1 / 51

Chap 6 전자상거래의 보안

Chap 6 전자상거래의 보안. 목차. 정보보호의 중요성 및 개념 정보보호의 중요성 정보보호의 개념 암호학 전자상거래 보안 개요 전자상거래 위협 요소 전자상거래 정보보호 서비스 전자상거래 정보보호 매커니즘. 정보보호의 중요성 및 개념 1.1 정보의 중요성. 공용 통신망의 발전을 통한 생활의 급속한 성장 정보사회 정보사회의 발전을 통해 엄청난 양의 정보들이 실시간 전송 , 처리 및 보관 정보의 안전한 방법으로 관리해야 하는 기술의 필요성 정확성 , 경제성 , 보안성

yael-hodge
Download Presentation

Chap 6 전자상거래의 보안

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Chap 6 전자상거래의 보안

  2. 목차 • 정보보호의 중요성 및 개념 • 정보보호의 중요성 • 정보보호의 개념 • 암호학 • 전자상거래 보안 개요 • 전자상거래 위협 요소 • 전자상거래 정보보호 서비스 • 전자상거래 정보보호 매커니즘

  3. 정보보호의 중요성 및 개념1.1 정보의 중요성 • 공용 통신망의 발전을 통한 생활의 급속한 성장 • 정보사회 • 정보사회의 발전을 통해 엄청난 양의 정보들이 실시간 전송, 처리 및 보관 • 정보의 안전한 방법으로 관리해야 하는 기술의 필요성 • 정확성, 경제성, 보안성 • 보안성은 최근 해킹 사고로 관심이 증대

  4. 정보보호의 중요성 및 개념1.1 정보의 중요성 (계속) • 컴퓨터와 네트워크에 대한 의존성이 커지면서 부작용이 증대 • 네트워크 정보에 대한 불로소득을 원하는 사람들의 좋은 공격대상 • 디지털화된 데이터로 구성된 정보는 누구나 접근이 가능 • 디지털 정보는 쉽게 조작 및 변조가 가능해 알아내기가 난해함 • 디지털 정보의 문제점 해결을 위해 보호라는 부분이 중요한 부분으로 등장

  5. 정보보호의 중요성과 개념1.2 정보보호의 개념 • 정보보호는 부정한 행위를 저지르는가를 분석하는 일 • 부정한 행위를 저지르는 사람에 중심 • 통신의 당사자가 아닌 제 3자의 부정행위를 저지르는 경우 • 정보를 받는 사람이 아닌 제 3자가 네트워크를 통해 전송되는 정보에 대해 모종의 공격행위를 하는 것 • 공격의 2가지 유형 • 수동적인 공격 • 정보의 내용이 아니라 정보의 흐름 자체를 분석하여 유추 • 능동적인 공격 • 정보의 흐름을 중간에서 가로채어 그 내용을 변조하여 공격자가 이익을 추구하고자 하는 경우

  6. 소극적 공격 기밀성 메시지 내용 공개 트래픽 분석 적극적 공격 위조 재전송 메시지변조 메시지 송신부인 불법적인 시스템 접근 정보보호의 중요성과 개념1.2 정보보호의 개념 (계속) 네트워크 공격 방법

  7. a)정상적인 데이터 전송 b)방해(Interruption) c)가로채기(Interception) d)수정(Modification) e)조작(Fabrication) 정보보호의 중요성과 개념1.2 정보보호의 개념 (계속) 정보 전송을 방해하는 방식 a)정상적인 데이터 전송

  8. 1. 정보보호의 중요성과 개념1.3 암호학 • 정보사회와 암호학 • 정보 시스템의 사회적 기여도가 증가 • 정보 시스템의 보급 확대 • 고도화된 정보사회로의 진입 • 분산 환경에 따른 정보의 보호성이 증대 • 축적, 처리, 전송되는 디지털 정보에 대한 보호가 대두 • 공격자에 의한 불법유출, 삭제, 수정등을 통한 개인 프라이버시 위협 • 개인 뿐만 아니라 경제적인 손실도 발생 • 물리적인 대책에서의 인적관리 및 기술적인 대책 법적인 대책으로 구분

