[기고] 토큰화 기술에 대한 보안성 고려①
아래의 기사는 펜타시큐리티시스템(주) 심상규 신기술개발팀장의 토큰화 기술에 대한 기고를 바탕으로 보안뉴스에 2012. 05. 31에 보도된 내용입니다.
토근화 기술의 구성과 보안 요구 사항
[보안뉴스=심상규 펜타시큐리티 신기술개발팀장] 토큰화 기술(Tokenization)은 금융 거래 정보를 보호하기 위해 2005년에 제안되었으며 최근에는 개인정보 보호를 위한 DB암호화 기술로 많은 주목을 받고 있다. 토큰화 기술 자체는 이론상으로 안전한 기술이지만, 토큰화 기술의 핵심인 토큰 생성 방법을 실제로 구현하는 데에 있어서 많은 보안 문제가 야기될 수 있다.
본 고에서는 의사난수로 토큰을 생성하는 방법의 문제점들을 살펴보고 안전한 토큰 생성법인 속성유지 암호화 방법에 대해서 2회로 나누어 살펴보고자 한다.
토큰화(Tokenization) 기술이란
토큰화 기술은 유출되지 않도록 보호되어야 하는 데이터를 토큰(token)으로 치환한 뒤에 원본 데이터를 대신하여 토큰을 사용하는 기술이다. 유출로부터 보호되어야 하는 데이터는 주민등록번호, 은행 계좌 번호나 신용 카드 번호 등의 금융 거래 정보, 의료 기록, 범죄 기록, 운전면허나 차량 등록번호 등의 자동차 관련 정보, 주식 거래 정보 등이 이에 해당된다.
이러한 정보들은 개인정보를 담고 있기 때문에 통신 과정에서 유출되거나 혹은 서버 내부에 저장된 데이터가 유출되었을 경우에 큰 피해를 가져올 수 있다. 토큰화 기술은 개인 정보의 유출 위험이 있는 전송 과정과 저장 단계에서 개인정보 데이터를 치환한 토큰 데이터만을 전송하고 저장함으로써 개인 정보를 보호하는 접근법이다.