정보보안기사 - 전자상거래(2) SET

SET(Secure Electronic Transaction)

• 신용카드회사인 비자와 마스터카드가 합동으로 개발한 프로토콜
• 신용카드 거래에서 표준, RSA 암호화와 인증 기술을 이용
• 전자봉투와 이중 서명을 사용

 SET의 목적

• 정보의 기밀성 확보
• 지불 정보의 무결성 확보
• 상인과 고객의 상호 확인

SET 구성

• 신용카드 사용자
• 상점
• 지불 게이트웨이(중개)
• 신용카드 회사
• 은행
• 인증 기관

지불 과정

1. 신용카드 사용자가 SET을 이용해 상점에 결재 의뢰
2. 판매자는 고객의 신용카드 회사에서 카드의 유효성 여부 확인
3. 카드가 정상이라면 주문 확인 메시지를 고객에게 전송, 고객은 자신의 신용카드 정보를 판매자에게 전송
4. 판매자는 고객에게 받은 정보를 결재에 다시 이용

이중서명

• 카드 사용자가 구매정보와 지불 정보를 각각 해시한 후, 두 해시값을 합한 뒤 다시 해시한다.
• 최종 해시값을 카드 사용자의 개인키로 암호화 하여 이중 서명을 생성
  • 이중서명의 목적은 상점이 카드 사용자의 계좌번호와 같은 지불 정보를 모르게하는 동시에 주문정보는 은행에게 숨기는 기능을 제공하여 프라이버시를 보호함

SET 검증

프로토콜이 생성하는 검증 정보

• 암호화된 구매정보: 상점의 공개키로 암호화된 구매 정보
• 암호화된 결재 정보: 대칭키로 암호화된 결재 정보
• 검증 해시값: hash(구매 정보), hash(결제 정보)
• 전자 서명: 3.검증 해시값을 고객의 개인키로 암호화한 정보
• 대칭키를 담은 전자봉투: 2. 암호화된 결제 정보를 암호화한 대칭키를 PG사의 공개키로 암호화한 정보

상점의 검증

• 구매 정보 무결성 확인
  • 구매 정보를 상점의 개인키로 복호화 확인
  • 결제 정보는 대칭키로 암호화되어 볼 수 없음
  • 실제 구매정보에 해시를 적용해 복호된 해시값과 같은지 확인
• 고객의 요청한 구매정보 및 결제 정보가 조작되지 않음을 확인(부인방지, 무결성 검증)
  • 고객의 공개키로 전자 서명 확인
  • 전자서명 값이 검증 해시값과 같은지 확인

PG사의 검증

• 상점으로부터 검증 정보 중 구매 정보를 제외한 나머지 정보를 전달
  • 고객의 구매한 정보에 맞는 정당한 결제 요청인지만 확인하면 됨
• PG사는 “전자봉투”를 자신의 개인키로 복호 → 대칭키 확보
• 대칭키로 암호화된 결제 정보 복호
• PG사는 결제 정보에 해시적용, 이 값이 검증 해시값에서 hash(결제정보)부분과 일치하는지 확인
• 고객의 공개키로 “전자 서명”을 확인
• 전자서명을 풀어서 나온 값이 “검증 해시값”과 같은지 확인

SET의 장단점

- 장점

 1) 전자거래 사기 방지

 2) 기존의 신용카드 기반을 활용

 3) SSL의 단점(상인에게 지불정보 노출)을 해결

 

- 단점

 1) 암호 프로토콜이 너무 복잡함

 2) RSA 동작은 프로토콜의 속도를 크게 저하시킴

 3) 카드 소지자에게 전자지갑 소프트웨어를 요구

 4) 상점에 소프트웨어를 요구

 5) 지불 게이트웨이에 거래를 전자적으로 처리하기 위한 별도의 하드웨어와 소프트웨어을 요구