전자상거래 보안 문제 및 기술적 예방조치

전자상거래 보안 문제 및 기술적 예방 조치

전자상거래 보안은 기술적인 측면에서 예방하는 것만으로는 충분하지 않은 복잡한 시스템 프로젝트입니다. 급속하게 발전하는 전자상거래 현실에 존재하는 다양한 문제를 규제함으로써 우리나라 전자상거래의 신속하고 건전한 발전을 지도하고 촉진하기 위한 법률을 개정하였습니다. 따라서 아래에서는 전자상거래 보안 문제 및 기술적 주의 사항을 공유해 드리겠습니다.

1. 전자상거래 보안 이슈

(1) 전자상거래 보안 주요 이슈

1. 네트워크 프로토콜 보안 문제: TCP/IP 자체의 개방성으로 인해 전자 거래 중 기업과 사용자의 데이터는 데이터 패킷 형태로 전송됩니다. 악의적인 공격자는 전자 상거래 웹 사이트의 데이터 패킷을 쉽게 가로챌 수 있으며 심지어 수행하고 스푸핑할 수도 있습니다. 패킷.

2. 사용자 정보 보안 문제: 현재 전자상거래에서 가장 중요한 형태는 /S(브라우저/서버) 구조의 전자상거래 웹사이트입니다. 귀하는 공용 컴퓨터를 사용하고 있을 수 있으며, 이러한 컴퓨터에 악성 트로이 목마나 바이러스가 있는 경우 사용자 이름, 비밀번호 등 해당 사용자의 로그인 정보가 손실될 위험이 있습니다.

3. 전자상거래 웹사이트의 보안 문제: 일부 회사에서 구축한 전자상거래 웹사이트는 설계 및 제작 과정에서 보안상의 위험이 있을 수 있으며, 서버 운영 체제 자체에도 허점이 있습니다. 전자상거래 웹사이트의 경우 대량의 사용자 정보와 거래정보가 유출됩니다.

(2) 전자상거래 보안 문제의 구체적인 징후

1. 정보 도용, 변조 및 파기. 인터넷을 통해 전자거래정보를 전송하는 과정에서 해당 정보가 불법적이거나 삭제되거나 타인에 의해 재생되어 정보의 진정성과 완전성을 상실할 수 있습니다. 정보 전송의 손실 및 오류로 이어지는 네트워크 하드웨어 및 소프트웨어 문제뿐만 아니라 전자상거래 정보의 파괴로 이어지는 일부 악성 프로그램의 파괴도 포함됩니다.

2. 신원 도용. 본인 확인 없이 제3자가 일방의 신원을 사칭하여 거래를 방해하거나, 사칭 대상자의 명예를 실추시키거나, 사칭 대상자의 거래 결과를 도용할 수 있습니다.

3. 무결성 및 안전 문제. 전자상거래를 위한 온라인 결제수단으로는 전자수표, 전자지갑, 전자현금, 신용카드 결제 등이 있습니다. 그러나 이러한 결제방식은 소비자가 먼저 결제를 하고, 판매자가 상품을 배송하게 됩니다. 따라서 무결성과 보안 역시 전자상거래의 급속한 발전에 영향을 미치는 중요한 문제입니다.

4. 거래 거부. 전자상거래 거래는 기존 거래만큼 부인할 수 없어야 합니다. 일부 사용자는 자신의 책임을 회피하기 위해 자신이 보내는 정보를 악의적으로 거부할 수 있습니다. 거래 거부에는 보낸 사람이 나중에 특정 메시지나 내용을 보낸 것을 거부하는 경우, 수신자가 나중에 특정 메시지나 내용을 받은 것을 거부하는 경우, 구매자가 주문 양식을 승인하지 않는 경우, 판매자가 가격 차이를 인지하지 못하고 가격 차이로 상품을 판매하는 경우 등 여러 측면이 포함됩니다. 원래 거래 등

