Toss Payments, 양자 컴퓨터 시대에 대비한 선제적 보안 강화

본문에 따르면, Toss Payments는 2030년경 상용화될 것으로 예상되는 양자 컴퓨터(Quantum Computer)의 등장에 따른 보안 위협에 대비하기 위해 PQC를 도입했다. 기존 암호화 방식인 RSA, ECDSA 등은 양자 컴퓨터의 강력한 연산 능력으로 인해 해독될 위험이 있다. 특히, 'Harvest Now, Decrypt Later' 공격과 같이, 현재 암호화된 데이터를 미래에 해독하는 공격은 금전적 손실을 야기할 수 있다. Toss Payments는 이러한 위협에 대응하기 위해 NIST 표준 PQC(Post-Quantum Cryptography)를 선제적으로 도입하여, 미래의 보안 환경 변화에 대비했다.

Toss Payments는 2022년부터 4년간 단계적인 보안 업그레이드를 진행했다. HTTP/3 도입을 시작으로, 취약한 TLS(Transport Layer Security) 암호화 방식 제거 및 TLS 1.3 완전 적용을 완료했다. 특히, 취약한 암호화 방식 제거 과정에서, 레거시 시스템을 사용하는 머천트(Merchant)들의 기술적 어려움을 해소하기 위해, 기술 지원(Technical Support) 및 개별 컨설팅을 제공했다. 이러한 노력은 보안 수준을 높이는 동시에, 머천트들의 서비스 중단을 최소화하는 결과를 가져왔다. 2026년에는 PQC를 도입하여, 미래의 보안 위협에 대한 대비를 완료했다.

Toss Payments는 수많은 머천트(Merchant)의 다양한 환경을 고려하여, 보안 업그레이드를 단계적으로 진행했다. HTTP/3 도입과 TLS 1.3 적용은 머천트 측의 별도 작업 없이 자동 적용되도록 설계했다. 취약한 암호화 방식 제거 시에는, TAM(Technical Account Manager) 팀을 통해 개별 머천트의 기술적 상황을 파악하고, 맞춤형 지원을 제공했다. 이러한 접근 방식은 머천트들의 서비스 중단을 최소화하고, 보안 수준을 점진적으로 향상시키는 데 기여했다. PQC 도입 역시, 머천트 측의 별도 설정 없이 최신 보안 기술을 적용할 수 있도록 설계되었다.

Toss Payments의 PQC 도입은 국내 금융 IT 업계에서 선도적인 사례로 평가받고 있다. PQC는 양자 컴퓨터의 공격에도 안전한 암호화 방식으로, 미래의 보안 위협에 대한 중요한 대비책이다. Toss Payments는 PQC 도입을 통해, 결제 시스템의 안전성(Security)을 강화하고, 고객의 신뢰를 더욱 높일 수 있게 되었다. 향후, PQC 기술의 발전과 함께, 지속적인 보안 업데이트 및 관리가 필요하며, 관련 기술 생태계와의 협력 또한 중요할 것이다. 또한, PQC 기술의 성능 및 효율성을 지속적으로 검증하고, 최적화하는 노력이 필요하다.