양자컴퓨터 시대에 대비한 양자내성암호 적용, 왜 10년 먼저 서비스에 적용했을까?
토스테크 독자 여러분, 안녕하세요. 토스페이먼츠 Head of Technology 하태호입니다.
레거시 개편 시리즈를 연재하면서, 많이 들었던 질문이 있습니다.
"20년 레거시를 개편하면서 가장 어려웠던 것은 무엇이었나요?"
기술적으로 어려운 과정이 많지 않았냐는 질문이 많았습니다.
힘들고 어려운 순간도 많았지만, 개편에 참여한 엔지니어분들의 깊은 고민과 헌신으로 불가능해 보이는 개선 작업을 하나씩 해내 주셔서 많은 부분을 개선할 수 있었습니다.
하지만 진짜 어려운 건 수만 개 가맹점과 보조를 맞추면서 보안 수준을 올리는 일이었습니다.
오늘은 오랜 기간에 걸쳐 진행된 보안 프로토콜 고도화, 그리고 그 여정의 최종 결과물인 양자내성암호(Post-Quantum Cryptography) 도입 이야기를 하려고 합니다.
기존의 관성 깨기
Mission Critical한 결제 서비스를 오래 운영하다 보면, 조직에 자연스럽게 자리 잡는 불문율이 하나 있습니다.
"돌아가면 건들지 마라. 장애가 나면 안 된다."
안정성을 지키기 위한 보수적 원칙입니다. 다만 이 원칙은 변경의 성격에 따라 다르게 작동합니다. 영향 범위가 좁고 되돌리기 쉬운 개선은 평소에도 활발히 진행되지만, 파급 범위가 넓고 문제가 생겼을 때 빠른 복구가 어려운 변경 앞에서는 "굳이 지금 건드려야 하는가?"라는 망설임이 자연스럽게 따라붙습니다.
보안 프로토콜이 바로 이 관성이 가장 강하게 작동하는 영역입니다. TLS 버전을 올리거나, 취약한 Cipher Suite를 제거하거나, 새로운 암호화 방식을 도입하는 일 — 교과서적으로는 당연히 해야 할 일이지만, 한 번 손을 대면 수만 개 가맹점의 결제 시스템이 영향권에 들어옵니다. 문제가 생겨도 트러블슈팅이 간단하지 않기에, 변화를 만드는 일에는 두려움이 따를 수밖에 없습니다.
조금 더 구체적으로 들여다보면 이렇습니다. 토스페이먼츠는 PG 시스템을 연동한 지 수십 년이 된 가맹점과도 여전히 함께하고 있습니다. 이렇게 오래된 연동일수록 가맹점 서버의 기술 스택이 낙후된 경우가 많습니다. 웹 브라우저는 사용자가 인지하지 못하는 사이에도 자동으로 업데이트되며 최신 보안 정책을 지원하지만, 토스페이먼츠 API를 호출하는 쪽은 대부분 서버 사이드 프로그램입니다. 구축된 지 오래된 서버 위에서 돌아가는 프로그램에 최신 보안 정책을 적용하는 일은, 생각만큼 간단하지 않습니다.
안내 문서를 전달하는 일도 만만치 않습니다. 보안 기술에 친숙한 개발자가 많지 않다 보니, 잘 정리된 기술 문서를 드려도 가맹점에서 그 의미를 정확히 이해하고 필요한 작업을 수행하기까지는 많은 시간이 필요합니다. 전담 개발팀 없이 사장님 한 분이 운영하시는 가맹점도 적지 않은데, 기술 용어로 가득한 보안 개선 요청을 받아 직접 대응하시기란 결코 쉬운 일이 아닙니다.
PG사의 시스템은 수만 개 가맹점과 SDK, API 연동으로 연결되어 있습니다. 가맹점이 토스페이먼츠의 API를 호출하고, 결제창을 띄우고, 서버와 통신하는 그 모든 접점 하나하나가 보안의 경계선입니다. 아무리 최신 보안 기술을 도입하더라도, 단 몇 곳이 구형 환경에 남아 있으면 그 구간의 보안은 절반짜리가 됩니다.
그래서 보안 프로토콜 개선은 토스페이먼츠 혼자서 완성할 수 있는 숙제가 아니었습니다. 우리에게도, 가맹점에도 부담인 일이기에 관성에 밀리기 가장 쉬운 영역이기도 했습니다.