  9. 정보보호의 중요성과 개념1.3 암호학 (계속) • 경제적인 측면 • 정보 시스템이 요구하는 보안 수준의 효율적 중시 • 계층적인 보안 대책을 제공할 수 있는 방법 “암호학” • 현대 사회에서 암호학은 전자상거래의 핵심요소로 부가 • 전자화폐 • 전자송금 • 전자지갑 • 일반인의 암호학에 대한 신비성과 부정적인 선입견 • 정보보호문제를 해결할 수 있는 문제의 열쇠는 암호학 • 최근에 학문의 한 분야로 정착되어 활발히 연구중

  10. 정보보호의 중요성과 개념1.3 암호학 (계속) • 암호의 역사 • 인류 역사가 시작되면서 시작 • 국가의 형성 및 이권을 통한 비밀 보존의 필요성이 증대 • 암호와 비밀 통신과는 다른의미 • 비밀통신 • 암호문이 아닌 보통 문장의 평문인 통신문 내용을 알아보지 못하도록 숨기는 통신방법 • 스테가노그래피(steganography) • 고대 봉건 사회에서부터 전쟁을 통한 발전 • 산업사회의 발전과 전기 통신의 발전에 따른 정보의 양 증가와 암호 사용이 급증 • 20세기에 와서 무선 통신기기의 개발로 암호 사용의 가속화

  11. 정보보호의 중요성과 개념1.3 암호학 (계속) • 평문 메시지의 은닉 방법 • Steganograhpy 방법 • 메시지의 존재 자체를 은폐 • 암호 방법 • 다양한 원문의 변환에 의해 외부인이 그 의미를 알지 못하도록 메시지를 변형

  12. 정보보호의 중요성과 개념1.3 암호학 (계속) • 특징 • 메시지의 존재 자체를 은폐 • 원문내의 단어나 문자를 적당히 배열 함으로써 실제 메시지를 나타냄 • 예제 • 문자 마킹 (Character marking) • 원문의 문자에 연필로 덧써서 표시를 해 빛을 적당한 각도로 비춰어야만 보임 • 보이지 않는 잉크 (Invisible ink) • 종이에 열이나 화학 처리를 해야만 보이는 잉크를 사용 • 핀 구멍 (Pin punctures) • 빛을 비춰야만 보이는 작은 구멍을 원문에 넣는 방법

  13. 정보보호의 중요성과 개념1.3 암호학 (계속) • 타자 수정 리본 (Typewriter correction ribbon) • 흑색 리본으로 타자된 줄 사이에 강한 빛에서만 보이는 수정리본을 이용하여 타자하는 방법 • Steganography의 장점 • 비밀통신에 대한 사실이 발견되면 안되는 사용자들에 의해 이용될 수 있다. • Steganography의 단점 • 상대적으로 적은 정보비트를 은닉하는데 많은 오버헤드 요구 • 방법 노출시 재사용 불가

  14. 정보보호의 중요성과 개념1.3 암호학 (계속) • 고대 암호 • 고대 암호와 근대 암호는 위치를 변환시켜 사용환 전치암호 • 다른 문자로 치환하는 환자 암호 • 환자암호 + 전치암호 = 적 암호 • 기원은 400년전 희랍인들에게서 기원 • Scytale암호라고 불리우는 전치 암호 • 전달하는 평문을 재배열하는 방식 • 최초의 환자 암호는 시저가 사용하는 암호 • 평문 문자를 n문자씩 이동시켜 암호문으로 변환하는 치환 암호 방식

