[FETV=임종현 기자] 토스페이먼츠가 양자컴퓨터 시대를 대비한 차세대 보안 체계를 결제 인프라 전반에 도입했다. 결제창과 API 등 대고객 서비스 구간 전체에 양자내성암호를 적용해 결제 데이터 보호 수준을 강화했다.

토스의 전자지급결제대행(PG) 계열사 토스페이먼츠는 국내 금융·정보기술(IT) 업계 최초로 양자내성암호(PQC)를 전면 도입했다. 양자내성암호는 양자컴퓨터의 연산 능력으로도 해독이 어려운 수학 알고리즘 기반의 차세대 암호 체계다.

토스페이먼츠는 결제 데이터가 생성·전달되는 전자결제 서비스 전 구간에 해당 기술을 적용했다. 자체 데이터센터(IDC)와 클라우드(AWS) 환경을 포함해 가맹점과 소비자 접점인 결제창까지 적용 범위를 확대했다. 사용자는 별도 설정 없이 자동으로 양자 보안이 적용된다.

양자내성암호를 지원하는 최신 브라우저 이용 시 서버와 통신 과정에서 자동으로 해당 기술이 활성화된다. 지원하지 않는 환경에서는 기존 암호 체계를 병행 적용하는 하이브리드 방식으로 서비스 호환성도 유지했다.

이번 도입은 ‘선수집·후복호화(Harvest Now, Decrypt Later)’ 공격 대응에 초점을 맞췄다. 해커가 현재 암호화 데이터를 수집한 뒤 향후 양자컴퓨터로 복호화하는 위협을 차단하기 위한 조치다. 토스페이먼츠는 미국 국립표준기술연구소(NIST) 표준 알고리즘인 ML-KEM 기반 하이브리드 키 교환 방식을 적용했다.

토스페이먼츠는 이번 적용이 정부의 양자내성암호 전환 계획보다 약 10년 앞선 선제적 대응이라고 설명했다. 일부 금융사가 제한 구간에서 기술 검증을 진행 중인 가운데 대고객 웹 서비스와 API 전 구간에 적용한 사례는 업계 최초라는 설명이다.

토스페이먼츠는 앞서 HTTP/3 도입과 TLS 1.3 전면 적용에 이어 양자내성암호까지 적용하며 보안 인프라 고도화를 이어왔다. 신용석 토스페이먼츠 CISO는 “가맹점과 소비자가 안심하고 결제할 수 있는 미래형 보안 기준을 구축해 나가겠다”고 말했다.