• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

토큰화 기술, 카드사들의 구원투수 될 수 있을까 2014.10.13

기술력을 뒷받침하는 공통의 정책 부재가 더 큰 문제

아직은 좀 더 새로운 방어책을 고민해야 할 때


[보안뉴스 문가용] 지불 결제 기술의 변천사를 관통하는 진리는 ‘신용카드 사기와 그를 막는 신기술은 늘 맞물려 등장한다’는 것이다. 물론 인류 역사상 범죄가 없었던 적이 없고, 그러므로 신기술이 무한반복해서 등장하더라도 계속해서 뚫리기 마련이지만, 그것 때문에 카드 업계가 무능하다고 말 할 수는 없다. 게다가 카드 시장의 규모를 보면 해결책이란 게 과연 존재할까 싶기도 하다.

 

 ▲ 승리의 구원투수? 아직 폼이 덜 영근 듯.


그런데도 미디어나 대중은 드디어 정답이 나왔다고 떠들썩하다. 이번에 비자에서 소비자들에게 다양한 디지털 지불 옵션을 제공하면서 동시에 민감한 정보를 보호하기 위해 고안한 비자 토큰 서비스(Visa Token Service)라는 것도 그런 수많은 예 중 하나다. 물론 이를 폄하할 생각은 없다. 다만 현실 세계에서 토큰화라는 것 역시 아직은 제 기능을 다 발휘 못한다는 건 인지할 필요가 있다.


먼저 토큰화가 무엇인지 짚고 넘어가자. 토큰화란 민감한 지불 정보(카드 상세 정보 등)를 민감하지 않은 무언가로 대체하는 과정을 말한다. 대게는 아무런 의미나 가치가 없는 이 대체 정보를 토큰이라고 부르기도 하고 식별자(identifier)라고 부르기도 한다. 이런 토큰이 16자리 영구 계좌 번호와 같은 중요한 정보를 대신하기 때문에 온라인 상품판매자나 모바일 기기에 저장해도 아무런 위험이 없다는 게 토큰화의 원리이며 이유이다.


즉, 토큰화의 가장 중요한 목적은 중요한 카드 정보를 안전한 형태로 저장할 수 있게 해주는 것이다. 그렇기 때문에 사이버 범죄에서 가장 빈번히 일어나는 ‘정보 유출’을 원천적으로 봉쇄할 수 있게 된다. 이런 이론상의 설명을 들으면 이 토큰화야말로 궁극의 해결책이며 정보보안이 드디어 올바른 방향으로 가고 있다는 증거인 것처럼 보인다.


하지만 이는 사실 눈 가리고 아웅하는 것과 다름이 없다. 정보유출의 위험이 상품판매자에서부터 토큰화 제공자 및 처리자로 단순히 옮겨가는 것이기 때문이다. 카드의 정보는 여전히 어딘가에 저장되어 있어야 하고 그래야만 실제 결제가 이루어지는 기본 시스템에는 전혀 변함이 없다.


토큰화는 정보보안 업계가 한 발 나아갔다는 증거이고 유출사고의 확률을 어느 정도 줄이는 데에 도움이 될 것이 분명하다. 강조하고 싶은 건 토큰화가 전지전능한 완전무결의 해결책이 아니라는 것이고, 토큰화를 사용할 때에 분명히 고려해야 할 것이 있다는 것이다. 특히 이제는 해커들의 먹잇감이 토큰화 시스템 그 자체가 될 수밖에 없다는 건 꼭 기억해야 한다. 또한 기존의 보안 방책만 가지고는 해커들을 절대 막을 수 없다는 것 역시 우리가 항상 경험해왔던 바다.


문제는 이런 세부적인 기술력이 아니다. 아직 보안업계 전반에 공통된 표준이나 인증이 없기 때문에 아직 많은 사용자들이 보안을 각자 나름대로 조치하고 있다는 것이 더 큰 문제다. 모래알처럼 뿔뿔이 흩어진 채로 우리는 단단함을 바라고 있는 모순된 상황에 스스로 처한 것이나 다름없다.


토큰화의 또 다른 문제는 추가 비용이 발생한다는 것이다. 이는 상품판매자가 부담해야 할 몫이겠지만 결국은 돌고 돌아 소비자의 어깨를 무겁게 할 것이다. 또한 토큰화 시스템은 실시간으로 접속해야 한다. 그렇다는 건 토큰화 시스템이 클라우드 기반일 가능성이 크다는 의미다. 클라우드 역시 보안에서는 아직 불안전한 분야이며, 보안은 둘째치고 호환성이나 비용 문제 역시 추가로 발생한다.


또한 토큰화 자체로는 카드의 스키밍이나 복제 문제를 해결할 수 없다는 것도 생각해볼 점이다. 토큰화는 EMV를 대체할 수 없다. 또한 현재 사용하고 있는 카드 지불 시스템에 크게 의미 있는 추가 인증 단계를 제공하지 못한다.


토큰화가 가지고 있는 한계성은 분명하다. 그렇기 때문에 우리는 이 다음에 나올 신기술에 더욱 박차를 가해야 한다. 사이버 범죄와의 전쟁 혹은 금융 사기와의 전쟁은 단 하나의 무기로 이길 수 없을 것으로 보인다. 마치 장기판에서 상대 왕에게 닿으려면 졸과 포와 사를 지나야 하듯 여러 사람과 여러 겹의 보호책이 한꺼번에 작용을 해야 할 것이다. 진정한 방어는 겹겹의 방어다. 겨울마다 이를 실천하고 있는 것처럼 말이다.


글 : 팻 캐롤(Pat Carroll)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>