5. 바이러스 감염. 다양한 새로운 바이러스와 그 변종은 급속도로 증가하고 있으며, 많은 새로운 바이러스는 인터넷을 전송 채널로 직접 사용합니다. 우리나라의 컴퓨터 바이러스는 주로 인터넷상에 웜과 같은 바이러스가 만연하게 확산되면서 발생한다. 웜은 주로 자동 전파 및 복제를 위해 시스템 취약점을 악용합니다. 전파 과정에서 발생하는 대규모 검색이나 기타 공격 트래픽으로 인해 네트워크 트래픽이 급격히 증가하여 네트워크 액세스가 느려지거나 심지어 마비될 수 있습니다.

6. 해커. 해커는 다른 사람의 컴퓨터나 네트워크에 액세스하는 것을 즐기는 컴퓨터 매니아입니다. "크래커"로 알려진 다른 해커는 악의적이며 전체 컴퓨터 시스템을 파괴하고 기밀 데이터, 웹 페이지를 훔치거나 손상시키고 궁극적으로 비즈니스를 중단시킬 수도 있습니다. 일부 아마추어 수준의 해커는 단순히 온라인에서 해킹 도구를 찾아 이러한 도구의 작동 방식과 그 결과를 이해하지 못한 채 사용합니다.

7. 트로이 목마 프로그램. 트로이 목마라고 불리는 트로이 목마 프로그램은 파괴적인 코드를 전송하는 도구입니다. 트로이 목마는 컴퓨터 게임과 같이 무해하거나 유용한 소프트웨어 프로그램으로 보이지만 실제로는 위장한 적입니다. 트로이 목마는 데이터를 삭제하고 이메일 주소록의 수신자에게 자신의 사본을 보내고 컴퓨터를 켜서 다른 공격을 수행할 수 있습니다. 트로이 목마에 의한 감염은 디스크를 통해 시스템에 트로이 목마 프로그램을 복사하거나, 인터넷에서 파일을 다운로드하거나, 이메일 첨부 파일을 여는 경우에만 가능합니다. 트로이 목마나 바이러스는 이메일 자체를 통해서는 확산될 수 없습니다. 이메일 첨부 파일을 통해서만 확산될 수 있습니까?

8. 프로그램을 악의적으로 파괴하는 행위. 웹사이트는 쉽게 다운로드하고 실행할 수 있는 소프트웨어 애플리케이션(예: ActiveX 및 JavaApplets)을 제공하여 피해를 입힐 수 있는 새로운 도구를 제공합니다.

악성 파괴 프로그램은 다양한 수준의 손상을 일으킬 수 있는 소프트웨어 애플리케이션 또는 Java 애플릿을 의미합니다. 악성 프로그램은 파일 하나만 손상시킬 수도 있고 전체 컴퓨터 시스템을 손상시킬 수도 있습니다.

9. 사이버 공격. 지금까지 등장한 다양한 네트워크 공격 유형은 크게 탐지 공격, 접근 공격, 서비스 거부(DoS) 공격 세 가지로 분류된다. 프로브 공격은 실제로 정보 수집 활동입니다. 해커는 향후 네트워크에 대한 추가 공격을 위해 이 공격을 사용하여 네트워크 데이터를 수집합니다. 일반적으로 소프트웨어 도구(예: 프로브 및 스캐너)는 네트워크 리소스를 이해하고 대상 네트워크, 호스트 및 애플리케이션에서 잠재적인 취약점을 찾는 데 사용됩니다. 예를 들어, 암호를 해독하도록 설계된 소프트웨어는 네트워크 관리자가 암호를 잊어버렸거나 직원의 암호를 누구에게도 알리지 않고 회사를 떠난 직원을 돕기 위해 설계되었습니다. 그러나 이런 종류의 소프트웨어는 잘못된 사람이 사용하면 매우 위험한 무기가 될 수 있습니다. 액세스 공격은 이메일 계정, 데이터베이스 및 기타 기밀 정보에 액세스하기 위해 인증 서비스 및 FTP(파일 전송 프로토콜) 기능과 같은 네트워크 영역의 취약점을 발견하는 데 사용됩니다. DoS 공격은 사용자가 컴퓨터 시스템의 일부 또는 전체에 액세스하는 것을 방지할 수 있습니다. 이는 일반적으로 기업 네트워크나 인터넷에 연결된 장치에 대량의 지저분하거나 통제할 수 없는 데이터를 전송하여 정상적인 액세스가 호스트에 도달할 수 없도록 구현됩니다. 더욱 악의적인 것은 공격자가 여러 장치나 호스트의 보안을 손상시키는 DDoS(분산 서비스 거부) 공격입니다.

