스캔: Malware Protection for EC2를 통해 대상 인스턴스를 스냅샷하여 악성코드 스캔 및 결과 분석 수행
• 프로세스 및 파일 활동 모니터링: 의심스러운 프로세스·파일 활동을 지속적으로 관찰하고 이상 징후 탐지
• 멀웨어 탐지 엔진 적용: 시그니처 기반 및 행위 기반 분석을 통해 다양한 유형의 악성코드 탐지
• 권한 상승 기반 탐지: 특정 EC2 인스턴스에서 일반 계정의 루트 권한 실행 프로세스 발생 여부 감지
• 민감 명령 실행 탐지: 감지된 프로세스 내에서 /passwd 등 민감 명령·시스템 파일 조작 시도 탐지

실제 탐지 사례:

위 사례에서 보시는 것처럼 상세한 프로세스 정보부터 멀웨어 스캔 결과까지 체계적으로 기록되어 위협 분석과 대응이 가능합니다. 이를 통해 클라우드 환경에서도 온프레미스와 동일한 수준의 내부망 보안을 확보할 수 있었어요.

---

3. 컨테이너 런타임 보안 - "최후의 방어선"

왜 컨테이너 보안이 중요한가

"경계 보안도 있고, 서버 보안도 있는데 컨테이너 보안까지 필요할까요?"

네, 필요합니다.

컨테이너 환경은 서버와는 다른 특성을 가지고 있습니다. 빠르게 생성되고 삭제되며, 오케스트레이션 플랫폼으로 관리되죠. 전통적인 서버 보안 도구만으로는 컨테이너의 동적인 특성을 따라잡기 어렵습니다.

컨테이너 런타임 보안은 마지막 방어선입니다.

경계 보안에서 외부 공격을 차단하고, 서버 보안에서 호스트를 보호하지만, 이 두 단계를 우회한 공격이 발생할 수 있어요. 경계 보안과 서버 보안을 우회한 공격이라도, 컨테이너 실행 환경에서 이상 행동을 탐지하면 차단할 수 있습니다.

IDC 환경: Falco 런타임 모니터링

IDC의 쿠버네티스 환경에서는 Falco를 구축하여 컨테이너 런타임 보안을 구현했습니다.

Falco는 CNCF(Cloud Native Computing Foundation)에 속한 오픈소스 런타임 보안(Runtime Security) 도구입니다. Kubernetes, Linux 서버에서 실시간으로 시스템 호출(Syscall)을 감시해 비정상적·의심스러운 행동을 탐지합니다.

Falco의 주요 기능:

• 컨테이너 런타임 모니터링: 실행 중인 컨테이너 행동 지속 감시
• 이상 행동 탐지: 비정상 프로세스나 파일 접근 식별
• 권한 상승 시도 탐지: 컨테이너 내 권한 에스컬레이션 감지
• 컨테이너 탈출 공격 방지: 호스트로의 탈출 시도 차단

Falco의 3단계 프로세스:

Falco Sidekick 통합:

Falco의 컴패니언 프로젝트인 Falco Sidekick을 도입하여 보안 이벤트를 다양한 시스템으로 전달합니다.

실제 탐지 사례:

이러한 런타임 모니터링을 통해 정적 스캔으로는 탐지하기 어려운 실행 시점의 보안 위협을 실시간으로 감지하고 대응할 수 있습니다.

AWS 환경: GuardDuty 컨테이너 런타임 보안

AWS 환경에서는 GuardDuty의 컨테이너 보안 기능을 활용하고 있습니다.

GuardDuty 컨테이너 보안 기능:

• 컨테이너 워크로드 런타임 위협 탐지
• 악성 컨테이너 이미지 실행 감지
• 권한이 없는 API 호출 탐지

통합 구성:

실제 탐지 사례:

이처럼 GuardDuty를 통해 AWS 환경에서 발생하는 컨테이너 보안 이벤트를 효과적으로 모니터링하고 있어요.

---

4. 제로트러스트 업무망 보안 - "신뢰하지 않고, 항상 검증한다"

일반적인 업무망 보안 모델의 한계

많은 기업들이 사용하는 일반적인 업무망 접근 모델은 아래와 같은데요.

VPN에서는 ID/PW 인증과 2차 인증을 통해 안전성을 높이고, NAC에서는 등록된 MAC 주소의 PC만 연결을 허용합니다. 방화벽으로 필요한 통신을 허용해요.

안전해 보일 수 있습니다.

하지만 토스페이먼츠의 내부 모의해킹 결과, 일반적인 업무망 보안 모델 구조는 생각보다 쉽게 무너질 수 있다는 걸 확인했습니다.

일반 모델의 우회 가능한 허점들

1. 백신 검증 우회:

방법 1. 가짜 파일로 검사 통과

- 백신 설치 파일을 흉내낸 더미 파일 배치

→ 파일 존재 여부만 체크하는 경우 우회 가능

방법 2. 인증 후 백신 무력화

- 인증 후 백신 삭제

- 반복 백신 프로세스 종료 (while True: kill AV)

→ 인증할 때만 또는 설치만 체크하는 경우 우회 가능

방법 3. 백신 관리서버 통신 차단 (가장 강력)

- 로컬 방화벽으로 백신 관리서버 목적지를 차단

→ 백신이 실제 동작 중이나, 보안팀은 이상징후를 알 수 없음 → 검증 무력화

2. IP 기반 접근 통제의 한계:

• 시간이 지날수록 허용 범위가 넓어짐
• 직무나 PC 변경 시 자동 반영 안됨
• 접근 로그에서 IP만 표시되므로, 누군지 알기 어려움
• 최소 권한 원칙 지키기 어려움

3. VPN의 문제점:

• 재택근무 시 인터넷 보안 미적용될 수 있음
• VPN은 공인 IP를 가지므로 공격 포인트로 노출
• 연결 시 내부 네트워크가 노출되는 구조적 문제가 있음

4. 백신의 한계:

• 알려진 위협만 탐지 가능
• 최신 위협(Zero-day) 탐지 불가
• 자세한 정보 및 대응 기능 부족

토스페이먼츠의 제로트러스트 보안

이런 문제들을 해결하기 위해 우리는 제로트러스트 보안을 선제적으로 도입했습니다.

