[정보보안기사] 전자상거래 보안

1. 전자화폐

- 디지털 서명이 있는 전자기호 형태로 화폐적 가치를 가지고 있는 정보

- 전자화폐 요구 조건 : 불추적성, 가치이전성, 분할성, 독립성, 이중사용 방지, 익명성 취소 가능

- 몬덱스 : 현금 지불의 장점과 카드 지불의 편리함을 결합, 5개국 통화로 가치 저장 가능, 해외 사용 및 송금 가능

- 비자캐시 : 소액 지불을 위한 지불 수단, 11개국에서 사용

- PC Pay : 스마트 카드와 카드 리더기로 구성된 PC Pay Device와 Interface Software로 구성

- Ecash : 은닉서명 기술을 사용하여 온라인 상에서 완전한 익명성 제공

- Net Cash : 분산 Currency Server를 기반으로 하여, 전자화폐와 교환이 가능

- FDS : 전자금융거래에서 사용되는 정보들을 분석하여 각종 부정 거래행위를 탐지 및 예방하는 시스템

- Bitcoin : 중앙 관리 장치 없이 P2P 기반의 분산 DB로 이루어져 있으며, 공개키 암호 방식을 사용해 거래

---

2. SET(Secure Electronic Transaction)

- VISA와 Master Card 사에서 인터넷에서의 신용카드 사용 촉진을 위해 공동으로 개발한 프로토콜

- 전자 서명과 인증서를 통한 안전한 거래 가능

- 기밀성, 무결성, 인증, 부인봉쇄 기능 지원

 

 2-1. SET 거래 절차

 - 구매자가 판매자의 상품을 선택하고 판매자의 인증서를 수신하면, 이를 통해 정당한 판매자인지 검증

 - 구매자가 자신의 인증서, 주문 정보, 지불 정보에 대한 이중 서명을 수행

   그리고 주문 정보, 지불 정보에 대한 해시 쌍을 생성

   마지막으로 지불 정보를 대칭키로 암호화하고, 그 대칭키를 PG의 공개키로 암호화해 판매자에게 모두 전송

 - 판매자는 수신된 정보로 구매자의 정당함 인증하고 주문정보에 대한 해시를 생성해 대치

 - 대치된 해시 쌍을 다시 해시해 이중 해시 값을 구하고,

   구매자의 개인키로 암호화된 해시 값을 공개키로 복호화한 후 주문 정보 비교

 - 판매자는 구매자로부터 받은 값을 PG에게 전송

 - PG는 구매자가 암호화한 대칭키를 PG의 개인키로 복호화하고, 이를 이용해 암호화된 지불 정보를 복호화

 - 지불 정보를 해시하고 대치한 후 이중 해시를 생성해 기존의 이중 해시와 비교 후 은행에 대금 지급 요청

 * PG(Payment Gateway) : 기존의 카드 지불 네트워크의 통로

 

 2-2. SET Dual Signature

 - 지불 처리를 수행할 때 사용자 정보와 가맹점 정보를 분리해서 서명

 - 지불 정보 / 주문 정보를 숨길 수 있음

---

3. SSL(Secure Sockets Layer)

- 인터넷과 같은 개방 환경에서 Client와 Server 간의 안전한 통신을 위해 Netscape 사에서 개발한 프로토콜

- RSA 공개키 알고리즘을 사용하며, X.509 인증서 지원, 443번 포트 사용, 4~7 계층에서 동작

- 기밀성, 무결성, 인증의 세 가지 보안 서비스 제공

 

 3-1. SSL 구성요소

 - Change Cipher Spec Protocol : 어떤 종류의 키 교환 알고리즘, MAC 암호화, HASH 알고리즘을 사용할지를

                                                     Web Server와 Client에 공지

 - Alert Protocol : SSL 통신 도중 Client와 Web Server 중 누군가의 비정상적인 동작 발생 시 사용되는 프로토콜

 - Record Protocol : SSL 상위 프로토콜에서 설정된 방식에 따라 데이터 암호화, MAC 생성, 단편화, 압축 등의
                                동작을 수행하는 실질적인 보안에 관련된 프로토콜

 

 3-2. SSL Handshaking Protocol 과정

 - Client Hello : Client 브라우저가 지원하는 암호화 / 키 교환 / HASH 알고리즘, MAC 암호화를 Server에 전송

 - Server Hello : Client Hello 메시지 내용 중 Server가 지원할 수 있는 알고리즘들을 Client에 전송

 - Server Hello Done : Client에게 Server의 요청이 완료되었음을 공지

 - Client 인증서 : Server에서 Client의 인증 요청 발생 시 Client의 인증서를 전달

 - Premaster Key 전송 : 인증서를 통해 Server 확인 후 암호 통신에 사용할 Session Key를 생성하고,

                                      이것을 Server의 공개키로 암호화해 Premaster Key를 만들어 Server로 전송

 - Change Cipher Spec : 협의된 암호 알고리즘들을 이후부터 사용한다는 것을 Server에 알림

 - Finished : Server에게 협의 종료를 전달

 - Change Cipher Spec : Client의 응답에 동의하고, 협의된 알고리즘의 적용을 공지

 - Finished : Client에게 협의 종료를 선언

 

