기사자격증(알기사, 전자상거래 보안)

전자상거래

- 전자상거래는 광의적 개념과 협의적 개념으로 구분할 수 있다.

- 광의적 개념은 정부, 기업, 개인간 전자정보를 통하여 이루어지는 상거래 전반을 의미

- 광의적 개념은 모든 경제활동을 포함하며 EDI, CALS도 포함된다.

- 협의적 개념은 일반 소비자를 대상으로 인터넷이나 통신망을 이용한 마케팅, 판매활동을 수행하는 것이다.

 

전자상거래상 정보보호

- 전자상거래를 위한 다양한 서비스는 등장하고 있지만 위협에 대해서는 완벽한 대책수립이 없는상태이다.

- 전자상거래 보안 공격 유형

공격유형	설명
인증에 대한 공격	ㆍN/W를 통해 접근한 사용자가 적절하지 못한 인증을 통해 다른 사용자로 위장하는 것 ex) 가짜 은행 사이트를 만들어 사용자의 공인인증서를 획득해 악용
송ㆍ수신 부인 공격	ㆍN/W를 통해 수행한 인증 및 거래 내역 부인 ex) 계좌이체 및 신용카드 지불 받고도 부인
기밀성에 대한 공격	ㆍN/W로 전달되는 인증정보 및 주요 거래 정보 유출 ex) 전자 결제시 카드번호 정보의 유출로 인한 정보의 악용
무결성에 대한 공격	ㆍN/W 도중에 거래 정보등이 변조되는 것 ex) 온라인 계좌이체 등을 이용한 전자 결제시 수신계좌나 금액 등을 변조

 

- 전자상거래 보안 요구사항

1. 전자상거래는 원격의 거래 상대를 신뢰하기 어려우므로 네트워크상에서 상대방 및 자신의 신분 확인 수단이 필요

2. 전자상거래에서 거래 사실의 공증을 보장할 수 있는 신뢰할만한 제 3자의 중재가 필요하다.

3. 전자상거래에서는 전자지불 방식의 안정성을 보장하기 위한 방법이 확보되어야 한다.

 

전자화폐

- 전자상거래에서는 동전 / 지폐 역할을 수행하는 디지털 데이터로 구성된 화폐가 필요하다.

- 전자화폐는 은행, 상점, 구매자로 구성

- 전자화폐에서는 구매자와 은행 간에 이루어지는 발행단계, 발행으로 받은 전자화폐로 물건을 사고 상점에 화폐를 지불하는 지불단계, 구매자로부터 받은 전자화폐를 은행에 제출하여 상점의 계좌로 자금을 이체를 시켜주는 결제단계로 나눠진다.

 

전자화폐의 요구조건

1. 디지털 정보화 : 컴퓨터를 매개체로 인터넷과 같은 N/W상에서 사용할 수 있기에 전자화폐는 물리적인 형태에 의존하면 안되고 디지털 데이터 자체로서 완벽한 화폐가치를 가져야 한다.

2. 재사용 불가능성 : 복사, 위조등으로 인한 부정사용이 불가능해야함

3. 익명성(추적불가능성) : 이용자의 구매내역에 관한 프라이버시가 상점이나 은행의 결탁으로 노출되면 안된다.

4. 오프라인성 : 상점에서 지불시 처리를 오프라인으로 처리할 수 있다.

5. 양도성 : 타인에게 양도가 가능하다.

6. 분할이용 가능성 : 합계 금액이 액면 금액이 될 때까지 분할해서 사용할 수 있다.

7. 부정 사용자의 익명성 취소 : 익명성 조절 파라미터에 따라 익명성을 취소 할 수 있다.

→ 전자화폐의 익명성 취소 및 익명성 유지는 선택할 수 있다.

8. 이중사용 방지 : 부정한 사용자가 전자화폐를 불법적으로 복사하여 반복적 사용하는 부정한 행위는 은행에서 검출될 수 있어야 한다.

 

전자지불 시스템

- 전자 상거래의 가장 핵심적인 수단

- 은행, 고객, 상점, 인증기관으로 구성되어 있다.