그래도 바꿔야 하는 이유
하지만 보안은 "지금 괜찮으니까 괜찮다"가 통하지 않는 영역입니다. 특히 지금은, 우리가 당연하게 써 오던 암호화 기술의 전제 자체가 흔들리기 시작한 시점이기도 합니다.
양자컴퓨터, 들어보셨나요?
뉴스에서 한 번쯤 들어 보셨을 단어일 텐데요. 양자컴퓨터는 우리가 지금 쓰는 컴퓨터와 계산 방식 자체가 근본적으로 다르다고 합니다. 일반 컴퓨터는 0과 1의 조합을 하나씩 순서대로 계산하지만, 양자컴퓨터는 양자역학 원리를 이용해 여러 가능성을 동시에 탐색할 수 있습니다. 그래서 일반 컴퓨터가 수만 년을 계산해야 풀 수 있는 문제를, 양자컴퓨터는 몇 시간 만에 끝낼 수 있을것으로 전망되고 있습니다.
이 어마어마한 계산 능력은, 오늘날의 암호 체계에 근본적인 위협이 됩니다.
왜 지금의 암호가 깨지는가
우리가 매일 쓰는 암호화 — 은행 앱, 결제창, HTTPS — 대부분은 RSA나 ECDSA 같은 공개키 알고리즘 위에서 동작합니다. 이 알고리즘이 안전한 이유는 의외로 단순합니다. "아주 큰 수를 소인수분해하거나, 타원곡선 위의 특정 값을 거꾸로 찾아내는 계산은 일반 컴퓨터로는 사실상 불가능하다"는 전제 덕분입니다. 수학적으로 답은 존재하지만, 현대의 컴퓨터로는 아주 오랜 시간이 걸리기 때문에 "현실적으로 안전하다"고 간주해 온 것입니다.
그런데 양자컴퓨터에는 이 문제를 빠르게 푸는 알고리즘이 이미 수학적으로 증명되어 있습니다. 충분한 규모의 양자컴퓨터가 만들어지는 순간, 지금까지 ‘아주 오랜 시간을 사용해야 풀리는 자물쇠’였던 RSA와 ECDSA는 ‘쉽게 열리는 자물쇠’가 됩니다. 단순한 기술 트렌드의 변화가 아니라, 지난 수십 년간 쌓아 올린 디지털 보안의 기반 자체가 흔들리는 사건입니다.
Q-Day, 그리고 ‘선수집·후복호화’
IBM, Google, IONQ 등 글로벌 기업들은 2030년을 목표로 실용 수준의 양자컴퓨터를 개발하고 있습니다. 보안 전문가들은 현재의 암호 체계가 깨지는 그 시점을 ‘Q-Day’라고 부릅니다.
아직 오지 않은 미래의 일처럼 느껴지지만, 위협은 이미 지금부터 시작되고 있습니다. 가장 대표적인 시나리오가 바로 ‘선수집·후복호화(Harvest Now, Decrypt Later)’ 공격입니다.
[현재] 해커가 암호화된 결제 데이터를 수집
↓ (지금은 못 풀어도 일단 저장해둠)
[2030년대] 양자컴퓨터로 저장된 데이터를 복호화
↓
[결과] 2026년의 결제 데이터가 유출됨지금 오가는 암호화 통신을 누군가 몰래 가로채 보관해 두었다가, 양자컴퓨터가 상용화되는 시점에 한꺼번에 풀어 보는 공격입니다. 결제 데이터처럼 장기간 가치가 유지되는 정보는 특히 이 공격의 주요 타깃이 됩니다. 2026년 오늘 오간 데이터가, 2033년 어느 날 풀려 버릴 수 있다는 뜻입니다.
‘지금 안전한 것’과 ‘앞으로도 안전한 것’은 완전히 다른 이야기입니다. 나중에 뚫릴 수 있는 상태를 지금 방치하는 것은, 보안 위협을 오늘 방치하고 있다는 의미와 같습니다.
4년간의 보안 프로토콜 고도화 여정
그래서 토스페이먼츠는 2022년부터 보안 프로토콜 고도화를 단계적으로 진행해왔습니다. 한 번에 모든 것을 바꾸는 대신, 4년에 걸쳐 차근차근 다음의 단계를 밟아왔습니다.
