토스 웹훅 — Payments::WebhooksController + HMAC 서명 검증 + PAYMENT_STATUS_CHANGED 처리 + 테스트

## 목표
PRD Section 11.4 기반 토스 웹훅 처리. CSRF skip, HMAC SHA-256 서명 검증, PAYMENT_STATUS_CHANGED 이벤트 처리.

## 현재 상태
- Payments::WebhooksController 스텁 존재 (receive 액션, allow_unauthenticated_access + skip_forgery_protection 설정됨)
- 라우트: `post "/payments/webhook", to: "payments/webhooks#receive"`
- Payment 모델: toss_payment_key, status enum {pending:0, done:1, canceled:2, failed:3}, paid_at, canceled_at

## PRD 코드 (Section 11.4)
```ruby
class Payments::WebhooksController < ApplicationController
skip_before_action :verify_authenticity_token
allow_unauthenticated_access

def receive
unless valid_signature?
return render json: { error: "Invalid signature" }, status: :unauthorized
end
payload = JSON.parse(request.body.read)
case payload["eventType"]
when "PAYMENT_STATUS_CHANGED"
handle_payment_status_changed(payload["data"])
end
render json: { received: true }
end

private

def valid_signature?
secret = ENV["TOSS_WEBHOOK_SECRET"]
signature = request.headers["TossPayments-Signature"]
body = request.body.read
request.body.rewind
expected = OpenSSL::HMAC.hexdigest("sha256", secret, body)
ActiveSupport::SecurityUtils.secure_compare(expected, signature.to_s)
end

def handle_payment_status_changed(data)
payment = Payment.find_by(toss_payment_key: data["paymentKey"])
return unless payment
case data["status"]
when "DONE" then payment.update!(status: :done, paid_at: Time.current)
when "CANCELED" then payment.update!(status: :canceled, canceled_at: Time.current)
when "ABORTED", "EXPIRED" then payment.update!(status: :failed)
end
end
end
```

## 구현 사항
1. **Payments::WebhooksController** — PRD 코드 기반
2. **⚠️ request.body.read 주의**: body를 두 번 읽으므로 rewind 필요
3. **HMAC SHA-256 서명 검증**: TOSS_WEBHOOK_SECRET + secure_compare
4. **PAYMENT_STATUS_CHANGED만 처리** (v2.1: BILLING_SKIPPED 삭제)
5. **allow_unauthenticated_access** 이미 설정되어 있을 수 있음 — 확인 후 유지

### 테스트
- 유효한 서명 → 200 + Payment 상태 변경
- 무효한 서명 → 401
- DONE → payment.done, CANCELED → payment.canceled, ABORTED → payment.failed
- 없는 paymentKey → 무시 (200 반환)
- 알 수 없는 eventType → 무시

### ⚠️ payments/webhooks 범위만 (developer-2는 payments/checkout, completions 작업 중)

## 대시보드 기록 (MCP)
- 시작: `AddActivityLogTool` (ticket_id: "c547c6c5-b25a-4c42-a7fe-850261c83e5a", message: "토스 웹훅 시작")
- 완료: `AddActivityLogTool` (message: "토스 웹훅 완료", details 필수)

## 완료 절차
1. `UpdateTicketStatusTool`로 서브 티켓 → `review`
2. `AddActivityLogTool`로 완료 기록
3. `SendMessage`로 팀리드에게 보고 (summary: "토스 웹훅 구현 완료")

⚠️ SendMessage 필수!