Offcanvas

CSO / How To / 보안 / 신기술|미래 / 애플리케이션

비파괴적 마스킹, 활용성도 높여준다··· ‘데이터 토큰화’가 뜨는 이유

2022.07.27
팬데믹이라는 전례 없는 상황에서 많은 기업이 생존 방법을 모색하느라 바빴다. 하지만 다른 한편에서는 증가한 데이터 취약성, 데이터 준법감시의 부재에 주목하는 시선도 존재했다. 새로운 작업 스타일과 기술이 대거 확산되면서 GDPR(General Data Protection Regulation) 등의 보안 규정에 대응하기란 쉽지 않았으며, 상대적으로 데이터 유출 대응 태세가 약화됐기 때문이다. 실제로 ‘IBM의 보고서’에 따르면 현재 데이터 유출로 인해 기업들이 사고당 평균 424만 달러를 지출하고 있으며, 이는 해당 보고서의 17년 역사상 가장 높은 비용이다.

오늘날 기업에게는 데이터의 익명화 및 잠재적인 데이터 보안 유출 방지를 위해 탄탄한 데이터 보안 전략이 필요하다. 데이터 토큰화는 비교적 새로운 종류의 데이터 보안 전략이며, 이를 제대로 활용하면 기업들은 효율적이며 안전하게 운영하면서 데이터 규정 준수를 유지할 수 있다. 

토큰화란 민감한 데이터의 모든 필요 정보를 고유의 식별 기호로 교환하는 프로세스이다. 같은 형식의 완전 무작위 문자를 생성하여 데이터를 대체한다고 표현할 수 있다.이를 통해 보안을 저해하지 않으면서도 데이터 활용성을 높일 수 있다.
 
Image Credit : Getty Images Bank

데이터 토큰화 활용법
토큰화는 민감한 데이터를 고유한 식별 데이터로 마스킹 또는 대체하지만, 데이터에 대한 필수적인 정보를 유지한다. 이런 동등한 고유 대체 데이터를 토큰이라 부른다. 즉 토큰화는 비파괴적인 형태의 데이터 마스킹이며, 원본 데이터는 고유 대체 데이터, 즉 토큰을 통해 복구할 수 있다. 2가지의 주된 접근방식을 통해 데이터 토큰화를 통한 데이터 암호화가 가능하다.

1. 금고 기반 토큰화
2. 무금고 토큰화

첫번째 경우에 토큰 금고는 민감한 데이터 값의 사전으로 작용하며 이를 토큰 값에 맵핑하여 데이터베이스 또는 데이터 스토어에 있는 원본 데이터 값을 대체한다. 따라서 애플리케이션 또는 사용자는 사전에 있는 원본 데이터를 반전시킬 수 있는 관련된 토큰으로 액세스할 수 있다. 토큰 금고에서만 원본 정보를 관련된 토큰으로 다시 맵핑할 수 있다.

두번째 데이터 토큰화 접근방식에는 금고가 필요 없다. 무금고 토큰의 경우 토큰은 개인 정보를 보호하기 위해 안전한 데이터베이스 대신에 알고리즘을 사용하여 보관된다. 이해를 돕기 위해 토큰 금고를 통한 토큰화의 방식을 예로 살펴본다.

고객이 거래를 위해 신용카드 번호를 제공한다. 전통적인 거래에서는 신용카드 번호가 결제 처리자로 전송된 후 추후 사용을 위해 상인의 내부 시스템에 저장된다. 이제 데이터 토큰화가 구현된 후 이 거래가 이루어진다.

•    고객이 거래를 위해 신용카드 번호를 제공하면 카드 번호가 결제 처리자 대신에 토큰 시스템 또는 금고로 전송된다.
•    토큰 시스템 또는 금고는 고객의 민감한 정보, 즉 신용카드 번호를 맞춤형 무작위 생성 영수문자 ID, 즉 토큰으로 대체한다.
•    그리고 토큰이 생성된 후 상인의 POS 단말기 및 결제 처리자에게 안전한 형태로 다시 전송되어 거래를 성공적으로 완료한다.

데이터 토큰화를 통해 기업들은 무선 네트워크를 통해 데이터를 안전하게 전송할 수 있다. 하지만 효과적인 데이터 토큰화 구현을 위해 기업들은 민감한 데이터를 안전하게 저장할 결제 게이트웨이를 도입해야 한다. 신용카드 정보는 결제 게이트웨이에 의해 안전하게 저장 및 생성된다.

데이터 토큰화가 필요한 이유는?
기업에게 있어서 목표는 비즈니스 시스템의 민감한 결제 또는 개인 정보를 보호하고 이런 데이터를 안전한 환경에 저장하는 것이다. 데이터 토큰화는 기업들이 각 데이터 세트를 해독할 수 없는 토큰으로 대체하여 이를 달성하는 데 도움이 줄 수 있다. 기업에 토큰화가 중요한 5가지 이유는 다음과 같다.