2. 전자상거래 보안 기술적 대책

전자상거래의 보안 전략은 두 부분으로 나눌 수 있는데, 하나는 컴퓨터 네트워크 보안이고, 두 번째는 비즈니스 거래 보안이다. 전자상거래의 보안 기술은 주로 다음과 같습니다.

1. 데이터 암호화 기술. 데이터 암호화는 전자상거래 시스템의 가장 기본적인 정보 보안 예방 조치입니다. 원칙은 암호화 알고리즘을 사용하여 정보의 일반 텍스트를 특정 암호화 규칙에 따라 생성된 암호문으로 변환한 후 전송함으로써 데이터의 기밀성을 보장하는 것입니다. 데이터 암호화 기술을 사용하면 정보 자체의 기밀성 요구 사항을 해결할 수 있습니다. 데이터 암호화 기술은 대칭키 암호화와 비대칭키 암호화로 나눌 수 있다.

대칭 키 암호화(SecretKeyEncryption). 대칭 키 암호화는 비밀/개인 키 암호화라고도 합니다. 즉, 데이터를 보내고 받는 두 당사자 모두 동일한 키를 사용하여 일반 텍스트를 암호화하고 해독해야 합니다. 암호화 및 복호화 속도가 빠르고, 대용량 데이터를 암호화하는 데 적합하다는 장점이 있으며, 데이터의 기밀성과 무결성을 보장할 수 있다는 점이 단점입니다. 키를 관리합니다. 현재 일반적으로 사용되는 대칭 암호화 알고리즘에는 미국 국립 표준국에서 제안한 DES 알고리즘, 스위스 연방 공과 대학에서 개발한 IDEA 알고리즘 등이 있습니다.

비대칭 키 암호화(PublicKeyEncryption). 비대칭 키 암호화는 공개 키 암호화라고도 합니다. 이는 주로 모든 사람이 공개 키(공개 키라고 함)와 개인 키(개인 키라고 함)라는 한 쌍의 고유한 키를 가지고 있음을 의미합니다. 공개되고 개인 키는 공개됩니다. 이는 개인에 의해 비밀로 유지되며 암호화할 키 중 하나만을 사용하여 해독할 수 있습니다. 비대칭키 암호화 알고리즘은 분산 및 관리가 용이하다는 장점이 있지만, 알고리즘이 복잡하고 암호화 속도가 느리다는 단점이 있다. 일반적으로 공개 키는 암호화에 사용되고 개인 키는 서명에 사용되며, 개인 키는 암호 해독에 사용되고 공개 키는 서명 확인에 사용됩니다. 알고리즘의 암호화 강도는 주로 선택한 키 길이에 따라 달라집니다. 현재 일반적으로 사용되는 비대칭 암호화 알고리즘에는 MIT의 RSA 알고리즘, 미국 국립 표준 기술 연구소의 SHA 알고리즘 등이 있습니다.

복잡한 암호화 기술. 위의 두 가지 암호화 기술에는 각각의 장단점이 있으므로 현재 일반적인 접근 방식은 두 기술을 통합하는 것입니다. lwlmpageLWLMeditor. 복호화 후 일반 텍스트를 얻습니다.

