온라인 거래 보안

마지막 업데이트: 2022년 2월 10일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기
안랩 세이프 트랜잭션은 온라인 거래시 발생할 수 있는 개인정보 유출, 금융정보 탈취 등 다양한 보안 위협에 통합 대응하는 통합 보안 솔루션이다. 안랩 세이프 트랜잭션은 키보드 보안 기능과 PC 방화벽 기능, 악성코드 탐지, 웹 서비스 보호, 해킹 방지 기능을 제공한다.

온라인 거래 보안

- 협의 : 인터넷상 홈페이지에서 물건을 거래하는 것

- 광의 ; 소비자와의 거래뿐 아니라 거래와 관련된 공급자 , 금융기관 , 정부기관 , 운송기관 등과 같이 거래에 관련되는 모든 기관과의 관련행위

· 기존의 응용 시스템 : 사용자의 접근 통제 및 시스템 이용에 대한 이력 자료의 관리를 근간으로

· 전자상거래 : 접근통제 이외에 사용자의 실체증명 , 데이터 내용에 대한 사후 검증 수단 확보에 중점 ( 전자서명 )

- 비밀성 , 무결성 , 인증 , 권한부여 → 보안기술로 해결

- 보증 및 프라이버시 → 보안을 위한 기술적인 해결책의 시행 책임을 갖는 조직이나 개인에 의존하며 또한 판매자 부정에 대하여 고객보호 위한 법률의 구속력에 좌우됨

- 주문 , 결제를 확증하기 위해 구매자의 신분확인이 필요함

- 구매자가 살 자격이 있는 지 확인 증명

- 제 3 의 인증기관으로부터 거래확인 및 지불을 인증 받아야 함

- 부인방지 ( 구매자가 물건의 주문이나 인도를 부인못하게 )

- 지불에 대한 확신을 가질 수 있는 지불 시스템이 필요함

- 판매자의 거래 정보가 밝혀지지 않도록 익명성이 보장

- 상품에 대한 인증 ( 사고자 하는 물건인지를 인증하는 수단 )

- 판매자 신분을 확인 . 믿을 수 있는 판매자인지 확인

- 구매한 물건이 배달되지 않았을 경우 청구권 보장

- 물건의 구매에 대한 사실을 확인하는 영수증 확보

- 프라이버시 보호로 거래처나 거래내역의 거래정보 보호

- 개인의 전자거래 익명성 보장을 위해 거래량에 대한 정보가 밝혀지지 않도록 함

- 전자지불 : 전자상거래의 대금 결제를 위한 핵심적인 기술요소로서 인터넷과 같은 개방형 네트워크 상에서 고객이 물건 또는 정보를 구매한 대가로 금액을 전자적으로 지불하는 것을 말함

- 추적 불가능성과 프라이버시 제공 : 가장 핵심적인 기술 → 은닉전자서명을 사용

· 전자현금방식 : 네트워크형으로 Digicash 사의 E-cash 와 스마트카드형으로 Monex 가 대표적

· 지불 브로커 방식 : 기존 신용카드를 대금 지불수단으로 사용 , IBM, VISA, MASTER

· SET : RSA 암호화 기술을 이용하여 전송되는 지불 데이터와 구매 정보를 보호하여 신용카드 정보의 유출을 방지하고 이중 서명 (Dual signature) 방법을 사용하여 구매자의 신용카드번호와 같은 지불 정보가 판매자에게 공개되지 않은 채로 대금 결제가 이루어지는 인터넷 상에서의 신용카드 결제 기술임

· 전자화폐 : 주로 소액 거래에 사용되며 익명성 , 보안성 , 휴대 가능성 , 분할성 , 양방향성 등의 특징을 가지며 , 전자화폐는 가치 저장형과 네트워크 형이 있다
( 가치 저장형 : 스마트 카드 , IC 카드 , 자기띠 카드 등의 물리적인 매체에 정보를 저장하여 구매자가 전용 단말기가 설치되어 있는 상점을 이용할 때 지불 수단으로써 사용 - Mondex 카드 )

○ SET(Secure Electronic Transaction)

• 신용카드 기반의 전자상거래 지불 시스템 요구사항

- 비밀성 : 카드 계정정보 , 거래금액 , 거래내역 등 비밀유지

- 인증 : 상점은 신용카드 확인 , 구매자는 상점이 회원사 ?