 3-3. OpenSSL

 - SSL 보안 Server가 가지고 있는 개인키를 생성하고, Server 인증서를 생성해야 OpenSSL사용 가능

 - HeartBleed 취약점 : 웹브라우저에서 요청 시 데이터 길이를 검증하지 않아 평문의 64KB가 노출되는 취약점

---

4. sHTTP

- Client와 Server 간에 전송되는 모든 메시지를 각각 Message 단위로 암호화하는 프로토콜

- Application Layer에서 보안 기능 제공

- 기밀성, 무결성, 전자 서명, 암호화 방식 선택, CA 선택 등의 기능 제공

---

5. IPSEC(IP Security)

- 인터넷 상에 가상의 전용 회선을 구축해 보안성을 높인 통신 규약

- Tunnel Mode : 패킷 전체를 암호화하고 중계 장비의 IP 주소를 붙여 전송하는 방식

- Transport Mode : 데이터에 대해서만 암호화를 하고, IP 헤더에 대해서는 암호화를 하지 않는 방식

- AH : 데이터 무결성과 IP 패킷의 인증을 제공, MAC 기반

- ESP : AH에 암호화 기능을 추가하여 자료를 암호화하여 전송

 - ISAKMP : SA 및 세션 키를 관리할 수 있는 프로토콜

 - IKE : 키 교환 프로토콜

---

6. OTP(One Time Password)

- 인증 시 Random한 수를 생성하여 패스워드를 대신하는 방법

 

 6-1. 동기식 인증

 - 시간 : OTP 생성 매체가 시간을 기준값으로 하여 OTP 인증 서버와 동기화하여 비밀번호를 인증하는 방식

 - 이벤트 : OTP 생성 매체와 OTP 인증 서버의 동기화된 인증횟수를 기준값으로 비밀번호를 인증하는 방식

 

 6-2. 비동기식 인증

 - 질의응답 : 사용자가 OTP 인증 서버로부터 받은 질의값을 직접 OTP 생성 매체에 입력하여 OTP를 생성하는 방식

---

7. 전자문서와 ebXML

 7-1. 전자문서

 - 전자상거래 시 비즈니스 거래를 위해 활용되는 문서

 - EDI : 기업 간의 전자상거래 시 전자문서를 교환하기 위한 문서화 표준

 - XML/EDI : XML 문서를 인터넷을 활용해서 전자문서를 교환하는 개방형 표준

 - XMI : W3C에서 제안한 것으로 웹에서 구조화된 문서를 교환하기 위한 웹 표준

 - ebXML : 기업 간의 전자상거래 프레임워크

 

 7-2. ebXML

 - 비즈니스 프로세스 : 비즈니스 거래 절차에 대한 표준화된 방법

 - 핵심 컴포넌트 : 비즈니스에서 교환되는 전자문서를 재사용할 수 있도록 표준화 작업 수행

 - 등록 저장소 : 거래 당사자들에 의해 제출된 정보를 저장

 - 거래 당사자 : 비즈니스 거래 당사자에 대한 정보 및 협업을 위한 프로파일

 - 전송, 교환 및 패키징 : ebXML 메시지를 상호운영, 보안, 전달을 위한 표준

---

8. Web Service, XML Security

 8-1. 웹 서비스

 - WSDL : 서비스가 위치한 URL 및 웹 서비스 호출에 관한 정보를 기술하는 표준

 - UDDI : 서비스 제공자가 웹 서비스를 등록하고 서비스 사용자가 웹 서비스를 검색하기 위한 레지스트리

 - SOAP : 서비스 사용자가 서비스 제공자에 의해서 노출된 웹 서비스를 호출하고 결과를 받기 위한 표준 프로토콜

 

 8-2. XML 보안

 - XML 전자 서명 : XML 문서에 대해서 Element 단위 혹은 문서 단위 전자 서명

 - XML 암호화 : XML 문서에 대한 대칭키 및 공개키 기반 암호화 수행

 - XACML : 정보 자원에 대한 접근 정책을 정의한 표준 XML 문서

 - XKMS : 공개키 관리를 위한 공개키 획득, 검증, 키 등록, 폐기와 같은 메커니즘

 - SAML : Security Token 형태로 인증에 필요한 권한 정보