전자상거래의 이해
- 1994년 피자헛이 처음으로 웹 사이트를 통해 주문을 받음
- 넷스케이프 1.0은 SSL암호화를 통한 보안 거래를 제공
전자 상거래의 보안 요건
- 전자 상거래의 보안을 위협하는 공격 유형
- 인증 공격-네트워크로 접근한 사용자가 적절치 않은 인증으로 다른 사용자로 위장
- 송수신 부인 공격 - 네트워크를 통해 수행한 인증 및 거래 내역을 부인하는 것
- 기밀성 공격 - 네트워크로 전달되는 인증 정보 및 주요 거래 정보가 유출 되는 것
- 무결성 공격 - 네트워크 도중 거래 정보 등이 변조 되는 것
- 전자 상거래 보안 요구사항
- 신분 확인 수단 제공 - 원격의 거래 상대를 신뢰할 순 없기 때문에 네트워크에서 신분 확인 수단이 필요
- 제삼자의 중재-거래 내역을 공증할 수 있는 신뢰할 만한 제삼자의 중재 필요
- 지불 방식의 안정성 - 전자지불 방식의 안전성을 보장하는 방법이 확보되어야 함
전자화폐
- 디지털 데이터 기반의 사회에서 가상공간의 화폐역할을 하는 디지털 데이터
- 은행, 상점, 구매자로 구성되어 구매자와 은행 간 이루어지는 발행단계, 발행단계에서 받은 전자 화폐로 지불하는 지불 단계, 구매자로부터 받은 전자화폐를 은행에 제출하여 상점의 계좌로 이체해주는 결제 단계로 구성되어 있음
전자화폐의 요구 조건
- 디지털 정보화: 디지털 정보만으로 실현되는 것(물리적인 형태에 의존 X)
- 재사용 불가능 성: 복사 위조 등으로 인한 부정사용 X
- 익명성: 구매자의 프라이버시가 노출되면 안됨
- 오프라인성: 상정메서 지불시 처리를 오프라인으로 처리할 수 있어야 함
- 양도성: 타인에게 양도가 가능해야 함
- 분항 이용 가능성: 합계 금액이 액면 금액이 될 때 까지 분할해서 사용할 수 있다.(정액권)
- 부정 사용자의 익명성 취소: 익명성 취소는 익명성 조절 파라미터에 의해 제공되며 선택적으로 익명성을 취소할 수 있다.
- 이중사용 방지: 부정한 사용자가 전자화폐를 불법적으로 복사하여 여러번 반복적으로 사용하는 부정한 행위는 검출될 수 있어야 함
공인 인증서
- 공개 키 기반 구조 - 인터넷에서 신분증을 검증해주는 관청 역할
- 공인인증서가 신분증과 같은 효력을 발휘하기 위해선 검증 기관이 필요함 ⇒ 공개 키 기반 구조를 통해 해결
- 여러 요소를 동시에 써서 인증을 하는걸 멀티 팩터라 함
- 팩터란? 사용자의 신원을 확인하는 방법에 따라 지식기반 인증, 소유기반 인증, 속성기반 인증의 3가지의 카테고리로 나누어 지는데, 이를 인증 팩터라고 함
- 지식기반 - 사용자만 알고 있는 것 (패스워드, PIN코드, 질문 답변 등)
- 소유기반 - 사용자만 소유하고 있는 것 (휴대폰 SMS인증, 보안카드, 공인인증서, OTP등)
- 속성기반 - 사용자의 고유한 속성 (지문인식, 홍채인식, 얼굴인식 등)
- 팩터란? 사용자의 신원을 확인하는 방법에 따라 지식기반 인증, 소유기반 인증, 속성기반 인증의 3가지의 카테고리로 나누어 지는데, 이를 인증 팩터라고 함
- 오늘날 사용하는 대부분의 공인 인증서는 X.509 인증서를 표준으로 딸며 SPKI, PGP인증서가 있다.