단순한 기술 업그레이드의 나열처럼 보일 수 있습니다. 하지만 이 네 줄 뒤에는 ‘가맹점의 작업 시간을 최대한 배려하면서도, 보안 수준은 타협하지 않겠다’는 긴장감이 늘 있었습니다. 새로운 보안 기술을 빨리 적용하고 싶은 마음과, 그 변화가 수만 가맹점의 결제를 멈추게 할 수도 있다는 무게감 사이에서 매번 줄타기를 해 왔다는 뜻입니다.
각 단계가 어떤 의미였고, 왜 이 순서로 진행했는지 하나씩 풀어서 말씀드리겠습니다.
HTTP/3 도입 (2022) — 첫 단추, 가장 쉬운 길부터
여정의 출발점은 HTTP/3 도입이었습니다. HTTP/3는 웹에서 데이터를 주고받는 최신 통신 규약입니다. 속도가 더 빠르고, 네트워크가 불안정한 상황에서도 안정적으로 동작하도록 설계되어 있습니다. 그리고 무엇보다 중요한 건, HTTP/3는 TLS 1.3을 반드시 사용하도록 만들어져 있다는 점입니다. 즉, HTTP/3를 켜는 것만으로 최신 보안 프로토콜까지 함께 따라오는 구조입니다.
토스페이먼츠는 2022년, PG 업계 최초로 HTTP/3를 도입했습니다. 결제창의 응답 속도가 빨라지고, 보안 수준도 자연스럽게 올라갔습니다. 가맹점 입장에서 가장 좋았던 점은 별다른 작업이 필요없다는 것이었습니다. 구매자가 쓰는 웹 브라우저(Chrome, Safari, Edge 등)가 알아서 최신 규약을 선택하기 때문에, 가맹점은 그저 평소처럼 토스페이먼츠 결제창을 연동해 두기만 하면 혜택이 자동으로 적용됐습니다.
HTTP/3 도입은 가맹점에 부담을 전혀 주지 않는 개선이었기에, 4년 여정의 첫 단추로 적합했습니다. 이후 진행할 더 어려운 작업들의 기반을 마련한 셈입니다.
취약한 Cipher Suite 지속 제거 (2022~2025) — 가장 길고 고된 3년
네 단계 중 가장 길고, 가장 힘들었던 작업입니다. 왜 그랬는지 이해하려면 ‘Cipher Suite’가 무엇인지 먼저 짚고 가야 합니다.
Cipher Suite란? 서버와 클라이언트가 암호화 통신을 시작할 때, "우리 어떤 방식으로 암호를 걸까?"를 합의하는 알고리즘 조합표라고 생각하시면 됩니다. 자물쇠를 여러 종류 준비해 놓고, 양쪽이 모두 가지고 있는 가장 튼튼한 자물쇠를 골라 쓰는 방식입니다. 그런데 시간이 지나면 어떤 자물쇠에 결함이 발견되기도 합니다. 한때 안전하다고 여겨졌던 알고리즘이 연구자들의 분석으로 뚫리는 일이 주기적으로 일어나는데, 그때가 되면 해당 Cipher Suite는 ‘취약한 조합’으로 분류되어 제거해야 합니다.
문제는 가맹점 서버에 있었습니다. 오래 전에 구축된 가맹점 서버 중에는 최신 Cipher Suite는 지원하지 않고, 하필이면 그 취약한 조합만 지원하는 경우가 있었습니다.
# 이런 상황이 발생합니다
가맹점 서버: TLS_RSA_WITH_AES_128_CBC_SHA (취약)만 지원
토스페이먼츠: 해당 Cipher Suite 제거 예정
→ 제거하면 해당 가맹점의 결제가 멈춥니다
→ 제거하지 않으면 모든 가맹점이 위험에 노출됩니다당연해 보이는 선택지는 두 가지였습니다.
둘 다 받아들일 수 없는 선택이었습니다. 그래서 우리는 세 번째 길을 만들었습니다.