  15. 정보보호의 중요성과 개념1.3 암호학 (계속) • 근대 암호 • 20세기에 들어와 본격적으로 발전 • 프랑스 외교관 Vigenere가 고안한 암호 방식 • Playfair가 만든 2문자 조합 암호 • 오스트리아 육군 대령 Fleissner의 Grill암호 • 세계대전을 거치면서 암호 방식 설계 및 해독이 활발히 연구 • 1920 Freidman “일치 반복률과 암호 응용” • C.E.Shannon “비밀 시스템의 통신이론” • 독일군의 ENIGMA 암호 • 샤논의 정보이론을 통한 암호학이 급속한 발전 및 실용화 연구가 진행

  16. 정보보호의 중요성과 개념1.3 암호학 (계속) • 현대암호 • 세계대전을 통해 암호학의 급속한 성장 • 1970년대 Diffie와 Hellman에 처음으로 공개키 암호 방식을 도입 • Diffie-Hellman 공개키 암호 방식후 MIT의 Rivest, Shamir, Adleman에 의해 처음 RSA 암호 방식 발표 • 그후 Merkle, Hellman에 의해 Rabin 공개키 방식이 발표 • 1977년엔 블록 암호 알고리즘의 표준으로 DES가 채택 • DES의 출현으로 상업용 암호 사용이 급격히 증가

  17. 정보보호의 중요성과 개념1.3 암호학 (계속) 시프트 암호 • 쥴리어스 시저에 의해 개발 • 예제 (Key : 3) 평문 : meet me after the toga party 암호문 : PHHW PH DIWHU WKH WRJD SDUWD • 암호화 (문자 p를 암호화) • C = E(p) = (p+3) mod (26) • 일반화 : C = E(p) = (p+k) mod (26) • 문자 p는 C로 암호화

  18. 정보보호의 중요성과 개념1.3 암호학 (계속) • 복호화 • p = D(C) = (C -3) mod (26) • 일반화 : p = D(C) = (C - k) mod (26) • 문자 C는 p로 복호화 • 단점 • 암호화 및 해독 알고리즘을 알고 있다. • 가능한 키가 25개 뿐이다. • Brute-force attack이 가능 • 평문의 언어를 알고 있으며 쉽게 인식할 수 있다.

  19. 정보보호의 중요성과 개념1.3 암호학 (계속) 단순 환자 암호 • 각 문자에 26자의 치환 가능 • 시이저 암호의 키 공간을 급격히 증가 • 시이지 암호 : 25 • 단일 치환 암호법 : 26! • 단점 • 출현 빈도수를 이용해 평문 유추가능 ex) 영어 문장에는 t, e, a, h 등이 많이 나타남 암호문에서도 그에 상응하는 문자가 같은 빈도로 나타남

  20. 정보보호의 중요성과 개념1.3 암호학 (계속) • 단순 환자 암호 • 평문 문자를 암호문 문자로 치환하는 방식 • 평문 문자와 암호문 문자를 동일문자로 사용 • 단순 환자 암호표 • a를 암호화 D • E(a) = D • 복호화는 반대로 적용 • D(D) = a

  21. 정보보호의 중요성과 개념1.3 암호학 (계속) • 키의 수 • 26! = 41026 • 키의 수가 많아 전사적 공격에 안전하다 단위(%)

  22. 정보보호의 중요성과 개념1.3 암호학 (계속) • 단점 • 평문의 문자 빈도수를 비롯한 영문의 통계적 성질을 이용한 간단한 해독 영문자 2자 빈도율 단위(%)

  23. 정보보호의 중요성과 개념1.3 암호학 (계속) • 언어의 통계적 성질을 이용한 암호문 해독 가능 • 통계의 성질의 일반성 유지를 위해서 충분한 암호문 길이 유지가 필수적 • 암호문의 양이 많을 수록 통계적 성질이 많이 유지 영문자 3자 빈도율 단위(%)

  24. 정보보호의 중요성과 개념1.3 암호학 (계속) Affine 암호 • 시이저 암호와 곱셈으로 조합한 암호 • C = K1 M + K2 mod 26 • K1, K2  Z26 • K1 M = C – K2 mod 26 • GCD(K1,26) = 1 이어야함 • GCD(K1,26) =1 이면 • K1 x = 0 mod 26 위에서 서로 다른 해가 두 개 존재 • Affine 암호 방식의 키 숫자 • K1 = 1,3,5, 7,9, 11, 15, 17, 19, 21, 23, 25 (12개) • K1과 K2조합이 키가 되므로 12  26 = 312