제로트러스트의 핵심 원칙:

"어떤 것도 신뢰하지 않고, 항상 검증한다"

지속적인 검증을 통해 접속이 동적으로 허용되거나 차단되기 때문에 보다 안전합니다.

클라우드 기반 ZTNA 솔루션

저희는 클라우드 기반 ZTNA(Zero Trust Network Access) 솔루션을 중심으로 접근을 통제하고 있습니다.

핵심 구조:

일반 모델의 우회가능한 허점들도 모두 방어되며, 자동 차단됩니다.

방법 1. 가짜 파일로 검사 통과 [ ❌ 불가능 ]

- 백신 설치 파일을 흉내낸 더미 파일 배치

→ 서비스, 레지스트리 등 복합 검증으로 보안 제품 DB와 대조

방법 2. 인증 후 백신 무력화 [ ❌ 불가능 ]

- 인증 후 백신 삭제

- 반복 백신 프로세스 종료 (while True: kill AV)

→ 인증 후에도 솔루션 설치, 프로세스 동작 유무 상태를 지속 확인함

방법 3. 백신 관리서버 통신 차단 (가장 강력) [ ❌ 불가능 ]

- 로컬 방화벽으로 백신 관리서버 목적지를 차단

→ EDR의 시그니처 정의 날짜, 최소 권장 버전 업데이트 여부를 지속 확인해, 비정상 상태를 점검함

EDR 기반 고도화된 위협 탐지

일반 모델에서 백신 우회를 사용한다면, 보안팀은 단말이 해킹된 상태를 인지할 수 없게 됩니다.

토스페이먼츠의 제로트러스트 보안 모델은 보안 솔루션을 우회하기 어려워요. 그래서 단말이 해킹된 상태라면, EDR이 이상행위를 탐지하고 보안팀이 즉시 이벤트를 수신하게 됩니다. 따라서 항상 안전한 상태를 보장할 수 있죠.

토스페이먼츠 EDR 환경의 장점:

• 이상 행위 실시간 감지: 알려지지 않은 위협도 탐지/차단
• 빠르게 정/오탐, 영향도 확인 가능: 자동화된 도구를 통해 행위 정보를 즉시 수집
• 즉시 격리 및 조치: 위협 발견 시 대응할 수 있는 환경이 구현되어 있음

사용자 중심의 동적 권한 관리

IP 기반이 아닌 사용자 속성 기반의 동적 그룹으로 권한을 관리합니다.

예시: 직무 변경 시 자동 권한 조정

• Before: 김토스 / Security Tech팀 / Security Engineer

  • A, C 그룹에 속하여 A, C에 해당하는 리소스만 접근 가능

• After: 김토스 / Security Policy팀 / Policy Manager

  • B 그룹에 속하여 B에 해당하는 리소스만 접근 가능

위와 같이 직무나 팀이 바뀌면 권한도 자동으로 변경됩니다. 이를 통해 최소권한원칙을 보장하고 있어요.

제로트러스트 기반으로 단말 상태와 권한을 항상 검증하며 꼭 필요한 리소스만 접근할 수 있도록 하여 안전한 업무망을 지키고 있습니다.

---

보안 고도화 여정은 계속됩니다

4년 전 기존 시스템 인수 당시, 토스페이먼츠가 마주한 보안 환경은 매우 열악했습니다. 암호화된 트래픽조차 분석할 수 없었고, 단일 방어선에 의존하는 구조였습니다.

하지만 지금은 다릅니다.

경계보안부터 내부망, 컨테이너, 업무망까지. IDC와 AWS를 아우르는 하이브리드 환경에서 일관된 보안 기준과 운영 체계를 구축해왔습니다. 이 여정에서 우리가 배운 것은 아래와 같아요.

• 보안은 단순히 기술의 문제가 아니다: 가맹점과의 협력, 프로세스 구축, 지속적 개선이 필요
• 다층 방어가 핵심이다: 어느 한 계층에만 의존하면 안 됨
• 선제적 대응이 중요하다: 제로트러스트처럼 미래를 준비하는 투자 필요
• 함께 성장해야 한다: 가맹점의 보안이 곧 우리의 보안

토스페이먼츠 보안팀의 여정은 아직 끝나지 않았습니다. 새로운 위협이 계속 등장하고, 보안 기술도 계속 진화하고 있어요. 저희는 앞으로도 보이지 않는 곳에서 서비스를 지키는 사람들로서, 더 안전한 서비스를 만들기 위해 노력하겠습니다.

---

✅ 이번 아티클은 Toss Makers Conference 25의 "경계 보안부터 제로트러스트 보안까지, 고도화 여정" 세션을 바탕으로 재구성되었습니다.