공개 키 기반 구조의 개념
- 공개 키 기반 구조가 되려면 인증 정보를 일원화 하여 호환성을 갖춤으로써 개인이 쉽게 접근할 수 있어야 함
- 트리형으로 구성된 공개 키 기반 구조를 순수계층 구조라 함
- PAA(Policy Approval Authorities): 정책 승인 기관, 공인인증서 정책을 결정하고 하위 기관 정책을 승인
- PCA(Policy Certification Authorities): 정책 인증 기관, Root CA 인증서를 발급하고 기본 정책을 수립
- CA(Certification Authority): PCA의 하위 기관인 인증 기관, 인증서 발급과 취소 등의 실질적인 업무 담당
- RA(Registration Authority): 등록 기관, 공인인증서 인증 요청을 확인하고 CA간 인터페이스 제공
공인 인증서의 구조
- 공인 인증서의 기본 영역
- 버전: 공인 인증서 형식 구분
- 일련번호: 공인인증서를 발급한 인증 기관 내의 인증서 일련번호
- 서명 알고리즘: 공인인증서를 발급할 때 사용한 알고리즘
- 발급자: 공인인증서를 발급한 인증기관의 DN(Distinguish Name)
- 유효 기간: 공인인증서를 사용할 수 있는 시작일과 만료일로 초 단위까지 표기
- 주체: 공인인증서 소유자의 DN
- 공개 키: 모든 영역을 해시하여 인증 기관의 개인 키로 서명한 값
공인 인증서의 특성
- 누구나 사용자의 공인 인증서와 공개 키를 획득 가능
- 인증 기관 이외에 공인 인증서를 수정 및 발급할 수 없음
- 같은 인증 구조 내의 사용자는 상호 인증의 신뢰가 가능함
공인 인증서의 폐기
- 공인 인증서를 시기 적절하게 폐기하여 피해를 줄이는 것이 목적
- 인증 기관에서 폐기 목록(Certification Revocation List, CRL)을 주기적으로 발급, 이 폐기 목록도 전사 서명을 하여 발급함
- 폐기 목록
- 나쁜 목록: 폐기된 공인 인증서 정보만 유지, 목록에 포함되지 않은 것만 사용해야 함
- 좋은 목록: 목록에 포함된 공인 인증서만 사용해야함
- 좋은 목록은 공개되어 있어 잘못된 공인인증서 발견 후 조치할 수 있음
전자 서명
- 서명자가 해당 전자문서에 서명하였음을 나타내기 위해 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보
전자서명이 제공하는 기능
- 전자서명은 원본의 해시 값을 구한 뒤 부인 방지 기능을 부여하기 위해 공개키 방법을 사용
- 위조 불가
- 인증
- 재사용 불가
- 변경 불가
- 부인 방지
- 전자 봉투는 암호화된 메시지와 메시지 암호를 해제할 키를 동시에 보내도록 구현한 것
- A가 전자봉투를 사용하기 위해 전자서명을 생성하고 전자서명과 원문, 자신의 공개 키가 들어 있는 인증서를 비밀 키로 암호화 ⇒ 전자 봉투
- A는 B에게 비밀 키로 암호화 한 결과와 비밀 키가 암호화 된 전자봉투를 보냄
- B는 자신의 개인 키로 복호화 하여 비밀 키를 획득한 뒤 전자서명과 편지, A의 인증서를 복호화
- 복호화한 인증서에서 A의 공개 키를 얻어 전자서명을 복호화하고 이를 내용물의 해시 결과와 비교
'정보보안 > 정보보안 기사' 카테고리의 다른 글
정보보안 기사 - 전자 결제 (0) | 2022.06.14 |
---|---|
정보보안기사 - 전자상거래(2) SET (0) | 2022.06.14 |
WebHacking - OWASP Top 10(2019.ver), 웹 보안 (0) | 2022.04.19 |
이메일 보안 기술 (0) | 2022.04.15 |
Network - Transfer Layer (0) | 2022.04.13 |