SET
태그 :
- 개념
- SET(Secure Electronic Transaction)의 정의 - Visa와 Master 카드사에 의해 1997년 5월에 발표된 신용카드 기반의 전자지불시스템 표준 프로토콜
I. 금융거래 안전보장 시스템 SET의 개념
가. SET(Secure Electronic Transaction)의 정의
- Visa와 Master 카드사에 의해 1997년 5월에 발표된 신용카드 기반의 전자지불시스템 표준 프로토콜
나. SET의 구성도
- Merchant는 고객의 신용카드번호를 알 필요가 없고, 은행/카드사는 고객의 상세한 주문정보를 알 필요가 없음
고객(Cardholder) |
- Issuer가 발급한 신용카드를 사용하여, Internet상에서 Merchant로부터 상품을 구매하는 자 |
판매자(Merchant) |
- 인터넷상에서 상품이나 서비스를 제공하는 자 - Cardholder에게 보안된 전자적 상호작용환경(SET 기반하의 Cyber Shopping Mall) 제공 책임이 있음 |
발급사(Issuer) |
- Cardholder에게 신용카드를 발급해주고 그 계정을 관리하는 금융기관 - Cardholder의 적법성을 확인 |
매입사(Acquirer) |
- 판매자의 가맹점 승인 금융기관 혹은 판매자의 계좌가 개설되어 있는 금융기관 - Merchant의 계정을 생성하고, 카드승인과 지불을 처리 |
지급정보 중계기관(Payment Gateway) |
- Acquirer에 의해 운영되는 전문 지불처리 시스템 - Cardholder로 부터의 지불 지시를 포함하는 Merchant의 지불요청 Message를 처리 |
인증기관 (Certification Authority) |
- 고객 및 판매자 등 각 참여기관이 인터넷 상에서 서로 신뢰하면서 거래할 수 있도록 각 참여기관에게 전자적인 인증서를 발급하는 기관 - 국가마다 신용카드 브랜드별로 존재할 수 있으며 이들은 모두 기본(Root) CA에 의해 계층적으로 인증되고 관리됨 |
다. SET의 특징
- 보안과 개인정보보호 : 공개키 암호화 사용
- 전자서명을 사용한 전문의 무결성과 인증
- 가맹점 전자증명서(Digital Certificate)를 통한 가맹점의 적법성 확인
- 카드소지자와 전자증명서를 통한 카드소지자 신분 확인
- 전자지갑, 상점서버(MC), 지불게이트웨이 서버, 인증기관 필수
- 전세계 표준 전자상거래 프로토콜로 호환성이 뛰어남
- SSL을 이용했을 때보다 훨씬 더 높은 수준의 보안성 제공
- SET를 제대로 구현하는데 있어서의 기술, 시간, 비용 등의 제반적 측면과 사용자 편의성 측면, 그리고 처리속도가 느리다는 단점이 있음
II. 지불 프로토콜 기반의 상거래 절차
1 |
상점, 지불중계기관(Payment gateway), 금융기관은 인증기관으로부터 인증서를 발급받음 |
2 |
소비자는 상점의 홈페이지에서 전자지갑을 다운로드 받아 자신의 컴퓨터에 설치 |
3 |
전자지갑을 실행시켜 자신의 신용카드를 등록하고 인증기관(CA)로부터 인증서 발급 받음 |
4 |
소비자 상점 홈페이지 방문하여 상품검색 및 주문 |
5 |
소비자 전자지갑 작동 |
6 |
전자지갑을 통해 상점에 지불정보 전달, 이때 이 정보는 암호화 되어 상점에는 노출되지 않음. 즉 상점입장에서는 지불기관으로부터 지불약속만 얻으면 거래 진행 가능 |
7 |
상점은 지불정보를 지불중계기관에 전송 |
8 |
지불중계기관은 금융기관에게 지불정보 전송 |
9 |
금융기관은 카드소지자의 신용 파악하여 승인정보 전송,이때 금융기관은 구매자의 상품정보 알 필요 없음 |
10 |
지불중계기관은 승인정보를 상점에 전송 |
11 |
상점은 소비자에게 상품 배송 |
III. SET의 암호화 알고리즘 및 이중서명
가. 기본적인 암호화 알고리즘
- 공개키 암호 방식 : 1024 비트 RSA (X.509 v3를 이용한 공개키 인증방식)
- 서명 알고리즘 : 1024비트 RSA
- 비밀키 암호 방식 : 56비트 DES
- 해쉬 알고리즘 : 160비트 SHA-1
메시지의 암호화 |
- Cardholder의 계좌번호, 신용카드번호, 지불정보 등의 민감한 정보의 노출을 방지하기 위해 메시지를 암호화 - 암호화 알고리즘은 대칭키(비밀키-128bit) 방식이며 키의 분배를 위해 RSA(공개키-1024bit) 방식을 사용 |
전자증명서 |
- 당사자들간의 인증(구매자가 올바른 신용카드 회원인가, 상인이 올바른 가맹점 상인인가)을 위해 X.509를 기반으로 하는 전자 증명서(Certificate)를 발급 - 인증기관(Certificate Authority)에 의해 발행되며 이름, 신용카드의 이름, 암호키 일부 등이 내용에 포함됨 - 유효기간은 최대 3년 |
디지털서명 |
- 메시지에 전자서명과 해쉬함수를 사용함으로써 수신자가 메시지의 무결성을 확인 - 거래 당사자가 모두 서명하는 이중서명(Dual Signature)방식 |
나. 이중서명(Dual Signature) 프로토콜
- 필요 사유 : SET에서는 고객의 결제정보가 판매자를 통하여 해당 지급정보중계기관으로 전송됨에 따라 고객의 결제정보가 판매자에게 노출될 가능성과 판매자에 의한 결제 정보의 위.변조의 가능성이 있으므로, 판매자에게 결제정보를 노출시키지 않으면서도 판매자가 해당 고객의 정당성 및 구매내용의 정당성을 확인 할 수 있고 지급정보중계기관은 판매자가 전송한 결제요청이 실제고객이 의뢰한 전문인지를 확인할 수 있도록 하는 이중서명 기술 도입이 필요
- PI : Payment Information - OI : Order Information
- H : Hash Function (SHA-1) - E : Encryption (RSA)
- PIMD : PI Message Digest - OIMD : OI Message Digest
- KRc : Customer's Private Signature key
IV. SSL과의 비교 및 장/단점
가. SET과 SSL의 비교
구분 |
SSL |
SET |
기능 |
통신 보안 프로토콜 |
전자 지불 프로토콜 |
상호운용성 |
지불관련 상세 규약 없음 |
SET규격에 맞으면 보장 |
온라인 결제 |
제공하지 않음 |
제공함 |
전자지갑 |
전자지갑 개념 없음 |
반드시 전자지갑 사용 |
부인방지 |
서명기능이 없어 제공 못함 |
서명기능으로 제공 |
안전성 |
다소 낮음(상점에 카드번호 노출) |
높음(금융기관만 카드번호 확인) |
기타 |
사용간편, 고속, 시스템 구현이 SET에 비해 간단 |
시스템 구현이 복잡하고 SSL에 비해 느림 |
나. SET의 장/단점
장 점 |
단 점 |
- 전자상거래 사기 방지 - 기존 신용카드 기반을 그대로 활용 - SSL (지불정보노출)의 단점 해결 |
- 암호화 프로토콜 복잡 - RSA동작은 속도를 저하시킴 - 카드소지자에게 전자지갑 요구 - 상점에게 소프트웨어 요구 - 지불게이트웨이 거래를 전자적으로 처리하기 위한 별도의 HW/SW 요구 |