[정보보안기사 PART 06] 애플리케이션 보안 - 전자상거래 보안

[정보보안기사 PART 06] 애플리케이션 보안 - 전자상거래 보안

---

Section 37 전자상거래 보안

 

1. 전자상거래 개요

 

1) 전자상거래(Electronic Commerce) 개념

 광의적 개념 : 전자상거래 주체인 정부, 기업, 개인 간의 전자정보를 통하여 이루어지는 상거래 전반을 의미하고, 광고, 수, 발주, 개발, 구매, 결제 등 모든 경제활동을 포함하며, 인터넷 전자상거래뿐 아니라 EDI, CALS도 포함된다.

 협의적 개념 : 일반 소비자를 대상으로 인터넷이나 통신망을 이용한 상품관련 정보 제공, 협상, 주문, 납품, 대금지불, 자금이체 등을 통해 마케팅, 판매활동을 수해아는 것을 말한다.

 

 

 

2. 전자상거래의 정보 보호

 

(1) 개요

1) 기본 개념

 전자상거래를 위한 다양한 서비스가 등장하고 있으나, 기밀성, 메시지 인증, 구매자 및 판매자 인증, 송수신 부인방지 등과 같은 사용자 거래정보 위협에 대한 완벽한 대책수립이 없는 실정

 

2) 전자상거래의 보안 공격 유형

 - 인증에 대한 공격

 - 송,수신 부인 공격

 - 기밀성, 무결성에 대한 공격

 

3) 전자상거래 보안 요구사항

 네트워크상에서 상대방 및 자신에 대한 신분 확인 수단이 필요

 거래 사실의 공증을 보장할 수 있는 신뢰할 만한 제3자의 중재가 필요

 전자지불 방식의 안전성을 보장하기 위한 방법 확보

 

(2) 전자화폐

1) 개요

 디지털 데이터 기반의 사회에서 가상공간의 동전/지폐의 역할을 수행하는 디지털 데이터로 구성된 화폐

 은행, 상점, 구매자로 구성

 구매자 - 은행 간에 이루어지는 발행 단계

 발행 단계에서 받은 전자화폐로 물건을 사고 상점에 전자화폐를 지불하는 지불 단계

 구매자로부터 받은 전자화폐를 은행에 제출하여 상점의 계좌로 자금 이체를 시켜주는 결제 단계

 

2) 전자화폐의 요구조건

 - 디지털 정보화

 - 재사용 불가능성

 - 익명성

 - 오프라인성

 - 양도성

 - 분할이용 가능성

 - 부정 사용자의 익명성 취소

 - 이중사용 방지

 

(3) 전자지불 시스템

1) 개요

 은행, 고객, 상점, 인증기관

 

2) 전자지불 시스템의 종류

 기술적인 분류

   신용카드 이용한 지불

   전자화폐를 이용한 지불

   계좌이체를 이용한 지불

   모바일을 이용한 지불

 

3) 전자지불 시스템의 정보보호 요구사항

 - 위조불가능

 - 부인방지

 - 누명명제

 - 무결성/인증

 - 프라이버시/익명성

 

 

 

3. SET(Secure Electronic Transaction)

 

1) 개요

 신용카드회사인 비자와 마스터카드가 합동으로 개발

 인터넷상에서 신용카드를 이용한 상품구매 시 안전한 대금결제과정 처리를 위해 RSA 암호화와 인증기술 이용

 가장 두 가지 기술 이용(전자봉투, 이중 서명)

 

2) SET 참여주체

 카드 소지자, 발행사, 가맹점, 지불 은행, 지불 게이트웨이, 인증기관

 

3) 이중서명 프로토콜

 카드 사용자가 구매정보와 지불정보를 각각 해시한 후, 두 해시값을 합한뒤 다시 해시한다. 그리고 최종 해시값을 카드 사용자의 개인키로 암호화(서명)한다. 그러면 이중 서명값이 생성

 이중서명의 목적은 상점이 카드 사용자의 계좌번호와 같은 지불정보를 모르게 하는 동시에 상점에 대금을 지불하는 은행은 카드 사용자가 상점에서 산 물건을 모르지만 상점이 요구한 결제 대금이 정확한지 확인할 수 있게 하는 것

 

4) SET의 장단점

- 장점

   전자거래의 사기를 방지

   기존의 신용카드 기반을 그대로 활용

   SSL의 단점(상인에게 지불정보 노출)을 해결한다.

 

- 단점

   암호 프로토콜이 너무 복잡하다.

   RSA 동작은 프로토콜의 속도를 크게 저하시킨다.

   카드 소지자에게 전자지갑 소프트웨어를 요구한다.

   상점에 소프트웨어를 요구한다.

   지불 게이트웨이에 거래를 전자적으로 처리하기 위한 별도의 하드웨어와 소프트웨어를 요구한다.

 

 

 

4. 전자상거래 응용 보안

 

1) e-business를 위한 ebXML 보안

 인터넷 표준 브라우저만으로 장소에 구애 없이 어디서나 전자상거래를 할 수 있으며 저렴한 구현 비용, 개방된 네트워크로 전자거래 교환을 위한 국제 표준을 제공

 

2) e-business를 위한 ebXML

 - 구성요소

   비즈니스 프로세스

   핵심 컴포넌트

   등록저장소

   거래당사자

   전송, 교환 및 패키징

 

- 사용 효과

   재활용성

   비즈니스 프로세스 활용

 

3) 무선플랫폼에서의 전자상거래 보안

WPKI(Wireless Public Key Infrastructure)

 WAP에서 서버와 클라이언트 간의 인증을 위한 무선 환경에 적합한 인증서를 발급, 운영, 관리하는 무선망의 공개키 기반 구조를 말한다.

 

WPKI 구성요소

- CA 서버 시스템 : 인증서 발급, 관리

- RA 서버 시스템 : 인증서 발급, 관리 요청 중계

- Client 시스템 : 인증서 발급, 관리 요청

- Directory 서버 시스템 : CA가 발행한 인증서 정보를 저장, 관리

 

 

 

 

 

*출처:[알기사] 2019 정보보안기사&산업기사

*해당 블로그는 개인적인 공부와 정보 공유를 위해 만들었습니다.