- 무결성 : 전송되는 주문 정보 및 지불정보의 무결성

- 암호 알고리즘 및 프로토콜 : 위 3 가지를 위한 보안서비스

- 상호 운용성 : 다양한 전자상거래 , 응용 프로그램간 운용성

- 수용성 : 다양한 신용카드 , 금융 기관 및 상점에서 사용

- Visa 와 Master Card 사가 공동으로 개발

- RSA 의 암호화 기술을 기반으로 지불 데이터와 구매정보를 보호하여 정보유출을 방지 , 이중서명을 통한 신용카드 정보가 판매자에게 비공개적으로 대금결제가 가능

- 고객 등록 프로토콜 : 신용카드 이용자가 신용카드 회사의 CA 를 통해 고객의 등록과 인증서의 생성이 이루어짐

- 상점 등록 프로토콜 : 상점이 CA 에 등록하여 거래를 위한 인증서 발급

- 구매 요구 프로토콜 : 구매 계약이 성사되는 시점까지의 인증서 전달과정

- 지불 허가 프로토콜 : 상점이 지불 게이트웨이를 통하여 고객의 신용카드 사용을 허가 받는 절차

- 지불 확인 프로토콜 : 구매 계약 성립 후 입금을 요구하는 절차

- 구매자 ( 카드 소지자 ): 카드 소지자의 지불 카드 계좌에 대한 정보를 판매자에게 공개하지 않음

- 신용카드 발급 온라인 거래 보안 기관 : 카드 소지자의 계좌를 개설하고 카드를 발급하고 거래 약관에 따라 승인된 거래에 대한 대금지불을 보증

- 판매자 : 지불된 금액에 대한 물건이나 서비스를 제공함

- 판매자 측 금융기관 : 판매자의 계좌를 개설하고 카드의 승인과 대금지불을 온라인 거래 보안 처리

- 지불 게이트웨이 : 판매자의 지불 메시지를 처리하는 장비로서 판매자 측 금융기관이나 지정된 제 3 자에 의해 운영됨

- 카드상표 : 카드회사는 특정한 상표 (Visa, Master) 를 가진 지불 카드로 금융기관을 연결하는 네트워크를 제공

- IBM 에서 개발한 인터넷 전자지불 프로토콜

- iKP 에서 i 는 공개키를 소유하고있는 당사자의 수를 나타냄

- iKP 에서 제안한 전체적인 프로토콜의 참여자는 4 부분

- 구매자 , 판매자 , CyberCash 사 사이에서 전자거래

- 구매자는 CyberCash 사가 무료로 제공하는 CyberCash Wallet 이라는 프로그램을 이용하여 CyberCash 사에 계정을 등록하고 이 프로그램에 자신의 신용카드 정보를 기록한 후 이용

- 판매자는 CyberCash 로 부터 판매자 자격을 인증 받고 인터넷의 WWW 사이트에 자신의 상품을 판매하는 상점을 구축한다

- CyberCash 는 구매자와 판매자를 서로에게 인증하며 구매자의 신용카드 정보를 불순한 의도로부터 보호하며 신용카드 회사에게 상품 대금을 인출하여 판매자에게 전달한다

- Millicent 프로토콜은 구매자 , 판매자 , 중개인이 스크립 (scrip) 이라는 전자화폐를 기반으로 하는 시스템

- 구매자는 미리 신용카드 또는 은행계좌를 중개인 ( 은행 , 신용카드사 , 인터넷 서비스 제공자 등 ) 에게 등록

- 스크립 : 금액을 포함하기 때문에 거래가 이루어질 때 지불 수단으로 사용됨 ( 중개인 스크립 , 판매자 스크립 )

- 구매자는 중개인에 등록된 신용카드 또는 은행계좌를 이용해 중개인 스크립을 먼저 구입

- 구매자가 상품 또는 정보를 구매할 경우 특정 판매자 스크립을 제시하면 판매자는 구매 가격만큼 스크립의 온라인 거래 보안 금액을 감소시켜 변경된 금액의 스크립을 재 발행하여 줌으로써 지불처리를 완료하고 상품 또는 정보를 제공한다

