토스페이먼츠가 보안 시스템에 ‘양자내성암호’를 도입했다. ‘선수집·후복호화’ 공격을 원천 차단해 금융 데이터의 기밀성을 확보할 수 있는 보안 기술이다.
비바리퍼블리카(토스)의 전자지급결제대행(PG) 계열사 토스페이먼츠(대표 임한욱)는 3일 "국내 금융 및 정보기술(IT) 업계 최초로 결제창 전면에 양자내성암호를 도입했다"고 발표했다.
‘양자내성암호(PQC, Post-Quantum Cryptography)’는 양자컴퓨터의 압도적인 연산 능력으로도 해독할 수 없는 복잡한 수학 알고리즘 기반의 차세대 보안 암호 체계를 말한다. 양자컴퓨터는 양자역학적 원리를 활용해 이론상 기존 슈퍼컴퓨터가 수천 년 걸릴 난제를 단 몇 초 만에 해결할 것으로 기대되는 혁신적인 컴퓨팅 기술이다.
토스페이먼츠 관계자는 "결제 데이터가 생성되고 전달되는 전자결제서비스 접점에 양자내성암호 체계를 도입했다"며 "가맹점과 소비자 사이의 핵심 접점인 결제창 전면에 도입한 것이 특징이다"고 했다.
토스페이먼츠는 자체 데이터센터(IDC)와 클라우드(AWS) 등 인프라 환경 전반에 걸쳐 적용을 이미 마쳤다고 했다. 사용자는 별도의 기술적 대응이나 설정 변경 없이도 최고 수준의 '양자 보안' 혜택을 즉시 누릴 수 있다는 설명이다.
크롬, 엣지, 사파리, 파이어폭스 등 양자내성암호를 지원하는 최신 브라우저로 토스페이먼츠 결제창에 접속하면 서버와의 통신 과정에서 양자내성암호가 자동으로 활성화 되는 방식이다. 아직 이 기술을 지원하지 않는 환경에서도 기존의 검증된 암호화 체계가 그대로 적용되기 때문에 결과적으로 서비스 호환성을 유지하면서도 보안 성능은 더욱 강화된다.
보안 업계에서는 양자컴퓨터 상용화 시점을 2030년대 중반으로 전망하고 있다. 하지만 양자컴퓨터의 위협은 이미 시작되었다고 보는 것이 업계의 중론이다. 해커가 현재의 암호화된 통신 데이터를 미리 수집해두었다가 향후 양자컴퓨터가 보급되는 시점에 이를 복호화하는 이른바 ‘선수집·후복호화(Harvest Now, Decrypt Later)’ 공격 위험에 이미 노출되어 있기 때문이다.
특히 카드 정보, 거래 내역 등 금융 데이터는 수십 년이 지나도 가치가 유효한 민감 정보이기에 장기적인 기밀성 보호가 필수적이다. 토스페이먼츠는 이러한 잠재적 위험을 원천 차단하기 위해 미국 국립표준기술연구소(NIST)의 표준 알고리즘인 ‘ML-KEM’ 기반 하이브리드 키 교환 방식을 채택했다. 기존 타원 곡선 암호화 방식과 양자내성 알고리즘을 결합해 현재와 미래의 위협에 동시 대응하는 고도화된 방식이다.
토스페이먼츠 신용석 CISO는 “양자컴퓨팅 기술의 발전은 금융 보안에 있어 거대한 도전이자 기회”라며, “토스페이먼츠는 업계의 리더라는 막중한 책임감을 바탕으로, 가맹점과 소비자 모두가 안심하고 결제할 수 있는 ‘미래형 보안’ 기준을 구축해 나갈 것”이라고 말했다. /100c@osen.co.kr
