정보보안기사 필기 - 36(전자상거래 보안)

- 전자상거래 개요

광의적 개념의 전자상거래는 정부, 기업, 개인 간의 전자정보를 통하여 이루어지는 상거래 전반을 의미합니다. 협의적 개념의 전자상거래는 일반 소비자를 대상으로 인터넷이나 통신망을 이용한 상품 관련 정보를 제공, 협상, 주문, 마케팅, 판매활동을 수행하는 것을 말합니다. 전자상거래는 인터넷상의 불특정 다수간에 다양한 거래를 가능하게 하는 반면 정보보호의 측면에서는 커다란 불안요인을 안고 있습니다.

 

- 전자상거래 보안

<전자 상거래 보안유형>

• 인증에대한 공격 : 공격자가 적절하지 못한 인증을 통해 다른 사용자로 위장합니다.
• 송수신 부인 공격 : 수행한 인증 및 거래 내역에대해 부인합니다.
• 기밀성에대한 공격 : 인증 정보 및 주요거래 정보가 유출됩니다.
• 무결성에대한 공격 : 거래정보등이 변조됩니다.

<전자 화폐>

전자화폐란 디지털 데이터 기반의 사회에서 강상공간의 동전.지폐의 역할을 수행하는 디지털 데이터로 구성된 화폐입니다. 아래는 전자화폐의 요구 조건입니다.

• 디지털 정보화 : 완전하게 디지털 정보만으로 실현되는 것입니다.
• 재사용 불가능성 : 복사, 위조등으로 인한 부정사용을 할수없는 것입니다.
• 익명성 : 이용자의 구매에관한 프라이버시가 상점이나 은행이 결탁해도 노출되지않는것입니다.
• 오프라인성 : 상점에서의 지불시 처리를 오프라인으로 처리할 수 있는 것입니다.
• 양도성 : 타인에게 양도가 가능해야합니다.
• 분할이용 가능성 : 합계금액이 액면 금액이 될때까지 분할해서 사용할 수 있어야합니다.
• 부정 사용자의 익명성 취소 : 익명성이 조절되어야합니다.
• 이중 사용 방지 : 부정한 행위는 은행에 의해 검출될 수 있어야합니다.

<전자 지불 시스템 구성요소>

• 은행 : 전자화폐를 발행하고 결제하는 기관
• 고객 : 전자화폐를 은행으로부터 발급받아 사용하는 주체
• 상점 : 상품을 공급하고 전자화폐를 구매대금으로 받는 자
• 인증 기관 : 신분인증, 거래내용 부인방지등을 위한 기관

<지불 브로커에 유무에따른 전자지불 시스템 분류>

• payment broker 시스템 : 독립적인 신용구조와달리 신용카드나 은행계좌를 이용한 전자적 지불을 말합니다.
• 전자화폐 시스템 : 독립적인 신용구조를 가지는 현금과 유사한 개념의 전자적 지불수단입니다.

<전자지불 시스템의 정보보호 요구사항>

• 위조불가능 : 전자화폐는 위조가 불가능해야합니다.
• 부인방지 : 어느한쪽이 거래사실을 부인하고 있음을 판별할수 있어야합니다.
• 누명면제 : 전자지불 시스템을 구성하는 구성요소간에 연합하여 특정 구성요소에게 누명을 씌울 수 없어야합니다.
• 무결성/인증 : 메시지가 도중 변경되지않았음을 확인하고 합법적인 사용자임을 확인할 수 있어야합니다.
• 프라이버시/익명성 : 통신망상에서는 정보수집이 용이하므로 신상관련 정보들을 보호해야합니다.
• 이외에서 원자성, 감사, 분할성, 양도성 등등이 있습니다

- SET

SET(sercure electronic transaction)은 비자와 마스터카드가 합동을 개발하였으며 인터넷상에서 신용카드를 이용한 상품구매시 안전한 대금결제과정 처리를 위해 RSA 암호화와 인증기술을 이용합니다. 현재까지 가장 안전한 전자결제방안으로 평가받고 있습니다. SET에서 가장 중요한 기술은 전자봉투와 이중서명입니다.

 

<SET 참여주체>

• 카드 소지자 : 소비자입니다.
• 발행사 : 카드 발행사입니다.
• 가맹점 : 상인입니다.
• 지불 은행 : 상인의 은행입니다.
• 지불 게이트웨이 : 카드 지불 네트워크의 통로입니다. 지불은행과 연결됩니다.
• 인증기관 : 공개키 인증서를 발행하는 기관입니다.

