전자상거래 공격 유형
(인증공격)
- 네트워크로 접근한 사용자가 적절치 않은 인증으로 다른 사용자로 위장하는 것
- 가짜 은행 사이트를 만들어 은행 이용자의 공인인증서 정보를 획득한 뒤 악용하는 사례
(송수신 부인 공격)
- 네트워크를 통해 수행한 인증 및 거래 내역을 부인하는 것
- 계좌이체나 신용카드로 지불을 받고도 받지 않았다고 부인하거나 소매점으로부터 상품을 받은 후 받지 않았다고 부인하는 사례
(기밀성 공격)
- 네트워크로 전달되는 인증 정보 및 주요 거래 정보가 유출되는 것
- 전자결제를 할 때 신용카드 번호 정보가 유출되어 악용되는 경우
(무결성에 대한 공격)
- 네트워크 도중에 거래 정보 등이 변조되는 것
- 온라인 계좌이체 등을 이용한 전자결제 시 수신 계좌나 금액 등을 변조하는 사례
전자상거래가 성공하기 위한 보안 요건
(신분 확인 수단 제공)
원격 거래 상대를 신뢰할 수 없기 때문에 신뢰할 만한 제삼자의 중재 필요
(지불 방식의 안전성)
전자지불 방식의 안전성을 보장하는 방법이 확보되어야 함
- 블록체인을 활용하는 비트코인과 같은 거래 체계가 활성화된다면 전자 상거래의 세 가지 보안 요건 중 제삼자의 중재는 앞으로 완전히 사라질 수 있음
공개 키 기반 구조의 개념
(공개 키 기반 구조(PKI))
- 메시지의 암호화 및 전자 서명을 제공하는 복합적인 보안 시스템 환경
- 공개 키 기반 구조는 인터넷에서 신분증을 검증해주는 관청의 역할
- 가장 가까운 관청인 주민센터가 있고 그 위에 구청, 시청이 있으며 맨 위에 정부가 있는 것과 마찬가지
- 공개 키 기반 구조에 속하는 사람은 어디서든지 자신의 인터넷 상 신분을 인증 기관에서 공인인증서를 이용하여 증명 가능
(트리형 공개 키 기반 구조)
- 공개 키 기반 구조가 되려면 인증 정보를 일원화하여 호환성을 갖춤으로써 개인이 쉽게 접근할 수 있어야 함
- 순수 계층 구조 : 트리형으로 구성된 공개 키 기반 구조
공개 키 기반 구조의 개념
- 상호 인증으로 연결된 공개 키 기반 구조
- 인증 기관이 상호 인증을 통해 연결되어 있는 모델도 존재
- 두 인증 기관이 상대방의 공개 키를 서로 인증하는 인증서, 즉 상호 인증서를 발급하여 사용
- 일반적으로 공개 키 기반 구조는 트리형과 네트워크 구조가 혼합
(공인인증서)
-공개 키와 공개 키의 소유자를 연결해주는 전자 문서
-오늘날 사용하는 대부분의 공인인증서는 X509 인증서를 표준으로 따름
(공인인증서의 특성)
- 누구나 사용자의 공인 인증서와 공개 키를 획득할 수 있음
- 인증 기관이외에는 공인 인증서를 수정 및 발급할수 없음
- 같은 인증 구조내의 사용자간에는 상호 인증의 신뢰가 가능
(공인인증서의 폐기)
- 공인인증서를 시기적절하게 폐기하여 피해를 줄이는 것이 폐기의 목적
- 인증기관에서 인증서 폐기 목록(CRL)을 주기적으로 발급
- 이 폐기 목록도 인증 기관이 전자서명을 하여 발급함
(공인인증서 폐기 목록)
- 나쁜목록 : 폐기된 공인인증서 정보만 유지하므로 목록에 포함되지 않은 것만 사용해야 함
- 좋은 목록 : 목록에 포함된 공인인증서만 사용해야 함
- 좋은 목록은 공개되어 있어 잘못된 공인인증서 발견 후 조치를 취할 수 있으므로 나쁜 목록보다 안전
- 하지만 나쁜 목록보다 용량이 매우 크다는 단점과 빨리 갱신되어야 한다는 어려움이 있음
전자서명
- 전자서명 법: 사용자가 해당 전자 문서에 서명하였음을 나타내기 위해 전자 문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보
- 인감도장처럼 전자서명도 공인된 인증 기관에 등록 및 검증하여 사용 가능
전자서명 구현 원리
- 전자서명은 원본의 해시값을 구한 뒤 부인 방지 기능을 부여하기 위해 공개 키 방법을 사용
- 복호화한 해시값과 편지에서 구한 해시 값이 일치하면 위조되지 않았다고 확신할 수 있음
전자서명이 제공하는 기능
