1. 전자상거래에 대한 이해
전자상거래의 시작
- 1979년 : 최초의 온라인 쇼핑
- 1994년 : 본격적인 전자상거래의 시작
- 1995년 : 아마존 설립(제프 베이조스)
전자상거래의 보안 요건
- 인증에 대한 공격
- 네트워크를 통해 접근한 사용자가 적절하지 못한 인증을 통해 다른 사용자로 위장
- 송, 수신 보안 공격
- 네트워크를 통해 수행한 인증 및 거래 내역에 대한 부인하는 것
- 기밀성에 대한 공격
- 네트워크를 통해 전달되는 인증 정보 및 주요 거래 정보가 유출되는 것
- 무결성에 대한 공격
- 네트워크의 도중에 거래 정보 등이 변조되는 것
- 성공하기 위한 보안 요건
- 신분 확인 수단 제공
- 원격의 거래 상대를 신뢰할 수 없기 때문에 네트워크에서 상대방이나 자신에 대한 신분 확인 수단이 필요
- 제삼자의 중재
- 블록체인 활용 비트코인 체계 활성화 시 제삼자의 중재 사라짐
- 지불 방식의 안전성
- 전자지불 방식의 안전성을 보장하는 방법 확보
- 신분 확인 수단 제공
2. 공개키 기반 구조
공개키 기반 구조의 개념
- 메시지의 암호화 및 전자서명을 제공하는 복합적인 보안 시스템 환경
- 인터넷에서 신분증을 검증해주는 관청
- 공개키 기반 구조하에 있는 사람은 어디에 가서도 자신의 인터넷상 신분을 CA와 공인인증서를 통해 증명
- 인증 정보를 일원화하여 호환성 O, 개인이 이를 쉽게 접근(트리형 구조)
- PA : 공인인증서 정책을 결정하고 하위 기관 정책을 승인
- PCA : Root CA 인증서를 발급하고 기본 정책을 수립
- CA : 인증서 발급과 취소 등의 실질적인 업무 담당
- RA : 등록 기관으로 공인인증서 인증 요청 확인 CA 간 인터페이스 제공
- 네트워크 구조 모델은 인증기관이 상호인증을 통해 연결되어 있는 모델
- 인증서를 상호인증서라 함
- 계층 구조 + 네트워크 구조
공인인증서에 대한 이해
- 공개키와 그것의 소유자를 연결시키주는 전자문서
- 공인인증서는 신뢰할 수 있는 인증기관(CA)이 전자서명하여 생성
- 구조
- 누구나 사용자의 공인인증서와 공개 키 획득 가능
- 인증 기관 이외에는 공인인증서를 수정 및 발급 X
- 폐기
- 시기 적절하게 폐기하여 피해를 줄이는 것이 목표
- 인증서 폐기 목록(CRL)을 주기적으로 발급
3. 전자서명과 전자봉투
전자서명
- 서명이란 서명한 사람의 신분을 집약적으로 증명하는 도구로 전자서명도 이와 비슷
- 서명자가 해당 전자문서에 서명하였음을 나타내기 위해 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보
- 원리
- 원본의 해시값을 구한 뒤, 그 해시값에 부인방지 기능을 부여하기 위해 공개키 방법 사용
- 제공기능
- 위조 불가
- 인증
- 재사용 불가
- 변경 불가
- 부인 방지
- DSA는 슈노어와 엘가말의 알고리즘 기반, 서명 생성이나 암호키 생성에는 SHA.1 사용
전자봉투
- 암호화 키 다른 사람에게 가져가게 하는 것
- 철수는 전자봉투를 사용하기 위해 우선 전자서명을 생성하고 전자서명과 원문, 그리고 자신의 공개키가 들어있는 인증서를 비밀키를 사용하여 암호화
- 전자서명 세트와 인증서를 암호화한 비밀키를 영희의 공개키로 암호화
- 철수는 최종적으로 비밀키로 암호화한 결과와 비밀키가 암호화된 전자봉투를 영희에게 보냄
4. 전자결재
SET
- 1996년 비자와 마스터 카드 회사의 합의에 의해 만들어진 프로토콜
- 구성
- 카드 사용자
- 상점
- 지불 게이트웨이 : 은행과 거래 내역을 주고받음
- 신용카드 회사
- 은행
- 인증기관
- 지불 과정
- 비밀키 생성 → 카드 사용자로부터 구매정보 확인 → 상점은 지불 게이트웨이로 지불 정보 전송 → 지불 정보 확인
