정부 마스터플랜보다 10년 앞선 선제적 행보, 자체 IDC 및 AWS 인프라 전면 적용
‘선수집·후복호화’ 공격 원천 차단해 장기적인 금융 결제 데이터 기밀성 확보

[보안뉴스 조재호 기자] 토스페이먼츠가 국내 금융·IT 업계에서 처음으로 결제 서비스 전 구간에 걸쳐 양자내성암호를 전면 도입했다. 정부의 양자 보안 마스터플랜보다 10년 앞서 ‘선 수집·후 복호화’ 공격 위험을 차단한 움직임이다.


비바리퍼블리카(토스)의 전자지급결제대행(PG) 계열사 토스페이먼츠가 국내 금융·IT 업계 최초로 ‘양자내성암호’(PQC·Post-Quantum Cryptography)를 전면 도입했다고 4월 3일 밝혔다. 양자내성암호는 양자컴퓨터의 압도적인 연산 능력으로도 해독할 수 없는 알고리즘 기반의 차세대 보안 암호 체계다.

토스페이먼츠는 결제 데이터가 생성되고 전달되는 모든 접점에 이 체계를 도입했으며, 자체 데이터센터(IDC)와 클라우드(AWS) 등 인프라 환경 전반에 걸친 적용을 완료했다. 사용자는 크롬, 엣지 등 최신 브라우저로 결제창에 접속 시 자동으로 활성화되는 방식을 통해 별도의 설정 변경 없이 이번 보안 조치를 받을 수 있다.

업계에서는 양자컴퓨터 상용화를 2030년대 중반으로 전망하고 있으나, 해커가 현재의 암호화된 통신 데이터를 미리 수집해 두었다가 향후 복호화하는 ‘선 수집·후 복호화’(Harvest Now, Decrypt Later) 공격 위험이 이미 도사리고 있다.

토스페이먼츠는 이러한 잠재적 위험을 차단하고자 미국 국립표준기술연구소(NIST)의 표준 알고리즘인 ‘ML-KEM’ 기반 하이브리드 키 교환 방식을 채택했다. 현재 국내 일부 은행과 거래소가 특정 가상사설망(VPN) 구간에 한정해 기술 검증(PoC)을 진행하는 것과 달리, 대고객 서비스와 연결된 전체 웹 및 API 서비스에 전면 적용한 사례는 업계 최초라는 것이 토스 측의 설명이다.

신용석 토스페이먼츠 CISO는 “양자컴퓨팅 기술의 발전은 금융 보안에 있어 거대한 도전이자 기회”라며 “가맹점과 소비자 모두가 안심하고 결제할 수 있는 미래형 보안 기준을 구축해 나갈 것”이라고 말했다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>