  25. 정보보호의 중요성과 개념1.3 암호학 (계속) 동음이의 환자 암호 • 단순 환자 암호 방식의 통계학적 성질에 대한 취약성 보안 • 평문 문장의 문자 빈도수에 따라 암호문 문자를 배정 • 암호화 할 때 암호문의 문자 빈도가 균등하게 분포되도록 하는 방식 • 평문이 암호문인 경우 문장에서의 빈도수가 영문자 빈도수에 따라 두자리 숫자의 암호문자로 치환 • Beale 암호방식이 대표적 • 평문의 각문자에 대한 빈도가 언어의 통계학적 빈도를 따르지 않게 되어 암호문에서의 각 문자에 대한 통계학적 성질이 줄어듦. • 통계학적 암호 해독에는 상당히 강함 • 2문자 혹은 3문자 연속 출현에 의한 언어의 통계학적 성질은 그대로 잔존 • 이에 대한 공격에 다소 문제점 노출

  26. 정보보호의 중요성과 개념1.3 암호학 (계속) 동음이의 환자암호

  27. 정보보호의 중요성과 개념1.3 암호학 (계속) • 다중 문자 치환 암호 기법 • 단순 단일 문자 치환 방법을 개량 • 다중 단일 문자 치환 암호방법의 공통점 • 하나의 단일 문자 치환 규칙 집합을 사용 • 주어진 변환에 사용될 규칙은 키에 의해 결정 • 키워드 : deceptive • 평문 : We are discovered save yourself 키 : d e c e p t i v e d e c e p t i v e d e c e p t i v e 평문 : w e a r e d i s c o v e r e d s a v e y o u r s e l f 암호문 : ZICVTWQNGRZGVTMAVZHCQYGLMGJ Vigenere 방법

  28. 정보보호의 중요성과 개념1.3 암호학 (계속) • 특징 • 평문자에 대한 암호문자가 유일한 키워드에 각 문자에 대하여 여러 개 존재 • 문자 빈도수에 대한 정보가 불분명해짐다 • 단점 • 평문 구조에 대한 정보가 모두 은폐되지는 않는다. • 단일 문자나 Vigenere로 암호화 되었는지 아는 것은 쉽다. • 빈도수에 따라 • 키워드의 길이를 유추가능 (3이나 9로 유추가능) • 암호문에서 “VTW”이 나타남

  29. 정보보호의 중요성과 개념1.3 암호학 (계속) • 암호해독 • 개방형 네트워크에서 메시지 전송하는 경우 정당한 수신자만이 수신된 메시지 복호화가 정당 • 개방형 네트워크의 특성상 여러 공격이 가능 • 도청자 • 불법적인 제 3자에 의한 공격 • 이러한 시도를 암호 해독(Cryptoanalysis)

  30. 정보보호의 중요성과 개념1.3 암호학 (계속) 암호 메시지에 대한 공격유형

  31. 정보보호의 중요성과 개념1.3 암호학 (계속) • 암호문이 주어졌을 경우 해독이 가장 어려움 • 대개의 공격자는 암호 알고리즘을 알고 있다고 가정 • 네트워크 특성상 패킷 패턴의 특성을 파악 • 암호 해독자가 선택한 메시지를 시스템에 삽입하기 위해 접근할 가능성 • 선택 평문 공격 • 현재 일반적으로 암호 알고리즘은 기지 평문 공격을 막을 수 있게 설계 • 일회용 암호로 알려진 기법외에는 절대적으로 안전한 알고리즘은 존재하지 않음 • 알호 알고리즘 설계자들의 안전성 회득을 위한 기준 2가지 • 암호 해독 비용의 암호화된 정보 가치 초과 • 암호 해독 시간의 정보 유효기간 초과