• 시스템 매커니즘 및 보안 메카니즘

- 스크립 : 금액 , 유효기간 , 판매자 정보 등이 기록되고 지불처리시 매번 재발행함으로써
제 3 자 ( 중개인 ) 와 연계없이 이중사용을 쉽게 발견 및 방지 가능

- 스크립 보안 메카니즘 : 스크립의 이중사용과 위조를 방지하기 위해 스트립 내에 인증서를 포함

- Request Signature : Millicent 프로토콜은 구매요구 , 구매된 정보와 잔액에 해당하는 스크립을
평문으로 전송 → 도청가능 단점

- 판매자는 먼저 스크립의 금액이 기록된 스크립 데이터 필드를 구성하고 스트립 인증서를 생성해서 스크립을 발행한다 ( 처음 발행할 때 Custom_Secret 도 함께 발행 )

- 인터넷상의 소액지불을 위한 프로토콜로서 자주 쓰이는 공개키 서명을 사용하는 대신 해쉬 함수를 사용하여 계산 비용을 줄임으로서 적은 금액의 거래에 적합하도록 설계 (off-line 제공 )

- 판매자는 각각의 PayWord 을 받고 그날의 마지막에 사용자에게 받은 모든 PayWord 체인을 결제한다

- PayWord 는 사용자의 공개키 서명에 의해 중요한 정보의 안전성을 제공하고 토큰 생성에 해쉬함수를 사용함으로써 많은 계산량을 감소시킴

전자 상거래 구매의 보안을 개선하기위한 5 가지 전략

온라인 상점이나 비즈니스가 반드시 기여해야하는 주요 요소 중 하나가 상업적 운영의 보안이라는 것은 의심의 여지가 없습니다. 이 요소 없이는이 전문적인 활동을 통해 얻을 수있는 것이 거의 없습니다. 오히려, 그것은 당신이 할 수있는 봉투입니다 사업을지지하다 또는 경쟁 업체와 차별화되는 요소가 있습니다.

이러한 일반적인 맥락에서 온라인 상점의 보안을 개선하는 데 시간과 돈을 투자 할 수밖에 없습니다. 지금부터이 전략을 수행 할 수 있도록 전자 상거래의 보안을 향상시키는 것이 주요 목표 인 일련의 매우 유용한 팁을 제공 할 것입니다.

한편으로는 인프라 개선 이미 가지고 있지만 다른 하나는 고객이나 사용자에게 더 큰 신뢰를주는 다른 새로운 시스템을 가져옵니다. 이러한 관점에서 무엇보다도 상거래 또는 디지털 스토어를 개괄 할 때 우선 순위를 정의하는 것이 좋습니다. 우리가 노출 할 이러한 보안 조치를 지원하는 요소이기 때문입니다.

구매 보안 : 보증서

SSL 인증서를 제공하는 것은 지금부터이 긴급한 작업을 수행하는 데 필요한 조치 이상이 될 것입니다. 온라인 상점의 보안을 보장하는 가장 효과적인 방법 중 하나는 다음을 사용하는 것임을 잊지 마십시오. SSL 인증서. 이 인증서를 사용하면 https 프로토콜을 사용하여 탐색 할 수 있습니다. 이는 보안 강화와 동일하며 무엇보다도 클라이언트 또는 사용자의 존재에 대해 더 많은 확신을 줄 것입니다.

전자 상거래에서 가져와야하는 또 다른 리소스는 사용자에게보다 안전한 결제 시스템을 제공하는 것입니다. 이러한 의미에서 그들은 이러한 사람들의 기대에 대해 큰 자신감을 가져야합니다. 그래서 그들은 통화 거래에서 성공에 대한 완전한 보증으로 구매를 공식화 할 수 있다는 완전한 확신을 갖습니다.

안전한 결제 방법

의심 할 여지없이 온라인 상점이나 상거래가 현재 제공해야하는 또 다른 요소입니다. 이 경우 가장 일반적인 결제 방법은 다음과 같습니다. 신용 카드 또는 직불 카드. 카드로 결제를 구현하려면 결제 게이트웨이를 사용할 온라인 거래 보안 수 있지만 무엇보다도 가장 안전한 옵션임을 보장해야합니다. 디지털 결제에서 이러한 수단을 사용하여 사기 또는 기타 수익성있는 활동이 없도록하는 것이 주요 목표입니다.