1. 은행 : 전자화폐를 발행하고 결제하는 기관

2. 고객 : 전자화폐를 은행으로부터 발급받아 사용하는 주체

3. 상점 : 상품을 공급하고 전자화폐를 구매대금으로 받는 자

4. 인증기관 : 신분인증, 거래내용 부인방지 등을 위한 기관(상점과 고객의 신용평가 기능까지 포함)

5. 인출 프로토콜 : 사용자가 은행으로부터 전자화폐를 인출

6. 지불 프로토콜 : 은행으로부터 받은 전자화폐를 상점에 지불

7. 입금 프로토콜 : 전자화폐를 은행에 입금하고 실제 화폐를 지급 받음

 

전자지불 시스템의 종류

1. 기술적인 분류

가) 신용카드를 이용한 분류

- 카드단말기에서 사용자 인증 후 대금을 지불하는 방식과 지불대행사가 사용자의 정보를 가지고 카드회사에 승인을 요청하여 지불하는 방식이 있다.

나) 전자화폐를 이용한 지불

- 일정한 화폐가치를 IC카드나 PC등에 디지털 data 형태로 저장하였다가 온라인, 오프라인 형태로 상품을 구매, 운임지불등 수행

 

다) 계좌이체를 통한 지불

- 텔레뱅킹(폰뱅킹), PC뱅킹(인터넷 뱅킹)이 있다.

 

라) 모바일을 이용한 지불

- 휴대폰 번호를 이용한 방식과, UIM(User Identity Module)을 이용한 방식이 있다.

※ UIM : 이동 전화 가입자 정보를 포함하고 있는 이동 통신형 스마트 카드

 

2. 지불 브로커 존재에 따른 분류

가) Payment Broker 시스템

- 독립적인 신용구조와 달리 신용카드나 은행계좌를 이용한 전자적 지불형태

- SET, cyber cash, first virtual, SSL/TLS 등을 보안 프로토콜을 이용한 지불이 있다.

나) 전자화폐 시스템

- 지불 브로커 없이 독립적인 신용구조를 가지는 전자적 지불수단

- 현금과 유사한 개념

- Mondex, E-cash, Milicent, Proton 등이 있다.

 

전자지불 시스템의 정보보호 요구사항

1. 위조불가능

2. 부인방지

3. 누명면제

4. 무결성 / 인증

5. 프라이버시 / 익명성

6. 원자성

7. 감사

8. 분할성

9. 양도성

10. 효율적 규모

11. 상호운영성 / 교환성

12. 효율성

13. 무효화

 

SET

- 비자와 마스터카드가 합동으로 개발

- N/W 신용카트 거래를 안전하게 하기 위한 표준 프로토콜

- 안전한 대금결제 처리과정을 위해 RSA 암호화, 인증기술 이용

- 현재까지 가장 안전한 전자결제방안으로 평가됨

- SET에서 가장 중요한 기술은 전자봉투, 이중서명이다.

- SET의 목적

1. 정보의 기밀성 확보

2. 지불정보의 무결성 확보

3. 상인과 고객의 상호 확인

- SET의 참여주체

1. 카드 소지자 - 발행사에 의해 허가된 지불카드 사용, SET은 카드소지자와 상인이 신뢰할만한 지불 카드 계정 정보를 가지고 서로 거래할 수 있는 것을 보장

2. 발행사 - 카드소지자의 계정을 만들어주고 카드를 발급해주는 금융기관, 발행사 고유 브랜드와 카드 규정과 합법적인 범위 내에서 카드를 사용하여 신뢰할만한 거래에 대해 지불을 보장

3. 가맹점 - 상인은 지불에 대한 대가로 상품과 서비스를 제공한다.