- 위조 불가 : 서명자만이 서명문을 생성
- 인증 : 서명문의 서명자를 호가인
- 재사용 불가 : 서명문의 해시 값을 전자서명에 이용하므로 한번 생성된 서명을 다른 문서의 서명을 사용할 수 없음
- 변경 불가 : 서명된 문서는 내용을 변경할 수 없기 때문에 데이터가 변조되지 않았음을 보장하는 무결성을 만족
- 부인 방지 : 서명자가 서명한 사실을 나중에 부인할 수 없음
전자서명의 대표적인 표준
- 1994년 미국에서 만들어진 DSS 우리나라에는 1996년 개발된 KCDSA가 있음
- 우리나라의 전자서명법에 따르면 인터넷을 통해 전자 문서를 교환할 때 전자서명은 일반 문서에 쓰이는 인감도장과 법적으로 똑같은 효력
(전자봉투)
- 전달하려는 메시지를 암호화하여 한 사람을 통해 보내고 암호화 키는 다른 사람이 가져가도록 암호화적으로 구현
- 암호화의 종합 선물 세트라 할 만큼 많은 기능을 제공
(전자결제)
- SET :
1996년 비자와 마스터 카드의 합의로 만들어진 프로토콜 - 간편 결제 :
모바일 앱이나 웹 서비스 제공자에게 신용카드 정보 등을 입력해두고 결제 시 신용카드 정보 입력과 공인 인증서 등록 없이 패스워드 입력과 같은 간단한 인증만으로 결제를 하는 서비스 - 전자화폐 이전 가능한 금전적 가치가 전자적 방법으로 저장되어 발행된 증표 또는 그 증표에 관한 정보다.
현재 우리나라는 전자 화폐에 대한 법적 제재가 상당히 강한 편이어서 전자 화폐로 큰 금액을 결제할 수 없고 전자 화폐를 현금으로 전환할 수도 없다 - 스마트 카드 :
신용카드 현금카드 교통카드로 사용하기 시작한 스마트카드는 전자화폐, 신분증, 출입 카드 등으로 그역할이 확대되고 있다. 스마트 카드의 진위 여부를 확인하기 위한 인증 과정으로 동적 데이터 인증 방식과 정적 데이터 인증 방식이 있다. - 동적 데이터 인증 : 인증할 때마다 다른 데이터 사용
- 정적 데이터 인증 : 인증할 때마다 같은 데이터 사용
- 비트코인 :
2008년 10월 사토시 나가모토가 <비트코인 –P2P전자화폐 시스템> 이라는 제목의 논문을 발표하면서 세상에 알려졌다. 2009년 1월 3일 사토시가 첫 채굴을 통해 50비트 코인을 획득하면서 시작된 암호화 화폐이다 - 블록체인:
최초의 블록부터 바로 앞 블록의 링크를 가지고 있는 연결된 리스트로 분산되어 저장 및 관리된다. 블록에는 거래 정보가 포함되어 있으며 블록의 집합체인 블록체인은 비트코인의 모든 거래 정보를 담고 있는 거대한 분산 장부라고 할 수 있다
(네트워크 암호화)
- PPTP : 마이크로 소프트가 제안한 VPN프로토콜로 PPP를 기반
- L2TP : 시스코가 제안한 것으로 L2F와 PPTP가 결합된 프로토콜
- IPSec :
데이터가 전송 도중에 변조되었는지 확인할 수 있도록 데이터 무결성을 검사하는 기능. 메시지 암호화를 제공하는 기능 알고리즘의 조합으로 두 컴퓨터 간의 보안 연결을 설정하는 기능을 제공한다. - SSL : 서버인증, 클라이언트 인증, 암호화 세션 기능을 제공한다
(전자우편 암호화)
- PGP :
PGP를 사용하는 사람들 간의 신뢰 관계를 통해 인증되고 이러한 상호 인증을 통해 많은 인터넷 사용자가 서로를 인증하여 그물망과 같은 인증 구조를 이루게 된다 세션 키를 암호화하기 위해 IDEA 알고리즘을 이용하고 사용자 인증을 위한 전자 서명에는 RSA알고리즘을 이용한다 - S/MIME :
인증서를 통해 암호화한 이메일 서비스를 제공한다 관련 프로그램을 설치하면 대부분 자동으로 암호화가 이루어짐 - PEM : 보안성이 높지만 구현이 복잡하여 널리 사용되지는 않는다
(콘텐츠 보안)
- 스테가노 그래피 :
저작권 보호보다는 정보를 숨겨 은밀하게 전달하려는 목적이 더 크다 - 워터마크 :
저작권을 보호하기 위해 소유권을 표시하는 방식이다. 사용자가 알아볼 수 있게 표시하기도 하고 저작물이 조작되지 않도록 인지할 수 없는 방식으로 표시하기도 한다
공부...열심히...