  32. 2. 전자상거래 보안 개요2.1 전자상거래 위협요소 • 인터넷 개념의 도입과 자원의 공유에 따른 전자상거래라는 새로운 형태의 산업의 활성화 • 시스템 공개에 따른 보안사고 급증 • 인증 기능의 취약 • 위조의 용이 • 패킷 모니터링을 통한 노출 • 호스트단위 보안의 한계 • 시스템 설정과 조정의 어려움

  33. 2. 전자상거래 보안 개요2.1 전자상거래 위협요소 (계속) • 전자상거래 위협요소 • 전자상거래의 핵심 요소는 전자결제 시스템 • 전자결재 시스템 • 신용카드와 같은 e-Cash로 발전 • 개인의 프라이버시와 이중 사용문제에 대한 암호화 기술 • 공개키 암호화, 전자서명, 은닉서명 • 수 많은 전자화폐들이 연구되고 있음 • 웹상에서 안전하게 키를 공유하기 위한 보안 기술 • SSL(Secure Socket Layer) • 송수신 부인방지 • 메시지 전송 증명 지원 안함

  34. 2. 전자상거래 보안 개요2.1 전자상거래 위협요소 (계속) • 1. 시스템 공격 • 일반적인 컴퓨터 시스템에 침입하여 부당하게 컴퓨터 시스템을 유용하는 공격 • 정보의 유출 • 정보의 파괴 • 방화벽 같은 설치함으로써 위협을 방지 • 전자상거래에서 방화벽 사용은 제약성이 따를 수 있다 • 외부 불법 사용자 보다 내부 사용자에 의한 불법이 더 많기 때문에 심각 • 내부 사용자로부터 보호를 위해 시스템 운영지침이나 내부 사용자에 대한 보안대책 마련이 중요 요소

  35. 2. 전자상거래 보안 개요2.1 전자상거래 위협요소 (계속) • 2. 데이터 공격 • 데이터에 대한 공격은 2가지로 구분 • 시스템 내부에 저장된 데이터 • 시스템 공격을 참고 • 네트워크상에 흘러 다니는 데이터에 대한 공격 • 네트워크상에 교류되는 데이터에 대한 안전성 획득 • 기밀성 • 자료의 무결성 • 정보의 보증

  36. 2. 전자상거래 보안 개요2.1 전자상거래 위협요소 (계속) • 3. Business 공격 • 특정한 이윤을 목적으로 일어나는 공격 • 일반 상거래에서의 사기행위가 전자상거래에서도 가능 • 전자상거래에서는 사기행위 방지를 위한 보안적 고려사항을 추가적으로 필요로함 • 현재 암호학 시스템만으로 모든 부정행위를 막을 수는 없음 • 제도적인 장치, 법적인 보장, 보험등의 보완 요소가 필수적으로 요구됨 • 1996년 6월 UN의 국제 상거래법 위원회에서 모델법 통과 • 국내에서도 전자상거래를 위한 기본법을 제정 공표

  37. 2. 전자상거래 보안 개요2.1 전자상거래 위협요소 (계속) • 4. 인터넷 뱅킹 시스템 위협요소 • 클라이언트 보안에서의 위협요소 • 바이러스 • 트로이목마 바이러스 • 거래처리 보안에서의 위협요소 • 암호학적 취약성 • 서버 도청 • 서버보안에서의 위협요소 • 유닉스/윈NT에서의 보안 취약점 • 사용자 실수

  38. 2. 전자상거래 보안 개요2.1 전자상거래 위협요소 (계속) • 어플리케이션 보안에서의 위협요소 • Poor programming • 인증의 취약성 • 내부적인 보안에서의 위협요소 • 바이러스 및 트로이목마 • 유닉스/NT에서의 보안 취약성 • Improper adminstration

