토스페이먼츠가 4년에 걸쳐 쌓아올린 제로트러스트 보안 체계의 전모

썸네일

SSL/TLS로 암호화된 트래픽을 분석할 방법이 없었어요. 단일 방어선에 의존하는 구조였고, IPS와 WAF만으로 모든 걸 막아야 했죠. 토스페이먼츠가 시스템을 인수했을 때 마주한 보안 환경의 현실이에요. 여기서 출발해 4년 동안 경계보안, 내부망 보안, 컨테이너 런타임 보안, 제로트러스트 업무망 보안까지 네 개 층을 쌓아올렸어요.

결제 서비스를 사용할 때마다 보이지 않는 곳에서 수많은 보안 시스템이 작동하고 있다는 건, 반대로 말하면 그만큼 공격 표면이 넓다는 뜻이기도 해요. IDC와 AWS 하이브리드 환경이라는 복잡성까지 더해지면 방어 전략은 한층 더 정교해져야 하죠.

보안 아키텍처

암호화 트래픽 복호화가 첫 번째 과제였다

경계보안 고도화의 출발점은 SSL/TLS 트래픽 복호화 기능 전면 도입이었어요. 암호화된 트래픽 안에 뭐가 들어있는지 볼 수 없으면 IPS든 WAF든 의미가 없으니까요. IDC 환경에는 DDoS 방어를 최상위 계층에 배치하고, 복호화 장비를 도입해서 IPS와 WAF 이중 보안을 구축했어요. AWS 환경에는 AWS WAF로 트래픽을 필터링하고, GuardDuty의 AI 기반 위협 탐지를 적용했죠.

하이브리드 보안 구조

가맹점을 통해 유입되는 악성 트래픽에는 4단계 협력적 대응 프로세스(감지-격리-안내-재연결)를 구축했어요. 단순히 차단하는 게 아니라 가맹점과 함께 보안 수준을 높이는 접근이죠.

내부 보안

경계를 뚫고 들어온 공격에는 Wazuh와 GuardDuty가 대응한다

IDC 서버 보안 강화를 위해 오픈소스 보안 플랫폼 Wazuh를 도입했어요. Lateral Movement 탐지, 로그 분석, 중앙화된 관리, 실시간 탐지가 한꺼번에 가능해졌죠. AWS 환경에서는 GuardDuty로 내부망 보안을 보강했어요. 제로트러스트 보안은 이 모든 층 위에 올라가는 최종 방어막이에요. 사용자와 단말의 접근이 항상 검증되고, 최소 권한만 유지되도록 하는 구조죠.

4년간의 보안 고도화 여정에서 핵심은 "한 번에 완벽한 체계를 만드는 건 불가능하다"는 인식이에요. 경계보안으로 시작해서 내부망, 컨테이너 런타임, 제로트러스트로 한 단계씩 확장해나간 점진적 접근이 오히려 가장 현실적인 전략이었던 셈이죠.