토스페이먼츠, 양자컴퓨터 대비 ‘차세대 암호’ 전면 적용

토스페이먼츠가 국내 금융·IT 업계 최초로 ‘양자내성암호’를 전면 도입했다. [토스]

[직썰 / 임나래 기자] 토스페이먼츠가 국내 금융·IT 업계 최초로 ‘양자내성암호(PQC, Post-Quantum Cryptography)’를 전면 도입했다고 3일 밝혔다.

토스페이먼츠는 결제 데이터가 생성·전송되는 전자결제 구간 전반에 PQC를 적용했다. 자체 데이터센터(IDC)와 클라우드(AWS) 환경을 포함한 인프라 전반에 구축을 완료했으며, 특히 가맹점과 이용자 간 핵심 접점인 결제창에도 이를 반영했다. 이에 따라 이용자는 별도 설정 없이도 양자 보안 환경을 자동으로 적용받게 된다.

크롬, 엣지, 사파리, 파이어폭스 등 PQC를 지원하는 최신 브라우저를 사용할 경우 결제 과정에서 해당 암호체계가 자동 활성화된다. 반대로 지원하지 않는 환경에서는 기존 암호화 방식이 유지돼 서비스 호환성은 유지하면서 보안 수준은 더욱 강화되는 구조다.

특히 금융 데이터는 장기간 가치가 유지되는 민감 정보인 만큼 장기적 보안 대응이 필수적이다. 이에 토스페이먼츠는 미국 국립표준기술연구소(NIST)가 표준화한 ‘ML-KEM’ 기반 하이브리드 키 교환 방식을 적용했다. 이는 기존 타원곡선 암호와 PQC를 결합해 현재와 미래 위협에 동시에 대응할 수 있도록 설계된 방식이다.

대규모 시스템 전환이 서비스 중단 없이 이뤄진 배경에는 기술 지원 조직인 TAM의 역할이 컸다. TAM은 가맹점별 환경에 맞춘 전환 가이드 제공과 레거시 시스템과의 호환성 검증을 수행하며 안정적인 적용을 지원해왔다. 

토스페이먼츠는 이번 적용을 통해 지난 수년간 진행해온 보안 고도화 작업을 마무리했다. 2022년 HTTP/3 도입, 2025년 TLS 1.3 전환에 이어 PQC까지 적용하며 글로벌 수준의 보안 인프라를 구축했다. 

신용석 토스페이먼츠 CISO는 “양자컴퓨팅의 발전은 금융 보안에 있어 새로운 도전이자 기회”라며 “가맹점과 이용자 모두가 신뢰할 수 있는 미래형 결제 환경을 구축해 나가겠다”고 말했다.