바로 ‘단계적 제거 + 개별 지원’입니다. 가맹점마다 어떤 Cipher Suite를 쓰는지 하나하나 분석하고, 취약한 조합을 사용하는 가맹점에만 6개월에서 1년 전부터 개별 안내를 시작했습니다. 기술 지원 문서를 정비하고, 업데이트 방법을 가맹점 환경에 맞춰 구체적으로 안내하고, 필요한 경우에는 직접 기술 컨설팅까지 제공했습니다. 그리고 충분한 유예 기간이 지난 후에야, 해당 Cipher Suite를 실제로 제거했습니다.
이 세 번째 길의 최전선에는 TAM(Technical Account Manager) 팀이 있었습니다. 가맹점에 일일이 연락해 기술 상태를 파악하고, 보안 개념에 익숙하지 않은 사장님께는 쉬운 말로 상황을 설명드리고, 개발 인력이 있는 가맹점에는 구체적인 설정 값까지 안내하는 일 — 이건 엔지니어링만으로는 절대 불가능한 작업입니다. TAM 팀이 가맹점과의 접점에서 묵묵히 이 작업을 3년 넘게 이어와 주신 덕분에, 결제가 멈추는 일 없이 취약한 조합을 하나씩 걷어낼 수 있었습니다.
TLS 1.3 전면 도입 (2022~2025) — 더 강한 채널을, 조용히 기본값으로
TLS는 인터넷 통신의 암호화를 담당하는 핵심 규약이고, 버전이 올라갈수록 더 안전하고 더 빨라집니다. 현재 업계에서 "안전하다"고 여겨지는 TLS의 최소 버전은 1.2 이상입니다. 토스페이먼츠도 TLS 1.2를 최소 기준으로 운영하고 있습니다.
그런데 최소 버전이 1.2라고 해서, TLS 1.3을 적용하지 않을 이유는 전혀 없습니다. 오히려 둘 다 지원하는 게 정답입니다. 하나의 엔드포인트에서 TLS 1.2와 1.3을 동시에 서비스할 수 있고, 더 강화된 TLS 1.3을 지원하는 클라이언트는 자동으로 더 안전한 채널을 선택합니다. 구형 클라이언트는 기존처럼 1.2를 쓰면 되기 때문에, 기존 가맹점에 아무런 변경을 강제하지 않으면서도 전체 보안 수준을 끌어올릴 수 있는 기회였습니다.
그래서 2022년부터 엔드포인트별로 하나씩 TLS 1.3을 켜기 시작했고, 2025년에 이르러서는 모든 엔드포인트가 TLS 1.3을 지원하게 되었습니다. 최신 환경을 쓰는 가맹점과 구매자는 별다른 조치 없이 자동으로 더 높은 수준의 보안 채널을 사용하게 되었습니다.
Cipher Suite 제거와 TLS 1.3 전면 도입을 수년에 걸쳐 진행하며, 우리는 한 가지를 분명히 배웠습니다. 수만 개 가맹점의 보안 수준을 함께 끌어올리는 일은, 생각보다 훨씬 더 오래 걸린다는 것입니다. 기술을 서버에 적용하는 것 자체보다, 가맹점의 환경에 맞춰 전환을 돕고 기다리는 시간이 훨씬 길었습니다. 그래서 보안 프로토콜 개선은 가능한 한 선제적으로 시작하고, 가맹점에게는 충분한 전환 시간을 보장해 주는 접근이 반드시 필요하다는 결론에 이르렀습니다.
양자내성암호 도입 (2026) — 미리 준비해 둔 미래
이러한 저희의 경험이 양자내성암호를 선제 도입해야한다는 판단에 중요한 고민 포인트가 되었습니다.
"다음 통신 보안 개선 기회가 온다면, 이번에는 더더욱 미리 준비해 두자."
지난 3년간의 경험이 남긴 판단이었습니다. 그리고 마침 그 ‘다음 기회’가 양자컴퓨터 시대를 대비한 양자내성암호 라는 형태로 다가왔습니다. 양자컴퓨터는 아직 상용화되지 않았지만, 앞서 말씀드린 ‘선수집·후복호화’ 공격처럼 그 위협은 이미 지금부터 시작되고 있습니다. 10년 뒤를 대비한다면, 준비는 오늘부터 시작해야 한다는 뜻입니다.