반면에 전자 지불이라고하는 것을 기부 할 수도 있습니다. 그러나이 경우 운영에서 최대한의 보안을 유지합니다. 특히 클라이언트 또는 사용자의 상당 부분이 디지털 결제에서이 도구를 사용해야한다는 의혹을 고려합니다. 따라서 보증은 더 크고 손끝에서 더 많은 수단으로 이루어져야합니다. 따라서 이러한 방식으로 특성과 출처에 관계없이 전자 상거래에서 구현할 수 있습니다.

그다지 중요하지 않은 것은 대안으로 알려진 다른 지불 시스템의 채택이며 상점이나 온라인 비즈니스가 가지고있는이 요소와 관련하여 귀하의 요구에 대한 솔루션이 될 수 있습니다. 이러한 관점에서 보면 그것이 매우 중요하다는 사실을 제시하는 것은 매우 관련이있는 것 같습니다. 여러 결제 방법 제안 각 고객에 대해. 따라서 이러한 방식으로 선호하는 결제 방식을 감지하고 상업적 운영에 사용할 수있는 온라인 거래 보안 결제 수단에 대한 제한없이 온라인 구매를 계속할 수 있습니다.

민감한 데이터를 저장하지 않고

온라인 상점과 비즈니스의 또 다른 의무이므로 이러한 방식으로 이러한 종류의 화폐 운영에 대해 더 많은 확신을 가질 수 있습니다. 통해 민감한 데이터 삭제 신용 카드 번호, 만료일 또는 CVV 코드와 같은

반품 및 환불에 필요한 데이터 만 저장할 수 있습니다. 모든 민감한 데이터를 저장하는 것은 좋지 않습니다. 해커가 정보를 훔쳐 이익을 위해 사용할 기회를주기 때문입니다. 고객과 사용자의 신뢰를 계속 유지할 수 있다는 사실이 이들에 달려 있기 때문에 이러한 요구 사항을 준수하는 것이 매우 중요합니다. 그들 없이는 당신이 당신의 제품이나 서비스의 상업화에서 덜 긍정적 인 기록을 가질 것이라는 데 의심의 여지가 없기 때문입니다.

3D Secure 사용 선택

비즈니스 보안에서이 특별한 시스템이 무엇이며 무엇으로 구성되어 있는지 궁금 할 것입니다. 글쎄, 그것은 본질적으로 온라인 거래 보안 온라인 쇼핑을 할 때 확인 단계를 추가 할 수있는 프로토콜입니다. 카드가 실제로 존재하지 않는 상태에서 신용 카드로 사기 결제를 방지하는 데 도움이되는 시스템이기도합니다.

일반적으로 이러한 유형의 통화 작업에서 가장 일반적인 신용 및 직불 카드에 적용되기 때문에 사용하기가 매우 쉽습니다. 또한 PIN을 도입하기 만하면 이동이 프로세스 전반에 걸쳐 완전히 안전하고 매장이나 온라인 상점에서 구매 비용을 지불하는 이러한 종류의 온라인 이동에 부작용을 추가하지 않고 그대로 유지됩니다.

최고의 안전 기준을 준수하십시오

마지막으로, 데이터 보안 표준에 포함 된 이러한 프로세스의 최대 보안 요구 사항에 대해 매우 엄격함을 잊을 수 없습니다. 가장 관련성이 높은 결제 수단, 특히 신용 카드 또는 직불 카드와 관련된 결제 수단의 보호를 강화하고 모든 온라인 상점이 현재 준수해야합니다. 고객이 재정적 비용없이 완전한 보증으로 구매를 수행 할 수 있도록 고객에게 더 큰 신뢰를 줄 것입니다. 외부에서 규제되는 과정입니다.

기사의 내용은 우리의 원칙을 준수합니다. 편집 윤리. 오류를보고하려면 여기에.

