토스페이먼츠가 양자·AI 시대 보안을 준비하는 방법
[인터뷰] 신용석 토스페이먼츠 최고정보보호책임자(CISO)
토스페이먼츠가 결제 가용성을 지키는 보안 거버넌스를 바탕으로 양자내성암호(PQC), 인공지능(AI) 기반 취약점 대응, 개인정보 영향평가 등 예방 중심 과제에 속도를 내고 있다. 신용석 토스페이먼츠 최고정보보호책임자(CISO)는 18일 바이라인네트워크와의 인터뷰에서 “(보안 분야에서) 기업이 의무적으로 해야하는 일도 있지만, 자발적으로 해나가면서 정부의 사이버보안 정책에도 긍정적인 영향을 줄 수 있는 영역이 있다”며 “PQC 전환과 AI 기반의 취약점 탐색, 개인정보 영향평가 등이 그렇다”고 밝혔다.
신 CISO는 2025년 9월 1일 토스페이먼츠에 합류했다. 그는 국내 1세대 보안 전문가로 꼽힌다. 2016년 토스 초기 보안 조직에 합류해 약 8년간 일했고, 이후 대통령실 국가안보실 사이버안보비서관으로 사이버안보 정책을 다뤘다. 민간과 공공을 모두 경험한 신 CISO는 지난해 토스페이먼츠로 복귀한 후, 특정 보안 기술 도입보다 기업이 자발적으로 실행할 수 있는 보안 체계를 먼저 살폈다.
결제 보안의 기준은 ‘멈추지 않는 신뢰’
전자지급결제대행(PG)사의 보안 책임은 결제 과정 전체에 걸쳐 있다. 고객이 결제창에서 인증하고, 가맹점과 결제사가 거래 정보를 주고받고, 승인과 정산으로 이어지는 모든 흐름이 보안의 대상이다.
신 CISO는 결제 보안의 기준을 기밀성·무결성·가용성 원칙으로 설명했다. ‘기밀성’은 결제 정보가 외부로 새지 않도록 지키는 일이다. ‘무결성’은 결제 금액, 결제 대상, 거래 정보가 중간에 바뀌지 않도록 보장하는 일이다. ‘가용성’은 고객과 가맹점이 필요할 때 결제 서비스를 정상적으로 쓸 수 있도록 하는 일이다.
결제 서비스에서는 이 세 가지 가운데 하나만 강조하기 어렵다. 고객 정보가 유출돼도 문제고, 거래 데이터가 변조되어도 문제다. 서비스가 멈춰 결제가 되지 않아도 고객과 가맹점 모두 피해를 본다. 신 CISO는 “결제에서 가용성 문제가 생기거나 도용이 발생하고, 무결성이 침해되는 일은 매우 중요하게 다뤄야 한다”며 “고객과 가맹점의 결제 정보를 지키는 일까지 보면 기밀성, 무결성, 가용성 모두가 중요하다”고 말했다.
토스페이먼츠가 보안을 바라보는 방식도 여기에서 출발한다. 토스의 강점은 쉽고 빠른 금융 경험이다. 하지만 금융 서비스는 편리함만으로 오래 선택받기 어렵다. 사용자가 안전하다고 느끼지 못하면 편리함은 신뢰로 이어지지 않는다.
신 CISO는 “편리함과 안전함이라는 두 마리 토끼를 동시에 잡는 것이 중요하다”며 “보안을 지나치게 강조해 사용자가 불편함을 느끼면 서비스를 쓰지 않거나, 기업 안에서는 보안 통제를 벗어난 방식으로 일하려는 경향이 생길 수 있다”고 말했다.
PQC, 결제창부터 인프라까지 적용
토스페이먼츠가 최근 가장 주목하는 변화는 ‘양자내성암호(PQC)’다. 양자컴퓨터가 발전하면 현재 널리 쓰이는 공개키 기반의 암호 체계는 뚫릴 수 있다. 최근 금융권에서 PQC 전환 논의가 빨라지는 이유다.
토스페이먼츠는 지난 4월 결제 데이터가 생성되고 전달되는 전자결제서비스 접점에 PQC 체계를 도입했다. 자체데이터센터(IDC)와 아마존웹서비스(AWS) 등 인프라 환경 전반에도 적용을 마쳤다. 특히 가맹점과 소비자가 직접 만나는 결제창 전면에 적용한 것이 특징이다.