  39. 2. 전자상거래 보안 개요2.1 전자상거래 위협요소 (계속) • 인터넷 지불방식 위협요소 • Form-CGI를 통한 신용카드 번호 전달 • Clear text • 신용카드를 네트워크상의 어떤 사람의 획득이 가능 • 홈페이지 운영회사에게 전달된다는 문제점 • Form-CGI를 통해 신용카드 번호 전달 • 클라이언트와 서버 사이의 SSL 암호화 기법을 통한 신용카드 전송방법 • SSL의 문제점 • 상대편 상거래 회사에 신용카드 번호 제공에 따른 회사의 신뢰성 문제 • SSL의 키 길이에 따른 보안적 취약점

  40. 2. 전자상거래 보안 개요2.1 전자상거래 위협요소 (계속) • 가입자 기반의 홈페이지 • 자신의 정보 입력에 따른 ID와 패스워드를 통해 상거래를 하는 방식 • 최근 규모가 큰 서버들을 중심으로 많이 이용 • 상대편 회사에 대한 신뢰가 부족 • 초기 등록시 From-CGI를 이용하므로 정보의 누출 위험 • 수 많은 서버 가입에 따른 ID/패스워드 관리의 위험 • 한 사용자가 여러 ID와 패스워드를 갖는 것도 중요한 허점 • 다른 시스템의 도용 가능성 • HTTP는 stateless protocol인데 사용자의 ID와 세션 관리하는 것이 서버측에서 부담이 크게 작용

  41. 2. 전자상거래 보안 개요2.2 전자상거래 정보보호 서비스 • 전자지불 시스템에서의 정보보호 서비스 • 정보의 보호 • 지불 시스템의 가장 중요한 요소 • 정보보호(암호학) • 네트워크상의 자료 암호화 • 공개키 암호화 기법 • 데이터에 대한 안전성 제공 • 디지털 서명 수행 가능 • 무결성을 보장 • 일방향 해쉬 함수 및 디지털 서명

  42. 2. 전자상거래 보안 개요2.2 전자상거래 정보보호 서비스 • 전자신용카드 거래 시스템의 정보보호 서비스 • 기밀성 • 지불정보 비밀성 보장 • 인증 • 카드소지자 인증 • 상점의 인증 • 무결성 • 주문정보와 지불정보의 무결성 제공 • 무결성은 해쉬 함수와 디지털 서명

  43. 2. 전자상거래 보안 개요2.2 전자상거래 정보보호 서비스 • 암호화 알고리즘 및 프로토콜 • 지불과 관련된 세가지 주요 서비스 제공을 위한 암호화 알고리즘과 프로토콜을 정의 • 상호운용성 • 다양한 판매자들에 의해 개발된 응용 프로그램간의 상호 호환성 • 하부적인 면에서 네트워크 제공자와 상호 운영성 고려 • 특정 프로토콜과 메시지 포맷을 포함 • 수용성 • 하나의 카드 회사가 아닌 은행, 상점이 쉽게 채용 가능한 표준 • 호환성 • 다양화된 컴퓨터 플랫폼에 따른 호산성과 이식성이 뛰어난 표준화된 소프트웨어 개발이 필요

  44. 2. 전자상거래 보안 개요2.1 전자상거래 정보보호 서비스 (계속) • 전자화폐를 위한 정보보호 요구조건 • 독립성 • 컴퓨터 시스템 또는 장소와는 무관 • 이중 사용과 위조방지 • 전자화폐에 대한 위조나 재사용이 방지되야 함 • 디지털 정보에 해당하는 전자화폐는 위조와 이중사용에 취약 • 이중사용에 대한 방지 • 사용자의 계좌 번호와 신분을 알아내주는 방식을 취함 • 온라인의 경우 이중사용이 용이하나 오프라인의 경우 사용전 거래 중지에 관한 추후 방지대책 필요