기사 전체 경로 : 전자 상거래 뉴스 » 전자 상거래 » 전자 상거래 구매의 보안을 개선하기위한 5 가지 전략

온라인 거래 보안

- 전자상거래 (Electronic Commerce)란 인터넷을 이용해 상품과 서비스를 거래하는 행위를 의미

- 전자상거래에서는 원격의 거래 상대를 신뢰하기 어려우므로 네트워크상에서 상대방 및 자신에 대한 신분 확인 수단이 필요하다

- 전자상거래에서는 전자지불 과정의 안전성을 보장하기 위한 방법이 확보되어야 하며, 정보보호의 목표인 기밀성(비밀성), 무결성, 가용성, 부인봉쇄(부인방지), 신분확인 및 인증, 접근통제, 보안관리 등의 요구사항을 만족해야 한다

- 기존의 응용 시스템 : 사용자의 접근통제 및 시스템 이용에 대한 이력 자료의 관리를 근간으로 함

- 전자상거래 : 접근통제 이외에 사용자의 실체 증명, 데이터 내용에 대한 사후 검증 수단 확보에 중점(전자서명)을 둔다

① 인증에 대한 공격 : 다른 사용자가 적절하지 못한 인증을 통해 실제 사용자로 위장하는 것

ex) 최근 피싱 사이트와 같이 가짜 은행 사이트를 만들어 은행 사용자에 대한 공인인증서 정보를 획득하여 악용하는 사례 등

② 송ㆍ수신 부인 공격 : 전자상거래를 통해 수행한 거래 내역을 온라인 거래 보안 부인하는 것

ex) 계좌이체 및 신용카드 지불을 받고도 받지 않았다고 부인하거나, 소매점으로부터 상품을 받은 후 받지 않았다고 부인하는 사례 등

③ 기밀성에 대한 공격 : 네트워크를 통해 전달되는 인증 정보 및 주요 거래정보가 유출되는 것

ex) 전자결제 시 카드번호 정보가 유출되어 부정 사용되는 사례 등

④ 무결성에 대한 공격 : 인터넷 뱅킹 도중에 거래 거래내역이 변조되는 것

ex) 온라인 계좌이체 등을 이용한 전자결제 시 수신 계좌나 금액 등을 변조하는 사례 등

- 주문, 결제를 확증하기 위해 구매자의 신분확인이 필요

- 제3의 인증기관으로부터 거래확인 및 지불을 인증 받아야 한다

- 구매자가 살 자격이 있는지 확인 증명이 필요하다

- 부인방지(구매자가 물건의 주문이나 인도를 부인 못 하게) 기능이 제공돼야 한다

- 판매자의 거래정보가 밝혀지지 않도록 익명성이 보장돼야 한다

- 지불에 대한 확신을 가질 수 있는 지불 시스템이 필요하다

- 판매자 신분을 확인하고 믿을 수 있는 판매자인지 확인할 수 있어야 한다

- 상품에 대한 인증(사고자 하는 물건인지를 인증하는 수단)이 필요하다

- 구매한 물건이 배달되지 않았을 경우 청구권을 보장할 수 있어야 한다

- 지불에 있어서 무결성을 유지할 수 있어야 한다

- 물건의 구매에 대한 사실을 확인하는 영수증을 확보할 수 있어야 한다

- 프라이버시 보호로 거래처나 거래내역의 거래정보 보호가 제공돼야 한다

- 개인의 전자거래 익명성 보장을 위해 거래량에 대한 정보가 밝혀지지 않도록 해야한다

■ SET (Secure Electronic Transaction)

- 인터넷이 널리 사용되면서 인터넷 상점을 신뢰할 수 없는 경우가 많아졌고, 고객에게 받은 신용카드 정보를 악용하는 사례도 늘었다. SET는 이러한 상점의 고객 정보 악용을 막기 위해 개발되었다

- 인터넷과 같은 공개된 네트워크상에서 전자상거래를 위한 신용카드 거래를 안전하게 하기 위한 표준 프로토콜

- 인터넷을 비롯한 모든 종류의 네트워크에서 안전하게 금융결제를 할 수 있도록 해주는 공개적인 보안체제로서 인터넷 전자상거래에 대한 금융결제를 안전하게 할 수 온라인 거래 보안 있도록 하는 보안상 규격으로 물품이나 금융결제마다 새로운 형태의 암호 값을 설정해 이용자 이외에는 확인할 수 없도록 하는 보안시스템

- VISA와 Master Card 사가 신용카드를 기반으로 한 인터넷상의 전자결제를 안전하게 이루어질 수 온라인 거래 보안 있도록 마련한 전자 지불 프로토콜이다. 공개키 기반 구조를 바탕으로 사용자 인증을 수행하고, 지불 정보의 기밀성과 무결성 확보를 위한 목적으로 사용된다