1. 데이터 유출과 처벌 위험을 감소시킨다
토큰화는 기업들을 데이터 도난의 부정적인 재정적 영향으로부터 보호하는 데 도움이 된다. 토큰화 프로세스는 개인 정보를 보호하지 않기 때문에 모든 종류의 데이터 유출로부터 보호한다.               

보안이 해킹되면 고객들이 경쟁 기업으로 전향하는 경향이 있기 때문에 기업들의 직접 매출 손실로 이어지는 경우가 많다.

기업들은 또한 데이터 유출 후 소송으로 인해 손실을 입을 수 있다. 예를 들어, 줌(Zoom)은 오해의 소지가 있는 E2E(End to End) 암호화를 포함하여 일련의 사이버 보안 유출 발생 후 미국 사용자들에게 보상금을 지불하기 위해 8,500만 달러의 펀드를 구성해야 했다. 또한 여러 결제 및 보안 표준을 준수하지 않으면 무거운 비즈니스 벌금 및 처벌로 이어질 수 있다. 예를 들어, PCI를 준수하지 않으면 신용카드 기업들이 월 5,000~10만 달러의 벌금을 부과할 수 있다.

2. 고객 신뢰를 구축한다
토큰화는 기업이 고객과 신뢰를 쌓는 데 도움이 된다. 토큰화는 데이터의 올바른 서식과 안전한 전송을 보장하여 고객과 기업의 온라인 거래를 보호하는 데 도움이 된다. 

3. 준법감시 규정을 준수한다
토큰화는 산업 규정 준수 및 유지에 도움이 된다. 예를 들어, 직불 및 신용카드를 결제 수단으로 받는 기업들은 PCI DSS(Payment Card Industry Data Security Standard)를 준수해야 한다. 토큰화는 민감한 카드 소유자 정보를 마스킹하고 보관 및 삭제를 안전하게 관리하는 PCI DSS 규정 요건을 충족한다. 따라서 토큰화는 카드와 관련된 민감한 데이터의 보안을 관장할 뿐 아니라 준수 관련 비용을 절감한다.

4. 구독 기반 구매를 강화한다
구독 기반 구매는 체크아웃 중 더 신속하고 나은 고객 경험을 통해 개선될 수 있다. 체크아웃 프로세스가 빨라지려면 고객이 결제 정보를 안전하게 저장해야 한다. 토큰화는 신용카드 정보 등의 금융 데이터를 민감하지 않은 토큰으로써 보호하는 데 도움이 된다. 이 코튼 값은 해커가 판독할 수 없으며 반복적인 결제를 위한 안전한 환경을 조성한다. 구글 플레이(Google Play) 및 애플 페이(Apple Pay) 등 주요 모바일 결제 게이트웨이 중 일부는 이미 데이터 토큰화를 활용하여 원활하고 안전한 사용자 경험을 완성하고 있다.

5. 안전한 데이터 공유를 지원한다
기업들은 마케팅 지표, 분석, 보고 등의 각종 비즈니스 목적으로 민감한 데이터를 활용하는 경우가 많다. 토큰화 구현을 통해 기업들은 민감한 데이터를 허용하는 위치를 최소화하고 토큰화 된 데이터에 사용자 및 데이터 분석 또는 기타 비즈니스 프로세스를 수행하는 애플리케이션만 액세스할 수 있도록 할 수 있다. 

토큰화를 활용하여 사람들이 특정 작업을 완료하기 위해 필요한 특정 데이터에만 액세스하도록 함으로써 민감한 데이터에 대한 최소 권한 액세스를 달성할 수 있다. 즉 토큰화 프로세스는 원본 민감 데이터의 보안을 유지한 채 활용성을 높여줄 수 있다. 

결론
조직의 준법감시 의무는 민감한 데이터를 사용하는 애플리케이션이 많으면 높아진다. 토큰화 플랫폼 사용이 인기를 얻어가는 배경이다. 토큰화 플랫폼은 기업이 민감한 정보를 보호하고 보안 규정 준법감시를 관리하는 데 도움이 된다.

민감한 데이터를 토큰화 기술로 대체하면 보안 및 준법감시 측면에서 여러 이점이 있다. 위험이 감소할 뿐만 아니라 준법감시 비용이 감소하고 규제 데이터 취급 의무가 완화된다. 데이터 토큰화 플랫폼은 현재 그리고 미래의 준법감시 요구를 충족시키는 신뢰할 수 있는 수단을 제공한다고 할 수 있다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.