운영관리 SET / 이중서명 (Dual Signature)
페이지 정보
본문
SET (Secure Electronic Transaction)
1) 개요
⑴ 정의
SET은 1996년 Visa와 MasterCard 등이 중심이 되어 신용카드를 기반으로 한 인터넷상의 전자결제가 안전하게 이루어질 수 있도록 즉 자신의 신용정보가 불법적인 목적의 타인에 의한 노출이나 변조되는 것을 방지할 수 있도록 개발된 보안을 강화한 전자결제 시스템의 표준 프로토콜이다.
SET는 인터넷상의 신용카드 거래를 주목적으로 하는 각 요소 시스템간의 암호화, 거래 및 인증 시스템을 규정하는 전반적인 사이버 비즈니스의 지불구조를 정의한 종합적인 보안 표준 프로토콜이다.
⑵ 특징
■ SET은 공개키 암호화와 인증 기술을 기반으로 하고 있어 카드 소유자, 상점, 매입사(買入社)에게 인증을 제공하며 결제 데이터의 비밀과 무결성을 보장할 수 있다.
■ SET은 고객, 상점, 은행의 3자가 포함된 거래를 PG를 통해 연결함으로써 거래와 승인의 동시성을 확보하고 지불 요청 등의 전 과정을 자동화한다.
■ SET은 전자거래의 송신자, 수신자 모두에게 암호키를 제공함으로써 해킹을 방지하는데, 핵심적인 정보를 담고 있는 메시지를 64비트 암호화 알고리즘을 이용해 암호화한 후 이 키 값을 1024비트 암호화 알고리즘을 이용해 다시 한 번 암호화 한다.
■ 또한 매 트랜잭션마다 새로운 형태의 암호 값을 설정하기 때문에 해킹은 거의 불가능 하며, 전송된 내용의 변조 여부는 메시지 다이제스트 기법으로 확인 할 수 있다.
⑶ SET 결제 시스템의 참여자
① 고객(Cardholder : 카드소유자) - 인터넷 쇼핑몰에서 물품 또는 서비스를 구매하는 자.
② 판매자(Merchant) - 상품이나 서비스를 제공하는 자, 매입사와 계약 관계에 있어야 한다.
③ 발급사(Issuer) - 고객의 카드발급 금융기관 혹은 결제카드 소지인의 계좌가 개설되어 있는 금융기관으로서 고객의 신용카드를 통한 상품 구매에 따른 대금을 매입사를 통하여 판매자에게 지불한다.
④ 매입사(Acquirer) - 판매자의 가맹점 승인 금융기관 혹은 판매자의 계좌가 개설되어 있는 금융기관. 발급사가 지불하는 구매 대금을 판매자의 계좌에 입금한다.
⑤ 지불 게이트웨이(Payment Gateway : 지급정보 중계기관) - 판매자가 요청한 고객의 지급 정보로 해당 금융기관에 승인 및 결제를 요청하는 기관.
⑥ 인증기관(CA: Certification Authority) - 고객 및 판매자 등 각 참여기관이 인터넷상에서 서로 신뢰하면서 거래할 수 있도록 각 참여기관에게 전자적인 인증서를 발급하는 기관.
⑦ 브랜드(Brand) - 비자나 마스터처럼 특별한 상표를 가진 카드로서 신용카드 결제 관련 업무에 대해서는 금융기관을 연결하는 네트워크를 제공한다.
2) 장단점
⑴ 장점
■ 전자거래의 사기 방지.
■ 기존 신용카드 기반 그대로 사용.
■ SSL의 단점 (상인에게 지불정보를 노출함)을 해결.
⑵ 단점.
■ 암호 프로토콜의 복잡.
■ RSA는 프로토콜 동작속도 저하요인.
■ 카드 소지자에게 전자지갑 소프트웨어 요구.
■ 상점에 소프트웨어를 요구함.
■ 지불게이트웨이 거래를 전자적으로 처리하기 위한 별도의 하드웨어와 소프트웨어가 필요함.
3) 프로세스
① 인증서 수신(고객) - 고객은 인터넷상의 판매자에게 접속하여 해당 판매자의 정당성을 검증하기위해 판매자 및 지급중계기관(PG : Payment Gateway)의 인증서를 수신 받는다.
② 구매요청(고객) - 고객은 판매자와 PG의 인증서를 확인한 후, 자신의 지급정보와 인증서를 판매자에게 송부하여 구매요청을 한다.
③ 지급정보와 인증서 PG에 전송(판매자) - 판매자는 고객인증서를 확인한 후 주문정보는 자신이 보유하고 고객의 지급정보와 고객 및 판매자 인증서를 PG에 전송한다. 이때 고객의 지급정보는 암호화되어 있기 때문에 판매자는 알 수 없다.
④ 신용카드 결제 승인 요청(PG) - PG는 고객과 판매자의 인증서를 확인 후, 지급정보를 해당 금융기관이 이용 가능하도록 복호화하여 신용카드 결제 승인을 요청한다.
⑤ 승인여부 PG에 전송(금융기관) - 해당 금융 기관은 고객의 신용한도를 고려하여 승인 여부를 전송한다.
⑥ 승인여부 판매자에 전송(PG) - PG는 승인 여부를 판매자에게 전송한다.
⑦ 주문처리(판매자) - 판매자는 PG의 응답에 따라 고객에게 영수증을 발급하고 주문을 처리한다.
이중서명 (Dual Signature)
이중서명은 전자지불결제시스템인 SET 프로토콜에서 고객의 프라이버시를 보호하기 위해 채택된 알고리즘이다. 신용카드 소지자가 인터넷 쇼핑몰에게는 주문 정보만 전달하고 금융기관에게는 신용카드 관련 지불 정보만을 전달하기 위해 사용된다.
이중서명의 기술적인 정의는 주문정보의 메시지 다이제스트와 지불정보의 메시지 다이제스트를 구하고, 두 정보의 메시지 다이제스트를 합하여 생성된 새로운 메시지의 메시지 다이제스트를 구한 후, 고객의 서명용 개인키로 암호화한 것 또는 그 행위라고 할 수 있다.
주문정보와 지불정보 각각에는 이중서명과 함께 상대편 정보의 메시지 다이제스트가 포함되어 있다. 따라서 이 정보를 받은 Merchant 또는 Payment Gateway는 자신이 받은 정보의 메시지 다이제스트를 구한 것과 상대편 정보의 메시지 다이제스트를 합하여 메시지 다이제스트를 다시 구한 후, 이중서명을 고객의 서명용 공개키로 푼 것과 비교함으로써 두 개의 정보가 연결되었음을 확인할 수 있다.