- 신용카드번호를 암호화하여 주고받음으로써 점포 측에서도 신용카드번호를 알 수 없게 되어 점포 측이 카드번호를 악용하는 등의 부정을 방지할 수 있다

- SET은 이중서명(Dual Signature)을 하는데, 이유는 신용카드 소지자의 카드 정보를 상인이 볼 수 없게 하고, 은행은 신용카드 소지자의 구입정보를 모르게 하기 위해서이다

- 대칭키 암호화 방식과 공개키 암호화 방식이 모두 사용된다

- SET 참가자들이 신원을 확인해 인증서를 발행한다

- SET은 온라인상에서 금융거래 안전성을 보장하기 위한 시스템이다

- SET은 신용카드 사용을 위해 상점에서 별도의 하드웨어와 소프트웨어(암호 프로토콜)를 설치해야 한다

- SET은 신용카드 트랜잭션을 보호하기 위해 인증, 기밀성 및 메시지 무결성 등의 서비스를 제공한다

■ SET에서 사용되는 암호기술

- SET은 디지털 서명(전자서명), 해시함수, 공개키 암호기술을 이용해 기밀성, 무결성, 가용성, 부인방지, 인증 등의 서비스를 제공한다

- 전자문서에 서명한 사람의 신원을 확인하고 서명된 전자문서가 위조되지 않았는지 여부를 확인할 수 있도록 전자문서에 부착된 특수한 디지털정보를 의미

- SET은 송신자의 개인키로 암호화하여 전자서명을 생성한다

- SET은 메시지를 압축 및 무결성 제공을 위해 해시함수를 이용한다

- SET은 안전한 결제과정을 처리하기 위해 DES(Data Encryption Standard)와 RSA를 복합적으로 사용한 공개키 암호화 인증기술을 이용한다. 또 전자서명과 해시(Hash)기술을 혼합한 1024비트 체계로 암호해킹을 거의 불가능하게 만들었다

■ 전자화폐 (Electronic Cash) 보안

- 전자화폐란 현금, 수표, 신용카드 등 기존의 화폐와 동일한 가치를 갖는 디지털 형태의 정보로서 디스크와 IC칩과 같은 컴퓨터 기록 매체에 저장이 가능하고, 네트워크를 통해 전송 가능한 전자적 유가증권을 의미

- 관리가 불편한 현금을 대신할 새로운 개념의 간편한 화폐가 요구되는 정보화 사회에서 전자화폐의 출현은 필연적이라 할 수 있음

- 휴대가 간편하고 사용이 편리해야 함

- 사용의 비밀성이 보장되어야 한다. 즉 누가 어디서 무엇을 위해 전자화폐를 사용했는지 제3자가 알 수 없어야 한다

- 현금 화폐를 제작하는 막대한 비용을 줄일 수 있다

- 현금 수송과 보관비용이 필요 없다

- 현금 분실이나 도난의 위험이 적다

- 청구서나 송금의뢰서 등 종이 작업 없이 신속한 처리를 할 수 있다

- 화폐적 가치가 어떻게 저장되었는가에 따라서 IC카드형과 네트워크형으로 나누어 진다

- 전자지갑형 전자화폐라고도 한다

- IC카드에 전자적 방법으로 은행예금의 일부를 옮겨 단말기 등으로 현금처럼 지급하는 것

- IC카드형 전자화폐는 네트워크형과 호환되지 않으면 전자상거래에서는 쓸 수 없다 ex) 교통카드

- 가상은행이나 인터넷과 연결된 고객의 컴퓨터에 저장하였다가 필요시 공중통신망을 통하여 대금결제에 사용하는 형태의 지급결제 방식으로 다시 현금형, 신용카드형, 수표형으로 세분된다

- 최근 전자상거래의 발전에 따라 네트워크형 전자화폐가 더욱 주목을 받고 있으며 IC형과 네트워크형 전자화폐가 통합되기도 함

- 이와 같은 지불 방식을 완전히 네트워크상에서 가능하도록 하는 디지털 캐시 방식도 이루어지고 있음

- 전자화폐와 유사한 개념으로 2009년 일본의 사토시 나카모토라는 필명의 프로그래머가 개발한 비트코인이 있음. 실제 생활이 아닌 온라인 거래상에서 쓰이는 P2P 방식의 가상화폐이다