  45. 2. 전자상거래 보안 개요2.2 전자상거래 정보보호 서비스 • 익명성(Anonymity-Privacy/Untraceability) 보장 • 사용자에 대한 정보나 사용내역은 보호 • 사용자와 상점간의 거래 내역, 관계등은 다른 사람에 의해서 추적될 수 없어야 함 • 똑같은 계좌에서 두 번 이상의 거래가 이루어져도 같은 거래가 같은 계좌에서 이루어졌다는 사실을 몰라야함 • 돈세탁, 탈세, 통화 통제 불가능의 부정적인 측면이 존재 • 완전한 익명성의 구현은 신중히 고려 • 이동성(Transferability) • 전자 화폐는 쉽게 다른 사람에게 이동될 수 있어야 함 • 돈을 소유한 사람이 사용한 증거를 남기지 않고 이동되어야한다.

  46. 2. 전자상거래 보안 개요2.2 전자상거래 정보보호 서비스 • 분할성(Divisiability) • 전자 화폐의 액면 금액을 개별적으로 이용가능 • 안전한 기억장소(Secure Storage) • 고객의 하드드라이브 또는 PCMCIA 카드와 같은 스마트 카드에 안전하게 저장하는 방법 • 다양한 상대방 유형간에 전자화폐를 전송할 수 있어야함

  47. 2. 전자상거래 보안 개요2.3 전자상거래 정보보호 메커니즘 • WWW 보안 • 전자상거래는 대부분 웹(WWW)을 기반으로 이루어짐 • 인터넷 자원들의 효율적인 검색 • 웹의 멀티미디어 서비스를 활용 • 웹을 전자상거래 활용을 위해서는 전송되는 민감한 정보에 대한 안전성 확보가 우선 • 미국의 경우 RSA암호 기술과 관련한 기술로 안전성 확보 • 미국 이외의 국가는 SSL과 관련된 웹 보안에 초점

  48. 2. 전자상거래 보안 개요2.3 전자상거래 정보보호 메커니즘 • 웹 보안상의 문제점 • 웹 보안상의 문제점 • 프로토콜의 구조상 메시지 암호화가 어렵다 • IP spoofing에 대한 대책이 없음 • 인증을 위한 패스워드 조차 단순한 스크램블 기법만으로 전달 • 정보 암호화, 접근 제어, 전자서명기법을 제공하지 않음 • 인증 기법이 제공되나 그 기능이 매우 미약 • 웹을 그대로 이용할 경우 중요한 문서의 유통 및 전자상거래에 부적합

  49. 2. 전자상거래 보안 개요2.3 전자상거래 정보보호 메커니즘 • 웹 브라우저의 문제점 • 웹에서의 브라우저는 HTTP 뿐만 아니라 다양한 프로토콜 형식 지원을 위한 다기능 프로그램 • 따라서 보안 구멍의 존재 가능성이 높음 • 침입자의 악용될 여지가 있음 • 플러그인 기법이나 MIME helper 기능을 통해 제공되는 다양한 형식의 정보처리의 장점 • 침입자에 악용될 우려 • 현재 개발중인 웹 보안기술 • 기본 인증 • HTTP의 한 부분에서 초기부터 제공 • 아이디와 패스워드를 통한 인증 • 패스워드 평문 전송으로 취약성 발생 • IP 필터링 • 기본 인증과 혼용되며 관리가 쉬운반면 IP spoofing에 취약

  50. 2. 전자상거래 보안 개요2.3 전자상거래 정보보호 메커니즘 • 응용 계층에서의 웹 보안 • NCSA의 모자이크/httpd의 PGP/PEM 인증 및 암호화 • NCSA의 X모자이크와 httpd에 메시지 암호화 서명을 처리하는 외부 프로그램 추가 기능 • PGP나 PEM과 같은 독립적인 암호화 응용 프로그램 연결을 통한 인증 및 암호화 제공 • EIT의 Secure-HTTP • S-HTTP는 기존 HTTP 프로토콜에 보안 기능을 추가한 확장 버전 • DES, RC2, RC4,IDEA등 관용 암호화 방식 • MD2, MD5, SHA등의 해쉬 알고리즘

More Related