토스페이먼츠가 양자·AI 시대 보안을 준비하는 방법
Source: Byline Network
결제 보안의 기준은 ‘멈추지 않는 신뢰’
전자지급결제대행(PG)사의 보안 책임은 결제 과정 전체에 걸쳐 있다. 고객이 결제창에서 인증하고, 가맹점과 결제사가 거래 정보를 주고받으며, 승인·정산으로 이어지는 모든 흐름이 보안의 대상이다.
신 CISO는 결제 보안의 기준을 기밀성·무결성·가용성 원칙으로 설명한다.
- 기밀성: 결제 정보가 외부로 새지 않도록 보호
- 무결성: 결제 금액·대상·거래 정보가 중간에 변조되지 않도록 보장
- 가용성: 고객·가맹점이 필요할 때 결제 서비스를 정상적으로 이용할 수 있도록 보장
세 가지 모두가 중요하다. 가용성 문제가 발생하거나 도용·무결성 침해가 일어나면 고객·가맹점 모두 피해를 입는다. 신 CISO는 “편리함과 안전함이라는 두 마리 토끼를 동시에 잡는 것이 중요하다”며, 보안을 지나치게 강조해 사용자가 불편함을 느끼면 서비스 이용이 저조해질 수 있다고 경고한다.
PQC, 결제창부터 인프라까지 적용
양자내성암호(PQC)는 양자컴퓨터가 발전하면 현재 널리 쓰이는 공개키 기반 암호 체계를 뚫을 위험이 있기 때문에 금융권에서 전환 논의가 가속화되고 있다.
- 전환 시점: 2024년 4월, 토스페이먼츠는 결제 데이터가 생성·전달되는 전자결제 서비스 접점에 PQC 체계를 도입했다.
- 적용 범위: 자체 데이터센터(IDC), AWS 등 인프라 전반, 그리고 가맹점·소비자가 직접 마주하는 결제창 전면.
- 동작 방식: 최신 브라우저(Chrome, Edge, Safari, Firefox 등)에서 PQC를 지원하면 서버와의 통신 과정에서 자동 활성화. 지원하지 않는 환경은 기존 암호화 체계 사용 – 하이브리드 방식.
토스페이먼츠는 NIST 표준 알고리즘 ML‑KEM 기반 하이브리드 키 교환 방식을 채택했다. 기존 타원곡선 암호와 양자내성 알고리즘을 동시에 사용해 현재 보안성과 미래 양자 위협 대응을 모두 고려한다.
전환은 갑작스러운 작업이 아니다. 2022년 → 2025년 사이에 다음과 같은 보안 프로토콜 고도화를 단계적으로 진행했다.
| 연도 | 주요 도입·업그레이드 |
|---|---|
| 2022 | 전자지급결제업계 최초 HTTP/3 도입 |
| 2022‑2025 | 취약한 암호 조합 지속 제거 |
| 2022‑2025 | TLS 1.3 전면 도입 |
신 CISO는 “언젠가 해야 할 일이라면, 지금 하는 게 맞다”고 강조한다. 양자컴퓨터가 실제 위협이 될 시점은 전문가마다 다르지만, 2035년을 기준으로 조기에 대비하는 것이 중요하다는 메시지를 전한다.
현실적인 위협: ‘선수집·후복호화(HNDL)’ 공격
공격자는 현재 암호화된 데이터를 미리 탈취해 두고, 양자컴퓨터가 충분히 발전하면 나중에 해독한다. 결제·금융 데이터는 시간이 지나도 민감성이 유지되므로, PQC 도입은 이러한 공격을 원천적으로 차단하는 효과가 있다.
미토스 이후, 취약점 점검 주기 월 1회로 단축 추진
AI 기반 공격이 급증하면서 취약점 탐지·패치 주기를 단축해야 할 필요성이 커졌다. 신 CISO는 특히 Anthropic의 Claude Mythos Preview가 보여준 “AI가 취약점을 찾아내고 이를 공격에 바로 활용할 수 있는 속도”에 주목한다.
- 현재 계획: 연 4회에서 월 1회 수준으로 취약점 점검 주기를 확대한다.
- 배경: AI가 빠르게 새로운 취약점을 발견·악용 도구를 생성함에 따라, 기존 3개월 주기의 점검으로는 충분치 않다.
하지만 빠른 패치는 결제 가용성과 충돌할 수 있다. 금융 서비스에서는 패치 하나가 실제 장애로 이어질 위험이 있기 때문에 충분한 테스트가 필요하다. 신 CISO는 “AI 시대에는 빠른 패치에 더 방점을 찍어야 한다”고 강조한다.
CISO의 이사회 보고 빈도도 늘릴 것
보안 거버넌스는 이제 실무 부서만의 문제가 아니다. 개인정보 유출·해킹·서비스 장애는 기업 신뢰와 직결된다. 따라서 CISO는 기술 관리자를 넘어 경영진·이사회에 위험을 설명하는 역할이 확대되고 있다.
- 목표: 2025년 최소 두 차례 이사회 보고를 진행한다.
- 보고 내용: 구체적 기술보다 정보보호·개인정보보호 전략 등 큰 방향성.
신 CISO는 “이사회가 거버넌스의 중심이 돼야 한다”는 메시지가 여러 부처에서도 나오고 있다고 언급한다. 또한, 개인정보 영향평가를 민간 기업이 자발적으로 수행하는 사례를 강조하며, 예방 중심 보안과 개인정보보호 체계 구축을 확대하고자 한다.
결론 및 향후 과제
토스페이먼츠의 2025년 보안 과제는 기술 도입보다 운영 체계와 책임성을 강화하는 데 초점이 맞춰져 있다.
- PQC 도입 – 양자 위협에 대비한 암호 체계 전환
- 취약점 점검 주기 단축 – AI 기반 공격에 대응하기 위한 월 1회 스캔
- 이사회 보고·거버넌스 강화 – 보안·개인정보 전략을 경영진 수준에서 공유
- 개인정보 영향평가 – 자발적 수행을 통한 예방 중심 보안 실천
신 CISO는 “토스페이먼츠가 노력하는 과정을 통해 국내 금융사는 물론, 기업의 사이버보안 거버넌스가 조금 더 발전할 수 있도록 모범적인 역할에 충실하겠다”고 강조한다. PQC, 개인정보 영향평가, 이사회 거버넌스, 취약점 스캔 주기 단축 같은 성과가 다른 기업에도 확산되길 기대한다.