작동 방식은 사용자 환경에 따라 달라진다. 크롬, 엣지, 사파리, 파이어폭스 등 PQC를 지원하는 최신 브라우저로 토스페이먼츠 결제창에 접속하면 서버와 통신하는 과정에서 PQC가 자동으로 활성화된다. 아직 이를 지원하지 않는 환경에서는 기존 암호화 체계를 그대로 쓴다. 보안 수준을 높이면서도 가맹점과 고객의 사용 환경을 깨지 않기 위한 하이브리드 방식이다.
토스페이먼츠는 미국 국립표준기술연구소(NIST)의 표준 알고리즘인 엠엘켐(ML-KEM)을 기반으로 한 하이브리드 키 교환 방식을 채택했다. 키 교환은 서버와 사용자가 암호화 통신에 쓸 비밀값을 안전하게 나누는 절차다. 하이브리드 방식은 기존 타원곡선 암호화 방식과 양자내성 알고리즘을 함께 써 현재의 보안성과 미래의 양자 위협 대응을 동시에 고려한다.
이번 전환은 갑자기 이뤄진 작업은 아니다. 토스페이먼츠는 2022년부터 보안 프로토콜 고도화를 단계적으로 진행했다. 2022년 전자지급결제대행 업계 최초로 HTTP/3를 도입했고, 2022년부터 2025년까지 취약한 암호 조합을 지속적으로 제거했다. 같은 기간 전송계층보안(TLS) 1.3도 전면 도입했다. TLS는 인터넷 통신을 암호화하는 핵심 규약이다. PQC 도입은 이 흐름의 연장선에 있다.
신 CISO는 PQC 도입에 대해 “언젠가 해야 할 일이라면, 지금 하는 게 맞다”고 강조했다. 양자컴퓨터가 기존 암호 체계를 위협하는 시점은 전문가마다 다르게 본다. 과거에는 2035년 전후를 이야기하는 시각이 많았지만, 최근에는 더 빠른 전환을 요구하는 목소리도 나온다.
중요한 것은 특정 날짜가 정해져 있지 않다는 점이다. 2000년 1월 1일처럼 시점이 명확했던 밀레니엄 버그(Y2K)와 달리, 양자컴퓨터에 따른 암호 위협은 어느 순간 현실화될지 단정하기 어렵다. 그래서 더 일찍 준비해야 한다는 게 신 CISO의 판단이다.
신 CISO는 “2035년이 딱 정해진 것은 아니다”라며 “예상 시점은 다를 수 있지만, 더 빨리 다가올 수 있다는 메시지가 중요하다”고 말했다. 이어 “토스페이먼츠가 했으니 다른 기업도 할 수 있다고 생각하고, 빨리 확산되기를 기대한다”고 덧붙였다.
현실적인 위협은 ‘선수집·후복호화(HNDL)’ 공격이다. 이는 지금 암호화된 데이터를 미리 훔쳐 보관한 뒤, 나중에 양자컴퓨터가 발전하면 이를 풀어보는 공격 방식이다. 결제 정보와 금융 데이터는 시간이 지나도 민감성이 유지되는 경우가 많다. 신 CISO는 “현재 깨지지 않는 암호라도 앞으로 양자컴퓨팅으로 깨질 수 있다면 공격자는 지금 데이터를 암호화된 채로 탈취해 뒀다가 나중에 풀려고 할 수 있다”며 “금융권에서도 PQC를 빨리 도입하면 이런 탈취 욕심을 원천적으로 줄일 수 있다”고 말했다.
미토스 이후, 취약점 점검 주기 월 1회로 단축 추진
AI 기반 공격도 올해 토스페이먼츠가 주목하는 현안이다. 신 CISO는 특히 앤트로픽의 ‘클로드 미토스 프리뷰(Claude Mythos Preview)’가 던진 메시지를 중요하게 봤다. 미토스 논란의 본질은 AI가 취약점을 찾아내고, 이를 악용할 공격 도구를 만드는 속도에 있다는 설명이다.
신 CISO는 “미토스가 준 가장 큰 충격은 취약점을 찾아내고 이를 공격에 직접 활용할 수 있는 도구를 만들어내는 속도”라며 “이제 시작일 뿐이고, 제2·제3의 미토스가 계속 나타날 수 있다”고 말했다. 이는 보안팀의 운영 방식에도 영향을 준다. 취약점 점검과 패치 주기가 과거보다 더 짧아져야 하기 때문이다.