■ 전자화폐의 기술적인 요구사항

- 인터넷은 공개된 환경이기 때문에 암호화와 사용자 인증과 같은 보안기술로 거래정보를 안전하게 보호해야 한다

- 거래정보의 위조, 복제, 부인 등을 방지해야 한다

3) 익명성 보장 (프라이버시 보호, 추적 불가능성)

- 사용자의 정보가 보호되어야 하기 때문에 익명성 보장을 위해 블라인드 전자서명을 필요로 한다

- 이용자의 구매에 관한 프라이버시가 상점이나 은행이 결탁해도 노출되지 않아야 한다

- 전자화폐의 지불 과정에서 물품 구입 내용과 사용자 식별정보가 어느 누구에 의해서도 연계되어서는 안된다

3) 이중 온라인 거래 보안 사용의 방지 (재사용 불가능성)

- 전자화폐는 디지털 데이터이다. 즉 정보를 전자적 형태인 0과 1의 숫자로 바꾸어 표현한 것이기 때문에 원본과 복사본의 차이가 없다. 이는 심각한 위험이 될 수 있으며 복사, 위조 온라인 거래 보안 등으로 인한 부정사용을 할 수 없어야 한다

온라인 거래 보안

1. 전자지불시스템의 정보보호 요구사항

- 부인하고 있음을 판별가능해야 함 ( 부인방지 )

- 특정인에게 누명 씌울수없어야 함

- 익명성 : 프라이버시 보호 , 추적불가능성

- 오프라인성 : 상점에서 지불시 오프라인으로 처리

3. SET(Secure Electronic Transaction)

- 신용카드회사인 비자와 마스터카드가 합동개발

- 온라인에서 신용카드로 상품구매시 안전한 대금결제과정 처리를 위해 RSA 암호화 , 인증사용

- 사용자 , 가상상점 , 카드발급사 , 지불처리은행 , 지불게이트웨이 , 인증기관

- 지불게이트웨이 : 상점이 요청한 카드소지자 지급정보 이용해서 해당 금융기관에 승인 , 결제 요청

- 인증기관 (CA) : 공개키 인증서 발행

1) 메시지 → h( 메시지 ) → MD → E 송 / 개 (MD)

2) E 대칭키 ( 메시지 + 전자서명 )

3) 온라인 거래 보안 E 비대칭키 ( 대칭키 ) + 2) 결과 = 전자봉투 ( 여기서 비대칭키는 수신자의 RSA 공개키 )

- 카드사용자가 주문정보와 지불정보를 각각 해시한 후 두 해시값을 합한 뒤 다시 해시 .

- 최종해시값을 카드사용자의 개인키로 암호화 ( 서명 ) 한다

- 사용자가 지불정보는 상점에게 숨기고 주문정보는 은행에게 숨기려는 목적

전자거래 사기방지 , 기존 신용카드 기반 그대로 활용 , SSL 단점 ( 상인에게 지불정보노출 ) 해결

암호프로토콜이 너무 복잡 , RSA 는 프로토콜 속도 크게 저하시킴 , 전자지갑 SW 요구 , 상점에 SW 요구 , 지불 게이트웨이에 별도 HW,SW 요구

(1) e-business 를 위한 ebXML 보안

- 기업 규모나 지역위치에 상관없이 인터넷 거래 가능하도록 함

- 저렴한 구현비용 , 개방된 네트워크로 전자거래 교환을 위한 국제 표준 제공

- XML 문서 만들 때 필요한 항목 뽑아서 쓰기만 하면 되므로 시간 , 비용 대폭 절약

- 재활용 수준을 문서 수준뿐만 아니라 시나리오 수준까지 확대해서 B2B 거래 자동화

(2) 무선플랫폼에서 전자상거래 보안

1) WPKI(Wireless Public Key Infrastructure)

- CA, RA, 클라이언트 , 디렉터리 서버 시스템 (CA 가 발행한 인증서 저장 , 관리 )

[ 어플리케이션 보안위협 , 대응책 ]

- salami 공격 : 코너에서 조금씩 덜어내는 온라인 거래 보안 것

- round down : 반올림 취약점 악용 , 7 원 → 6 원 (1 원 차익 챙김 )

- mistakes : 10,000 → 1,000 (0 하나 안붙임 )

- TOC/TOU(Time Of Check, Use) : 서버에서 시간이 다른 경우 이체시 발생 . timestamp 로 시간동기화해서 해결 .