토스페이먼츠는 2025년부터 양자내성암호 적용 작업을 본격적으로 준비했습니다. 그리고 2026년 4월 도입을 완료했습니다. 4년에 걸친 보안 프로토콜 고도화 여정의 마지막 단추이자, 앞으로 다가올 10년을 위한 첫 단추가 끼워진 순간이었습니다.
토스페이먼츠는 TLS 1.3 도입때와 같이 더 강화된 보안 통신 채널을 사용할 수 있는 클라이언트는 자동으로 더 안전한 채널을 선택할 수 있도록 합니다.
가맹점 입장에서 달라지는 건 없습니다. 별도의 설정도, 업데이트도 필요하지 않습니다. 가맹점의 부담을 최소화하면서, 높은 수준의 보안을 기본값으로 제공합니다
함께 만든 결과
이 구조를 실제 서비스에 안정적으로 올리는 일은, 어느 한 팀의 힘만으로는 불가능했습니다. 여러 팀이 각자의 자리에서 합을 맞춰 주셨습니다.
토스페이먼츠는 정부가 추진 중인 '양자내성암호 전환 마스터플랜'의 국가적 취지에 공감하고 있는데요, 세 팀의 멋진 협업 덕분에 토스페이먼츠는 민간 결제 생태계의 안전을 위해 선제적인 기술 실증을 완료했습니다. 이는 2035년으로 예정된 국가적 전환기에 앞서 민간 차원의 연용성 테스트와 보안 가이드를 미리 확보했다는 점에서 큰 의미가 있습니다.
왜 10년을 내다보는가
여기까지 읽으신 분들은 자연스럽게 드는 의문이 있으실 겁니다. "아직 양자컴퓨터가 상용화되지도 않았는데, 왜 이렇게까지 서둘러 도입했을까?"
그 답은 지난 4년의 여정 그 자체에 있습니다.
수만 가맹점과 발을 맞춘다는 것
토스페이먼츠에는 구매자가 사용하는 웹 브라우저뿐만 아니라, 수십 년간 쌓아온 가맹점과의 API 연동이 있습니다. 이 API를 호출하는 가맹점의 서버 환경은 우리가 생각하는 것보다 훨씬 다양하고, 그중에는 오래되어 쉽게 바꾸기 어려운 환경도 많습니다. 앞선 Cipher Suite 정리와 TLS 1.3 도입 3년이 그 사실을 분명히 보여 주었습니다.
더 높은 보안 수준을 미리 준비해야, 가맹점의 작업 시간을 배려할 수 있다.
이게 지난 4년의 경험에서 얻은 결론입니다.
보안 이슈가 임박해서야 움직이면, 가맹점에게 "당장 업데이트하셔야 합니다."라고 말해야 합니다. 그건 가맹점의 개발 로드맵을 뒤흔드는 일이고, 결제 생태계 전체를 위험하게 만드는 일입니다. 반대로 10년을 내다보고 지금부터 준비하면, 이야기가 완전히 달라집니다.
4년의 여정이 말하는 것
지난 4년의 흐름을 다시 한 줄로 펼쳐 보면 이렇습니다.
HTTP/3 선제 적용 → 취약한 Cipher Suite 정리 → TLS 1.3 전면 도입 → 양자내성암호 도입.
각 단계는 단순한 ‘기술 업그레이드’가 아니었습니다. Infra Team, Server Platform Team, TAM Team이 함께 수만 가맹점과 그 뒤의 수천만 소비자를 위해, 10년 뒤의 안전을 오늘부터 조용히 준비해온 시간이었습니다.
레거시 개편 시리즈를 시작하면서 말씀드렸던 것처럼, 우리는 "결제는 원래 불편하고 어려운 거야"라는 고정관념에 도전하고 있습니다. 보안도 마찬가지입니다. 가맹점이 의식하지 않아도, 최고 수준의 보안이 이미 기본값으로 적용되어 있는 세상 — 이것이 우리가 만들고 싶은 모습입니다.
다음에도 새로운 위협은 반드시 올 것입니다. 그리고 우리는 그때도 또 미리 준비할 것입니다. 멈춰 있던 PG의 시간은, 통신 보안 영역에서도 다시 흐르고 있습니다.
토스페이먼츠는 2026년 4월 3일, 국내 금융·IT 업계 최초로 NIST 표준 양자내성암호(PQC)를 결제 서비스에 도입했습니다. (관련 기사)
