SET

개념
SET(Secure Electronic Transaction)의 정의 - Visa와 Master 카드사에 의해 1997년 5월에 발표된 신용카드 기반의 전자지불시스템 표준 프로토콜

I. 금융거래 안전보장 시스템 SET의 개념

가. SET(Secure Electronic Transaction)의 정의

- Visa와 Master 카드사에 의해 1997년 5월에 발표된 신용카드 기반의 전자지불시스템 표준 프로토콜

나. SET의 구성도

- Merchant는 고객의 신용카드번호를 알 필요가 없고, 은행/카드사는 고객의 상세한 주문정보를 알 필요가 없음

고객(Cardholder)

- Issuer가 발급한 신용카드를 사용하여, Internet상에서 Merchant로부터 상품을 구매하는 자

판매자(Merchant)

- 인터넷상에서 상품이나 서비스를 제공하는 자

- Cardholder에게 보안된 전자적 상호작용환경(SET 기반하의 Cyber Shopping Mall) 제공 책임이 있음

발급사(Issuer)

- Cardholder에게 신용카드를 발급해주고 그 계정을 관리하는 금융기관

- Cardholder의 적법성을 확인

매입사(Acquirer)

- 판매자의 가맹점 승인 금융기관 혹은 판매자의 계좌가 개설되어 있는 금융기관

- Merchant의 계정을 생성하고, 카드승인과 지불을 처리

지급정보 중계기관(Payment Gateway)

- Acquirer에 의해 운영되는 전문 지불처리 시스템

- Cardholder로 부터의 지불 지시를 포함하는

  Merchant의 지불요청 Message를 처리

인증기관

(Certification Authority)

- 고객 및 판매자 등 각 참여기관이 인터넷 상에서 서로 신뢰하면서 거래할 수 있도록 각 참여기관에게 전자적인 인증서를 발급하는 기관

- 국가마다 신용카드 브랜드별로 존재할 수 있으며 이들은 모두 기본(Root) CA에 의해 계층적으로 인증되고 관리됨

다. SET의 특징

- 보안과 개인정보보호 : 공개키 암호화 사용

- 전자서명을 사용한 전문의 무결성과 인증

- 가맹점 전자증명서(Digital Certificate)를 통한 가맹점의 적법성 확인

- 카드소지자와 전자증명서를 통한 카드소지자 신분 확인

- 전자지갑, 상점서버(MC), 지불게이트웨이 서버, 인증기관 필수

- 전세계 표준 전자상거래 프로토콜로 호환성이 뛰어남

- SSL을 이용했을 때보다 훨씬 더 높은 수준의 보안성 제공

- SET를 제대로 구현하는데 있어서의 기술, 시간, 비용 등의 제반적 측면과 사용자 편의성 측면, 그리고 처리속도가 느리다는 단점이 있음

 

II. 지불 프로토콜 기반의 상거래 절차

1

상점, 지불중계기관(Payment gateway), 금융기관은 인증기관으로부터 인증서를 발급받음

2

소비자는 상점의 홈페이지에서  전자지갑을  다운로드 받아 자신의 컴퓨터에 설치

3

전자지갑을 실행시켜 자신의 신용카드를 등록하고 인증기관(CA)로부터 인증서 발급 받음

4

소비자 상점 홈페이지 방문하여 상품검색 및 주문

5

소비자 전자지갑 작동

6

전자지갑을 통해 상점에 지불정보 전달, 이때 이 정보는 암호화 되어 상점에는 노출되지 않음. 즉 상점입장에서는 지불기관으로부터 지불약속만 얻으면 거래 진행 가능

7

상점은 지불정보를 지불중계기관에 전송

8

지불중계기관은 금융기관에게 지불정보 전송

9

금융기관은 카드소지자의 신용 파악하여 승인정보 전송,이때 금융기관은 구매자의 상품정보 알 필요 없음

10

지불중계기관은 승인정보를 상점에 전송

11

상점은 소비자에게 상품 배송

 

 

III. SET의 암호화 알고리즘 및 이중서명

가. 기본적인 암호화 알고리즘

- 공개키 암호 방식 : 1024 비트 RSA (X.509 v3를 이용한 공개키 인증방식)

- 서명 알고리즘 : 1024비트 RSA

- 비밀키 암호 방식 : 56비트 DES

- 해쉬 알고리즘 : 160비트 SHA-1

메시지의

암호화

- Cardholder의 계좌번호, 신용카드번호, 지불정보 등의 민감한 정보의 노출을 방지하기 위해 메시지를 암호화

- 암호화 알고리즘은 대칭키(비밀키-128bit) 방식이며 키의 분배를 위해 RSA(공개키-1024bit) 방식을 사용

전자증명서

- 당사자들간의 인증(구매자가 올바른 신용카드 회원인가, 상인이 올바른 가맹점 상인인가)을 위해 X.509를 기반으로 하는 전자 증명서(Certificate)를 발급

- 인증기관(Certificate Authority)에 의해 발행되며 이름, 신용카드의 이름, 암호키 일부 등이 내용에 포함됨

- 유효기간은 최대 3년

디지털서명

- 메시지에 전자서명과 해쉬함수를 사용함으로써 수신자가 메시지의 무결성을 확인

- 거래 당사자가 모두 서명하는 이중서명(Dual Signature)방식

나. 이중서명(Dual Signature) 프로토콜

- 필요 사유 : SET에서는 고객의 결제정보가 판매자를 통하여 해당 지급정보중계기관으로 전송됨에 따라 고객의 결제정보가 판매자에게 노출될 가능성과 판매자에 의한 결제 정보의 위.변조의 가능성이 있으므로, 판매자에게 결제정보를 노출시키지 않으면서도 판매자가 해당 고객의 정당성 및 구매내용의 정당성을 확인 할 수 있고 지급정보중계기관은 판매자가 전송한 결제요청이 실제고객이 의뢰한 전문인지를 확인할 수 있도록 하는 이중서명 기술 도입이 필요

- PI : Payment Information - OI : Order Information

- H : Hash Function (SHA-1) - E : Encryption (RSA)

- PIMD : PI Message Digest - OIMD : OI Message Digest

- KRc : Customer's Private Signature key

 

IV. SSL과의 비교 및 장/단점

가. SET과 SSL의 비교

구분

SSL

SET

기능

통신 보안 프로토콜

전자 지불 프로토콜

상호운용성

지불관련 상세 규약 없음

SET규격에 맞으면 보장

온라인 결제

제공하지 않음

제공함

전자지갑

전자지갑 개념 없음

반드시 전자지갑 사용

부인방지

서명기능이 없어 제공 못함

서명기능으로 제공

안전성

다소 낮음(상점에 카드번호 노출)

높음(금융기관만 카드번호 확인)

기타

사용간편, 고속, 시스템 구현이 SET에 비해 간단

시스템 구현이 복잡하고 SSL에 비해 느림

나. SET의 장/단점

장  점

단  점

- 전자상거래 사기 방지

- 기존 신용카드 기반을 그대로 활용

- SSL (지불정보노출)의 단점 해결

- 암호화 프로토콜 복잡

- RSA동작은 속도를 저하시킴

- 카드소지자에게 전자지갑 요구

- 상점에게 소프트웨어 요구

- 지불게이트웨이 거래를 전자적으로 처리하기 위한 별도의 HW/SW 요구

 

 

 

댓글