정보보안기사

전자상거래 보안

SNNP 2023. 1. 23. 09:07

전자상거래 보안 공격 유형

  • 인증에 대한 공격 : 네트워크를 통해 접근한 사용자가 적절하지 못한 인증을 통해 다른 사용자로 위장하는 것
  • 송수신 부인 공격 : 네트워크를 통해 수행한 인증 및 거래 내역에 대해 부인
  • 기밀성에 대한 공격 : 네트워크를 통해 전달되는 인증 정보 및 주요 거래 정보 유출
  • 무결성에 대한 공격 : 네트워크 도중에 거래 정보 등이 변조되는 것

전자상거래 보안 요구사항

  • 네트워크 상에서 상대방 및 자신에 대한 신분 확인 수단 필요
  • 신뢰할 만한 제 3자의 중재가 필요
  • 전자지불 방식의 안전성을 보장하기 위한 방법 확보

전자화폐

은행, 상점, 구매자로 구성

  • 구매자와 은행 간에 이루어지는 발행 단계
  • 발행 단계에서 받은 전자화폐를 상점에 지불하는 지불 단계
  • 전자화폐를 은행에 제출하여 상점의 계좌로 자금 이체를 시켜주는 결제 단계

전자화폐의 요구조건

  • 디지털 정보화 : 디지털 데이터 자체로서 완벽한 화폐가치를 가져야 함
  • 재사용 불가능성 : 복사, 위조 등으로 부정사용을 할 수 없는 것
  • 익명성 : 구매에 관한 프라이버시가 상점이나 은행에 결탁해도 노출되지 않음
  • 오프라인성 : 상점에서 지불 시 오프라인으로 처리할 수 있어야 함
  • 양도성 : 타인에게 양도 가능
  • 분할이용 가능성 : 합계 금액이 액면 금액이 될 때까지 분할해서 사용할 수 있음
  • 부정사용자의 익명성 취소 : 선택적으로 익명성을 취소할 수 있음
  • 이중사용 방지 : 여러 번 반복적으로 사용하는 부정한 행위는 은행에 의해 검출 가능

전자지불 시스템

은행, 고객, 상점, 인증기관으로 구성

 

기술적인 분류

  • 신용카드를 이용한 지불
  • 전자화폐를 이용한 지불
  • 계좌이체를 이용한 지불
  • 모바일을 이용한 지불

지불 브로커의 유무에 따른 분류

  • payment broker 시스템 : SET, cyber cash, first virtual 등과 같은 SSL/TLS, S-HTTP 등의 보안 프로토콜로 지불
  • 전자화폐 시스템 : 지불브로커 없이 독립적인 신용구조를 갖는 현금과 유사한 개념, Mondex, E-cash, Millicent, Proton

전자지불 시스템의 정보보호 요구사항

  • 위조불가능
  • 부인방지
  • 누명면제 : 전자지불 시스템 구성요소 간 연합하여 특정 구성요소에게 누명을 씌울 수 없도록 함
  • 무결성/인증
  • 프라이버시/익명성 : 통신망상에서는 정보수집이 용이하여 신상 관련 정보들을 보호하는 것 중요, 은닉성, 비추적성
  • 원자성, 감사, 분할성, 양도성, 효율적 규모, 상호운영성/교환성, 효율성, 무효화 등

SET(Secure Electronic Transaction)

비자와 마스터카드가 합동으로 개발

RSA 암호화(느림)와 인증기술 이용

전자봉투와 이중 서명 기술 사용

SET 참여 주체

  • 카드 소지자 : 발행사에 의해서 허가된 지불카드 사용
  • 발행사 : 카드소지자의 계정을 만들어주고 카드를 발급해주는 금융기관
  • 가맹점 : 상인은 지불에 대한 대가로 상품과 서비스를 제공, 매입사와 관계를 가져야 함
  • 지불은행(매입사) : 신뢰성과 지불을 담당하는 금융기관(상인의 은행)
  • 지불 게이트웨이 : 제3자에 의해 운영되는 장치, 해당 금융기관에 승인 및 결제를 요청하는 지불 네트워크 통로
  • 인증기관(CA) : SET 참여자에게 공개키 인증서를 발행하는 기관

이중서명 프로토콜

지불정보를 상점에게 숨기고 주문정보는 은행에게 숨기는 기능을 제공하여 프라이버시 보호

사용자의 주문정보는 상점의 공개키로 암호화하고 지불정보는 은행의 공개키로 암호화

SET의 장단점

장점 단점
전자거래의 사기를 방지
기존의 신용카드 기반을 그대로 활용
SSL의 단점(상인에게 지불정보 노출)을 해결
암호 프로토콜이 너무 복잡
RSA 동작은 프로토콜의 속도를 크게 저하시킴
카드 소지자에게 전자지갑 소프트웨어를 요구
상점에 소프트웨어 요구
지불 게이트웨이 거래 처리를 위한 별도의 HW와 SW 요구

전자상거래 응용 보안

e-buisness를 위한 ebXML 보안

ebXML(electronic buisness XML)

인터넷 표준 브라우저만으로 장소에 구애 없이 어디서나 전자상거래 이용 가능

저렴한 구현 비용, 개방된 네트워크로 전자거래 교환을 위한 국제 표준 제공

 

ebXML 구성 요소

비즈니스 프로세스, 핵심 컴포넌트, 등록저장소, 거래당사자, 전송/교환 및 패키징

 

ebXML 사용 효과

재활용성

비즈니스 프로세스 활용

 

WPKI(Wireless Public Key Infrastructure)

WAP에서 서버와 클라이언트 간의 인증을 위한 무선 환경에 적합한 인증서 발급, 운영, 관리하는 무선망의 PKI

무선 인터넷 상에서의 인터넷 뱅킹, 사이버 주식 거래 시 외부 침입이나 정보 누출로부터 보호하는 인터넷 공개키 기반 구조

PKI 기술의 핵심인 비밀성, 무결성 및 신원 확인과 부인방지 같은 서비스를 무선환경에서 구현

WTLS 인증서 프로파일, 인증서 DN, 인증서 및 알고리즘 관련 OID 등으로 구성

구성요소 : CA 서버 시스템, RA 서버 시스템, Client 시스템, Directory 서버 시스템

📍XML 기반 보안기술
XML Signature - 무결성 및 부인방지 기능
XKMS - XML 기반 PKI 서비스 프락시 기능
SAML - XML 기반 속성, 인증 및 승인 기능
XACML - XML 기반 접근제어 기능