최근 토스페이먼츠는 취약점 점검 주기를 기존 연 4회에서 월 1회 수준으로 늘리는 방안을 추진하고있다. 기존에 3개월에 한 번 점검하던 체계를 매달 점검하는 방식으로 바꾸는 셈이다. 신 CISO는 “취약점 스캔을 1년에 4번 해왔는데, 이를 월 1회로 끌어올리려 한다”며 “앞으로는 이 정도도 부족하다고 평가될 수 있어 필요하면 점검 주기를 더 줄이는 방향으로 가야 한다”고 말했다.
다만 빠른 패치는 결제 가용성과 충돌할 수 있다. 금융 서비스에서는 패치 하나가 실제 장애로 이어질 수 있기 때문이다. 그래서 그동안 금융권은 충분한 테스트를 거친 뒤 패치하는 방식을 중시해왔다.
신 CISO는 이제 취약점을 다루는 보안 체계가 바뀔 수 있다고 봤다. 그는 “패치를 하려면 많은 테스트를 거쳐야 하고, 바로 적용하면 다른 문제가 생길 수 있다”면서도 “AI로 취약점 발견과 공격 도구 생성 속도가 빨라지는 시대에는 빠른 패치에 더 방점을 찍어야 한다”고 말했다.
CISO의 이사회 보고 빈도도 늘릴 것
신 CISO가 강조한 또 다른 축은 ‘보안 거버넌스’다. 보안은 더 이상 실무 부서만의 문제가 아니다. 개인정보 유출, 해킹 사고, 서비스 장애는 기업 신뢰와 직결된다. 그래서 CISO의 역할도 기술 관리자를 넘어 경영진과 이사회에 위험을 설명하는 쪽으로 넓어지고 있다.
토스페이먼츠는 올해 최소 두 차례 이사회 보고를 목표로 잡았다. 보고 내용은 세부 기술보다 정보보호 전략과 개인정보보호 전략 등 큰 방향성이다. 신 CISO는 “이사회가 거버넌스의 중심이 돼야 한다는 메시지는 여러 부처에서 나오고 있다”며 “기업이 할 수 있는 것은 빠르게 실행하는 일”이라고 말했다.
그는 CISO의 권한이 법 조항만으로 커지는 것은 아니라고 봤다. 다만 정보보호위원회 구축, CISO의 이사회 보고 의무화 같은 흐름은 바람직하다고 평가했다. 이사회가 정보보호와 개인정보보호의 중요성을 직접 듣고 논의하는 과정이 쌓여야 기업 안의 인식도 바뀐다는 설명이다.
신 CISO는 “대표이사와 최고경영자의 책임성이 강화되는 흐름은 CISO가 그 역할을 더 잘하라는 메시지로 이해한다”며 “과거에 이사회에서 직접 보고하지 못할 때와 보고했을 때의 차이를 CISO들이 확인하고 만들어가야 한다”고 말했다.
토스페이먼츠는 ‘개인정보 영향평가’도 자체적으로 진행하고 있다. 공공기관에서 의무로 수행하는 제도를 민간 기업이 자발적으로 적용하는 사례라는 점에서 의미가 있다. 신 CISO는 “의무적이지 않은 일을 자발적으로 하는 것은 중요하다”며 “민간 기업으로서 예방 중심 보안과 개인정보보호 체계를 실천하는 모습을 보여주고, 이를 확대하는 데 기여하려 한다”고 말했다.
토스페이먼츠의 올해 보안 과제는 기술 도입보다 운영 체계의 속도와 책임을 높이는 데 맞춰져 있다. PQC로 미래 암호 위협에 대응하고, 미토스 이후 취약점 점검 주기를 줄이며, 이사회 보고와 개인정보 영향평가로 거버넌스를 강화하는 방식이다.
신 CISO는 “토스페이먼츠가 노력하는 과정을 통해 국내 금융사는 물론, 기업의 사이버보안 거버넌스가 조금 더 발전할 수 있도록 모범적인 역할에 충실하겠다”며 “PQC, 개인정보 영향평가, 이사회 거버넌스, 취약점 스캔 주기 단축 같은 성과가 다른 기업도 함께 동참하는 계기가 됐으면 한다”고 강조했다.
토스페이먼츠는 토스 운영사인 비바리퍼블리카의 전자지급결제대행(PG) 계열사다. 온라인 가맹점과 소비자 사이에서 결제 승인, 결제창, 정산 등 전자결제 인프라를 제공한다. 결제 서비스는 고객 정보 보호와 거래 안정성, 서비스 가용성을 함께 요구하는 분야다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.
일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40