- 논리폭탄 : 정상 SW 내 특정조건 일치 시 실행되는 악성코드

-- 허니넷 , DNS 싱크홀 구축 운영해서 악성 봇에 대응 .

- 이블 트윈 공격 : 공격자가 무선 네트워크에서 rogue AP 를 이용하여 중간에 사용자 정보 가로채서 사용자인 것처럼 속이는 공격

빗썸, 온라인 거래 보안 강화 ‘안랩 세이프 트랜잭션’ 도입


암호화폐(가상화폐) 거래소 빗썸이 보안업체 안랩의 통합보안 솔루션인 ‘안랩 세이프 트랜잭션’을 도입하고, 안드로이드 백신 앱인 ‘V3 모바일 플러스 2.0’도 2월 안에 구축을 완료할 계획이라고 22일 밝혔다.

빗썸은 보안 강화를 위해 ▲웹 해킹 차단 시스템 도입 ▲망 분리 ▲24시간 상시 사이버침해 모니터링 ▲보안컨설팅 ▲정보보호관리체계(ISMS) 인증 ▲일회용비밀번호(OTP) 추가인증 도입 ▲빗썸 홈페이지 접속 정보 확인 ▲고객 단말 해킹 차단을 위한 안랩 보안 솔루션 도입 등을 추진하고 있다.

이번에 빗썸이 도입한 안랩의 보안 솔루션은 제1금융권에서도 적용 중인 서비스다. 이번 보안 솔루션 구축으로 빗썸 회원은 모바일과 PC 모두에서 해킹 등으로부터 보다 안전하게 거래할 수 있게 됐으며, 거래소 서버 온라인 거래 보안 보안도 강화돼 보다 신뢰할 수 있는 환경을 구축했다고 설명했다.

안랩 세이프 트랜잭션은 온라인 거래시 발생할 수 있는 개인정보 유출, 금융정보 탈취 등 다양한 보안 위협에 통합 대응하는 통합 보안 솔루션이다. 안랩 세이프 트랜잭션은 키보드 보안 기능과 PC 방화벽 기능, 악성코드 탐지, 웹 서비스 보호, 해킹 방지 기능을 제공한다.

PC 부팅과 동시에 실행되는 비액티브엑스(Non-Active X) 방식의 보안 모듈로, 액티브엑스 관련 이슈도 없다.

이번 구축은 개인용 스마트폰이나 PC 뿐 아니라 서버까지 폭넓게 적용돼 회원과 거래소 모두 보안이 강화되게 됐다. 보안 솔루션이 설치되지 않은 PC에서는 서비스 이용이 제한된다.

앞으로 안드로이드 스마트폰용 백신 앱인 V3 모바일 플러스 2.0이 도입되면 악성코드는 물론 프라이버시 침해 걱정 없이 안심하고 암호화폐를 스마트폰으로 거래할 수 있다. V3 모바일 플러스 2.0은 빗썸 앱이 실행되면 자동으로 실행돼 상시 안전한 거래를 보장한다. 회원 스마트폰에 V3 모바일 플러스 2.0이 설치되지 않았더라도 빗썸 앱을 실행하면 자동으로 설치 페이지로 이동하게 된다.

한편, 빗썸은 ISMS를 5월 내 인증을 획득하기 위해 준비 중이다. 개인정보보호관리체계(PIMS), ISO27001 국제표준 등 정보보호 관련 인증 획득도 추진하고 있다.

빗썸 관계자는 “이번 보안 솔루션 구축으로 고객에게 보다 안전한 거래 환경을 제공하는 한편, 거래소 보안 수준도 크게 강화돼 빗썸의 신뢰도가 한층 높아질 것으로 전망된다”며 “빗썸은 거래소 운영에서 보안을 최우선 순위로 두고 있다. 고객의 소중한 자산 보호와 안전한 거래 환경을 제공하기 위해 앞으로도 지속적으로 보안 시스템을 강화할 예정”이라고 밝혔다.

글. 바이라인네트워크
[email protected]

0 개 댓글

답장을 남겨주세요