토스페이먼츠가 클라우드 보안에 접근하는 방법

By홍하나

“업계에 보안팀과 데브옵스(DevOps)팀이 사이가 안 좋아야 (보안을) 잘 하는 것이라는 우스갯소리가 있다. 토스페이먼츠도 이런 갈등의 선상에서 자유롭진 않았다. 같은 회사에서 상충되어 보이는 두 팀이 균형을 유지하는 방법이 무엇일지 많은 고민을 했다.”

오대진 토스페이먼츠 시큐리티 리서처는 11일 서울 강남구 코엑스 그랜드볼룸에서 열린 ‘AWS 인더스트리 위크’에서 이같이 밝히고 클라우드 보안 방안을 소개했다. 

토스페이먼츠는 지난 2020년 8월 출범한 지급결제대행(PG) 회사다. 토스가 LG유플러스의 PG사업부를 인수한 것이 그 시작이다. 토스페이먼츠는 출범 당시부터 클라우드를 활용했다. 그러나 3년간 조직과 시스템, 성장 규모가 급격히 커지면서 토스페이먼츠에게도 과제가 생겼다. 

모회사인 토스가 성장을 중요시하는 만큼 토스페이먼츠의 보안 팀의 고민은 깊어졌다. 보안을 잘 하려면 최대한 통제하는 것이 유리하기 때문에 애자일(Agile) 업무 방식과 종종 마찰을 일으켰다. 

이런 고민을 할 때쯤 아마존웹서비스(AWS)가 토스페이먼츠에 SIP 프로그램을 추천했다. AWS의 SIP는 보안 향상 프로그램(Security Improve Program)으로, 보안 거버넌스와 관련된 전체적인 라이프 사이클 예방, 탐지, 교정 등을 개선하는 것을 목적으로 한다. 

오대진 리서처는 “클라우드 보안의 큰 그림을 그리는 계기가 마련됐다”며 “SIP를 통해 클라우드 보안 수준을 파악하는 것을 시작으로 데브옵스 팀과 보안팀의 방향성을 맞추기로 했다”고 말했다. 

SIP 프로그램은 크게 네 단계로 진행된다. 먼저 토스페이먼츠의 클라우드 보안 수준을 파악하고(현황 파악), 데브옵스 조직과 보안팀의 방향성을 조정(방향성 조정), 클라우드 인프라 가시성을 확보하고 보안을 모니터링(가시성/모니터링), 증가하는 공격 표면에 대응하기 위한 보안 자동화(자동화)를 거친다. 

토스페이먼츠가 가장 먼저 한 것은 보안 서비스를 목록화해서 우선순위를 정하는 작업이었다. 그 결과 우선순위가 가장 높았던 것은 AWS 실드(AWS Shield)와 AWS 웹방화벽(WAF)이었다. 회사는 선택과 집중에 따라 필요한 것에 우선 집중하기로 했다. 

또 싱글 어카운트(Single Account)였던 토스페이먼츠 계정을 멀티(Multi) 어카운트로 나눴다. 설계단계부터 보안을 적용했다. 필요없는 항목을 과감하게 배제하는 이점이 있다. 

AWS WAF는 트래픽이 유입되는 전 구간에 설치해 운영했다. 이는 가맹점으로 유입되는 공격을 막을 때 도움이 됐다. 

오 리서처는 “이런 형태의 공격이 모니터링 된다면 가맹점에게 해커의 공격을 메일로 알리고, 추가로 보안 가이드라인을 제시함으로써 가맹점의 보안도 성숙해지는 효과가 있다”고 설명했다. 

아울러, 토스페이먼츠는 향후 보안 과제로 자동화를 꼽았다. 오 리서처는 “공격자는 5분 만에 클라우드 침해를 끝내는데, 보안을 분석하고 감지하는데는 많은 시간이 허비되어 공격을 피하지 못한다”며 “사이버 공격 침해에 대응하고 관리하기 위해 자동화는 필수적인 요소”라고 강조했다. 

특히 회사 측은 취약점을 단순 조치하는 것에서 끝내는 것이 아니라, 원인을 분석하고 재발하지 않도록 하는 것이 최종 목표라고 말했다. 이에 토스페이먼츠는 보안 자동화 파이프라인을 실시간, 배치성에 따라 관리한다. 

내외부 위협에 의한 대응, 시나리오 기반을 통한 자동 알림 등 비즈니스에 직접적으로 영향이 갈 수 있는 부분을 자동화로 구현했다. 배치성의 경우 파이썬 언어에서 사용할 수 있는 AWS 소프트웨어개발키트(SDK)인 boto3를 이용해 리소스 변경 추적, 리소스 변경 시 취약점 진단수행 등을 처리하고 있다. 

토스페이먼츠는 전체 계정의 로그를 이용해 다양한 시나리오를 만들어 운영하고 있다. 시나리오에 기반한 데이터가 충분히 쌓일 경우 보안팀은 데이터를 기반으로 한 의사결정을 할 수 있다. 데이터 빈도에 따라 조치 우선순위를 정할 수 있는 것도 이점이다. 이때 시나리오는 주기적으로 갱신을 해야 하며, 이 데이터를 바탕으로 클라우드 보안 정책을 만들어야 한다.

끝으로 토스페이먼츠는 보안성을 향상하기 위해 회사 내 보안에 대한 인식과 문화 개선, 보안 담당자의 클라우드에 대한 높은 이해가 수반되어야 한다고 당부했다. 

오 리서처는 “효율성과 보안성을 함께 가져가려면 보안팀에서 보안에 대한 정의를 새롭게하고 그 정의를 바탕으로 조직 내 문화를 개선해야 한다”고 강조했다. 이어 “보안 담당자가 본인 업무가 클라우드 보안이 아닐지라도 (학습) 과정이 필요하다”며 “이 두 가지가 조직 내에 잘 정착될 경우 보안의 성숙도 또한 함께 올라갈 것”이라고 덧붙였다. 

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network

작은 것이라도 지나치지 않겠습니다. 0626hhn@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다