 

<이중 서명 프로토콜>

이중서명의 목표는 상점이 카드 사용자의 계좌번호와 같은 지불정보를 모르게하는 동시에 상점에 대금을 지불하는 은행은 카드 사용자가 상점에서 산 물건을 모르지만 상점이 요구한 결제대금이 정확한지 확인할 수 있게하는 것입니다. 이중서명은 구매정보와 지불정보를 해시값으로 두기때문에 이중서명이라 합니다.

아래는 이중 서명 프로토콜 기본적인 흐름도 입니다.

아래는 상세 절차입니다.

1. 구매자는 구매정보와 지불정보를 대칭키로 암호화하고 이 대칭키를 구매정보는 구매자 개인키로 지불정보는 은행 공개키로 암호화합니다. 그리고 아래와 같은 데이터를 상점에게 보냅니다.

2. 상점은 구매자의 공개키고 구매정보의 해시값을 구해내고 구매자의 신청한 물건에 대한 구매정보를 직접 구한 후 해시한 후 구매자의 지불정보와 합쳐 다시 해시하여 이중 해시값을 구한후 구매자의 이중 해시값과 비교합니다.

3. 상점은 둘을 비교했을때 동일하다면 지불 게이트웨이로 아래와 같은 값들을 보내게됩니다.

4. 은행은 상점이 보내온 이중해시값에서 지불정보를 은행의 사설키로 복호화하여 해시값을 구합니다. 이후 구매자의 정보를 바탕으로 직접 지불정보를 직접 구한 후 구매정보와 지불정보를 합한 이중 해시값을 구하고 상점이 보내온 이중해시값과 비교합니다.

5. 만약 비교했을때 맞다면 지불을 실행합니다.

 

<SET 장단점>

• 장점 : 전자거래의 사기를 방지하고 기존의 신용카드 기반을 그대로 활용하며 SSL의 단점(상인에게 지블정보 노출)을 해결합니다.
• 단점 : 암호 프로토콜이 복잡하며 RSA동적으로 프로토콜 속도를 크게 저하시킵니다. 카드소지자에게는 전자지갑을 요구하며 상점에게는 소프트웨어를 요구합니다. 지불게이트웨이에는 하드웨어와 소프트웨어를 요구합니다.

 

- 전자상거래 응용 보안

<e-business>

전자상거래 기반 기술을 토대로 특정한 응용분야 기술이 개발되고 있는데 그중 하나가 ebXML입니다. 이를 통해 인터넷 표준 브라우저만으로 장소에 구애없이 어디서나 전자상거래를 할 수 있습니다.

 

<ebXML 구성요소>

• 비즈니스 프로세스 : 다양한 비즈니스 거래절차에대한 내용을 표준화된 방법으로 모델링해 시스템이 자동으로 인식, 처리할 수 있도록 하는 표현방법에대해 규정합니다.
• 핵심 컴포넌트 : 메시지를 이루는 항목을 미리 잘 정의해 재사용 가능하도록 표준화 작업을 합니다.
• 등록 저장소 : 저장소는 거래상대자들에 의해 제출된 정보를 저장하는 안전한 장소입니다.
• 거래당사자 : 비즈니스 거래 당사자에 대한 각종 정보 및 협업을 위한 프로파일을 통일된 규칙으로 표현합니다.
• 전송, 교환 및 패키징 : ebXML 메시지 서비스를 제공하여 상호운영성과 보안을 유지하면서 메시지를 어떻게 전달할 것인가에대한 표준을 정립니다.

<ebXML 사용 효과>

컴포넌트 중 모든 문서에서 공통적으로 사용되는 컴포넌트를 골라내어 핵심 컴포넌트를 만들고 XML 문서를 만들때 핵심컴포넌트를 사용하여 XML문서를 만듭니다. XML문서를 만들때마다 고민할 필요없이 만들어져있는 핵심 컴포넌트에서 필요한 항목만 뽑아쓰기만하면됩니다.

 

<WPKI>

WPKI(wireless public key infrastructure)은 WAP상에서 공개키 기반 구조를 말합니다. 아래는 구성요소입니다.

• CA : 인증서 발급, 관리
• RA : 인증서 발급, 관리 요청 중계
• client : 인증서 발급
• directory : CA가 발행한 인증서 정보를 저장