4. 지불은행 - 상인과 계정을 체결하고 카드결제에 대한 신뢰성과 지불을 담당(상인의 은행)

5. 지불 게이트웨이 - 지불처리 은행 또는 제 3자에 의해 운영되는 장치, 카드소지자의 지급 정보를 이용해 해당 금융기관에 승인 및 결제를 요청하는 카드 지불 N/W의 통로, 인터네스로 SET N/W가 연결되어야하고, 기존 지불 N/W에 연결된 지불은행에도 연결되어야 함

 

6. 인증기관 : SET 참여자에게 공개키 인증서 발행하는 기관

- SET의 장단점

1. 장점

- 전자거래 사기 방지

- 기존의 신용카드 기반 그대로 활용

- SSL의 단점(상인에게 지불정보 노출) 해결

 

2. 단점

- 암호 프로토콜이 너무 복잡함

- RSA는 프로토콜의 속도를 크게 저하시킴

- 카드 소지자에게 전자지갑 S/W 요구

- 상점에게 S/W요구

- 거래를 위해 별도의 H/W, S/W를 요구

 

이중서명 프로톹콜

 

- 카드 사용자가 구매정보와 지불정보를 각각 해시한 후, 두 해시값을 합한 뒤 다시 해시 후 최종해시값을 카드 소유자의 개인키로 암호화함

- 지불정보는 은행의 공개키로 암호화하여 상점에게로부터 기밀성을 보장

- 주문정보는 상점의 공개키로 암호화하여 은행으로부터 기밀성을 보장

- 상세순서

1. 카드사용자는 비밀키(대칭키)를 생성하여 지불정보를 비밀키를 사용해 암호화, 비밀키는 은행의 게이트웨이 공개키로 암호화 하여 셋을 만든 뒤 상점에게 전송

2. 사용자로부터 정보를 받은 상점은 구매정보의 해시를 구한다

3. 사용자가 보낸 해시값 쌍을 새로구한 해시로 대치

4. 새로운 이중해시를 구한다.

5. 사용자의 개인키로 암호화딘 해시값 복호화

6. 새로구한 해시값과 비교

7. 변조 여부확인

8. 구매정보 확인한 상점은 셋을 다시 만들어 지불 게이트웨이로 전달

9 .지불 게이트웨이는 상점으로부터 받은 정보를 게이트웨이 개인키로 비밀키 복호화

10. 해시값 비교 후 변조 x시 대금 지불

 

ebXML

- 전자 상거래를 위해 UN/CEFACT와 민간 비영리 IT 컨소시엄 오아시스가 개발한 확장성 생성 언어 기반의 전자 상거래 분야의 개방형 표준

- 인터넷 표준 브라우저만으로 장소에 구애 없이 어디서나 전자상거래를 할 수 있도록 함

- 저렴한 구축비용, 개방된 N/W로 전자거래 교환을 위한 국제 표준 제공

- 개방형 기반 구조

- ebXML의 구조

1. 비즈니스 프로세스 : 다양한 비즈니스 거래절차에 대한 내용을 표준화 정의

2. 핵심 컴포넌트 : 비즈니스에 교환되는 전자문서의 재사용이 가능하도록 표준화 정의

3. 등록저장소 : 거래상대자들에 의해 제출된 정보를 저장하는 안전한 저장소

4. 거래당사자 : 비즈니스 거래 당사자에 대한 각종 정보 및 혐업을 위한 프로파일을 통일된 규칙으로 표준화

5. 전송, 교환 및 패키징 : ebXML 메시지 서비스를 제공하여 상호운영성과 보안 유지, msg를 어떻게 전달할 것인가에 대한 표준 정립

 

- ebXML의 사용효과

1. 재활용성

2. 비즈니스 프로세스 활용

 

WPKI

- WAP(무선 단말기에서 취급하기 쉽도록 변화하기 위한 프로토콜)에서 서버와 클라이언트 간 인증을 위한 무선환경에 적합한 인증서 발급, 운영, 관리하는 무선망의 공개키 기반 구조

- WPKI 구성요소

1. CA 서버 시스템 : 인증서 발급, 처리

2. RA 서버 시스템 : 인증서 발급, 관리 요청 중계

3. Client 시스템 : 인증서 발급, 관리 요청

4. Directory 서버 시스템 : CA가 발행한 인증서 정보 저장 관리