- 이중 서명의 생성
- 카드 사용자가 구매정보와 지불정보를 각각 해시
- 두 해시값을 합한 뒤 다시 해시
- 최종 해시값을 카드 사용자의 사설키로 암호화
- 이중 서명의 목적
- 상점이 카드 사용자의 계좌번호 같은 지불정보를 모르게 함
- 상점에 대금을 지불하는 은행이 카드 사용자가 상점에서 산 물건이 무엇인지 모르면서 상점이 요구한 결제 대금이 정확한지 확인할 수 있게 하는 데 있음
간편결제
- 공인 인증서 등록 없이 패스워드 입력과 같은 간단한 인증만으로 결제
- 간편성에 더 중점
전자화폐
- 거의 없음 교통 카드 제외하고는
- 위험성
- 쉽게 복제 가능
- 취약점 노출
스마트 카드
- 콤비 카드
- 접촉식 카드와 비접촉식 카드가 공유할 수 있는 부분을 상호 공유하는 스마트카드
- 현재까지 가장 효율적
- SIM 카드
- 가입자 식별 모듈을 구현한 IC 카드로 GSM 단말기의 필수 요소
- 보안성 뛰어남
- USIM으로 표준이 확장
가상 화폐
- 전자 화폐 - 금전적 가치 O, 가상 화폐 - 금전적 가치 X
- 비트코인
- 지갑
- 비트코인 거래시 은행의 계좌번호 역할
- 지갑 프로그램을 통해 공개 주소를 만들 고 공개 주소와 함께 개인 키 생성
- 블록체인
- 연결된 리스트로 분산되어 저장
- 블록에는 거래 정보 포함, 모든 거래 정보를 담고 있는 거대한 분산 장부
- 블록해시
- 블록의 식별자 역할 하는 블록해시는 블록헤더의 여섯 가지 정보를 묶어 SHA256 해시 함수를 반복하여 두번 적용해서 계산한 값으로 32바이트 숫자
- 채굴
- 끊임없는 해싱 작업을 통한 목표 값 이하의 해시 값 찾기라고 할 수 있는 채굴 과정 거침
- 새로운 블록을 블록체인에 추가하는 작업을 완료했음을 증명할 떄 이루어짐
- 새로운 블록을 블록체인에 추가하려면 새로운 블록의 블록해시를 계산해서 찾아야 함
- 보안
- 장부 내역 조작 X
- 모든 블록은 바로 전 블록의 해시 값을 기준으로 생성되고 이 해시 값으로 각 블록이 연결되는 블록체인이 되기 때문
5. 암호화 통신
네트워크 암호화
- 전자상거래에 이용되는 암호화 프로토콜에는 실제 거래에 사용하는 응용 프로그램에 의한 것도 있고 2~4계층에서 동작하는 암호화 프로토콜도 있음
- 2계층의 암호화 프로토콜
- PPTP
- VPN 프로토콜, 두 대의 컴퓨터가 직렬 인터페이스로 통신할 떄 이용
- L2TP
- 시스코가 제안한 L2F + PPTP
- PPTP
- 3계층의 암호화 프로토콜
- IPSec
- IP를 기반으로 한 네트워크 동작
- IP 스푸핑이나 스니핑 공격에 대한 대응 방안
- AH를 이용한 인증, ESP를 이용한 기밀성, IKE를 이용한 비밀 키 교환
- IPSec
- 4계층의 암호화 프로토콜
- SSL
- 넷스케이프가 개발한 SSL은 40비트, 128비트 키를 가진 암호화 통신 가능
- 클라이언트 인증 : 클라이언트의 인증서를 확인하여 서버에 접속할 자격이 있는지 확인
- 암호화 세션 : 암호화된 통신
- 서버 인증 : 클라이언트가 자신이 신뢰할 만한 서버에 접속 시도하고 있는지 확인
- SSL
전자 우편 암호화
- PGP
- IDEA 알고리즘과 RSA 알고리즘을 조합하여 만든 암호화 이메일
- 세션 키를 암호화 하기 위해 IDEA 알고리즘 이용
- 사용자 인증을 위해 RSA 알고리즘 이용
- S/MIME
- 인증서 서비스를 통하여 암호화되는 메일 서비스 제공
- 설치 시 대부분 자동
6. 콘텐츠 보안
스테가노 그래피
- 저작권 보호보다는 정보를 은밀하게 전달하려는 목적이 더 큼
- 미리 정한 약속에 따라 특정 데이터를 원래의 것과 전혀 관련이 없는 데이터로 해석
워터마크
- 페이지 전면에 옅은 색 무늬
- 영상이나 오디오 파일에도 삽입 가능