본문 바로가기

정보보호/정보보호론(박승철)

정보보호론-(26) SET, WLAN 보안

정보보호론-(26) SET, WLAN 보안

SET(Secure Electronic Transaction)
- 안전한 전자 거래 프로토콜인 SET은 인터넷 상에서 신용카드 거래를 보호하기 위해 1996년 마스터카드사와 비자카드사의 요청에 의해 개발됨

SET 3가지 보안 요소
(1) 통신정보의 기밀성, 무결성 보장
(2) X.509 공인인증서 기반의 공개키 신뢰성 제공
(3) 거래에 참가하는 개체들의 프라이버시 보장(이중 서명)

<그림 1: SET 시스템 구성>

- 카드 사용자(Card Holder) : 카드 회사(Issuer)가 발급한 지불 카드의 소지자
- 카드 가맹점(Merchant) : 카드 사용자에게 인터넷으로 제품을 판매하는 기관, 해당 카드 지불은행에 가입되어 있음

지불 게이트웨이(PG, Payment Gateway)
(1) 인터넷 기반의 SET 네트워크와 기존 은행카드 지불 네트워크간에 거래 인가(authorization)와 지불(payment) 기능을 위한 가교 수행
(2) 인터넷으로 SET 네트워크에 연결되어야 하고, 기존 지불 네트워크에 연결된 지불 은행(acquirer)에도 연결

- 지불 은행(acquier) : 카드 가맹자를 위한 계정을 개설하고, 신용 한도 초과 확인을 통한 지불카드 인가와 판매자 계정에 대금 이체 등 지불 동작을 처리함
- 카드 회사(Issuer) : 카드 사용자에게 카드를 발급하고, 카드 사용자의 구매 대금 지불에 대한 궁극적인 책임을 지님
- 공인 인증기관(Certificate Authority) : 공인인증서 발급·유지·관리

이중서명의 목표
- 카드 가맹점은 지불 정보(PI, Payment Information)를 알 수 없게 하고 지불 은행은 주문 정보(OI, Order Information)을 알 수 없게 함으로써, 카드 사용자의 프라이버시 정보가 불필요하게 노출되지 않도록 보호하면서 주문정보와 지불정보에 대한 서명 확인 가능
- 카드 사용자가 카드 가맹점에 전송하는 주문 정보와 지불 은행에 전송하는 지불 정보가 서로 정확하게 연결되어 있음을 보장함

<그림 2: SET 프로토콜 이중서명 생성>

카드 사용자(Card Holder) - 가맹점(Merchant) 간 구매 요청 절차
(1) 카드 사용자가 가맹점에게 시작 요청(카드 브랜드, 거래ID, none)의 정보를 요청함
(2) 가맹점은 카드 사용자에게 거래 ID, nonce, 가맹점의 공인 인증서 정보를 응답함
(3) 카드 사용자는 PI, OI, 카드 사용자의 구매요청을 이중서명 구조로 "구매 요청 메시지"를 가맹점에게 전달

<그림 3: 구매 요청 메시지의 구성>

지불 은행이 수신하는 정보와 가맹점이 수신하는 정보를 이중 서명, 해시를 이용하여 구분 지음

<그림 4: 가맹점에서 구매 요청 메시지의 처리>

가맹점의 구매 요청 메시지 처리
(1) 사용자의 공인 인증서를 통해 사용자의 공개키를 획득한다.
(2) 사용자의 공개키로 이중 서명을 복호화하여 이중 서명 해시값( H(PI) + H(OI) )를 획득한다.
(3) H(PI)과 평문 주문정보(OI)를 해시한 값을 결합하여 H(PI) + H(OI) 해시값을 연산하고 (2) 결과와 비교한다.
(4) 일치하면 구매 요청 메시지는 사용자가 송신했다는 인증성, 책임성을 획득하고 주문정보(OI)와 지불정보(PI)가 서로 연계되어있음을 확인한 것이다.
(5) 가맹점은 PG사에게 E(Ks, PI, 이중서명, H(OI)), E(Kb+, Ks), 사용자 공인인증서, 가맹점 공인인증서 + 구매 인가 정보를 전송한다
* 구매 인가 정보? 거래 ID, 가맹점 ID, 가맹점의 디지털 서명

PG사의 인가요청 처리
- 수신한 인증서들을 검증한다.
- 사용자의 이중서명, 가맹점의 서명을 검증한다.
- 검증을 완료한 뒤 구매 요청 메시지를 카드회사로 전달하여 거래 승인을 요청한다.

구매 요청 메시지의 전달 과정
사용자 -> 가맹점 -> PG사 -> 카드사

무선 LAN 보안
- WEP
- IEEE 802.1i WPA2

Reference
1. 

제26강+SET_WLAN보안.pdf
0.56MB

2. https://www.youtube.com/watch?v=UKGHJjSNiOs