2.디지털 서명 기술. 디지털 서명은 서명을 위한 전자 비밀번호를 형성하기 위해 특정 암호화 작업을 통해 생성된 일련의 기호 및 코드로, 이는 책에 서명하거나 봉인하는 데 사용할 수도 있습니다. 이 전자 서명은 기술적으로 검증할 수도 있으며 검증 정확도는 다음과 같습니다. 일반적인 수기 서명이나 인감과는 비교할 수 없습니다. 디지털 서명 기술은 정보 전송의 무결성과 부인 방지를 보장할 수 있습니다.

3. 인증기관 및 디지털 인증서. 소위 CA 인증 기관은 PKI(공개 키 인프라) 공개 키 인프라 기술을 사용하고 디지털 인증서, 비대칭 및 대칭 암호화 알고리즘, 디지털 서명 및 디지털 봉투와 같은 암호화 기술을 사용하여 매우 안전한 암호화 및 암호 해독 및 신원 인증을 설정합니다. 전송 과정에서 정보가 변조되지 않도록 하기 위해 정보가 송신자와 수신자 이외의 제3자에게 알려지지 않도록 효과적이고 안전하게 전자 거래가 수행되도록 보장하는 시스템(무결성 및 일관성) 발신자는 수신자가 가짜가 아니라고 확신합니다. 발신자는 자신의 전송 행위를 부인할 수 없습니다(부인 방지). 전자상거래 보안 솔루션은 전자상거래 발전을 크게 촉진했습니다. 전자거래에서 디지털 타임스탬프 서비스나 전자증명서 발급은 거래 당사자 스스로 완료할 수 없고, 권위 있고 공정한 제3자가 완료해야 합니다.

CA 인증 기관은 권위 있고 신뢰할 수 있으며 공정한 제3자 조직으로서 네트워크 신원 인증 서비스를 제공하며 특히 온라인 거래에 참여하는 모든 주체에 필요한 디지털 인증서를 발급하고 관리하는 일을 담당합니다.

4. 보안 인증 프로토콜. 현재 전자상거래에서는 SSL(Secure Sockets Layer) 프로토콜과 SET(Secure Electronic Transaction) 프로토콜이라는 두 가지 보안 인증 프로토콜이 일반적으로 사용됩니다.

SSL(Secure Sockets Layer) 프로토콜입니다. SSL 프로토콜은 네트워크 전송 계층에서 Netscape가 제공하는 RSA 및 비밀 키를 기반으로 브라우저와 웹 서버 간의 보안 연결 기술입니다. SSL 프로토콜은 SSL(Secure Socket Layer)이 설치된 클라이언트와 서버 간의 트랜잭션 보안을 보장하는 프로토콜입니다. 이 프로토콜은 TCP/IP 기반 클라이언트/서버 애플리케이션에 클라이언트 및 서버 인증, 데이터 무결성 및 정보 기밀성을 제공합니다. 및 기타 안전 조치. 그 목적은 사용자에게 인터넷과 기업 인트라넷에서 안전한 통신 서비스를 제공하는 것입니다. 애플리케이션 계층에서 데이터를 보내고 받기 전에 SSL 프로토콜은 암호화 알고리즘을 협상하고 키를 연결하며 두 통신 당사자를 인증함으로써 애플리케이션 계층에 대한 보안 전송 채널(예: HTTP, FTP, TELNET)을 제공합니다. 등)은 애플리케이션 계층 데이터 전송의 보안을 보장하기 위해 이 채널에 투명하게 로드될 수 있습니다. SSL 프로토콜 핸드셰이크 프로세스는 서버 인증과 사용자 인증의 두 단계로 구성됩니다. SSL은 공개 키와 개인 키라는 두 가지 유형의 암호화를 사용합니다. 공개 키는 연결 설정 프로세스 중에 사용되며 개인 키는 세션 중에 사용됩니다. 암호화 유형과 강도는 두 끝 사이의 연결이 설정되는 동안 결정됩니다. 클라이언트와 서버 간의 트랜잭션 보안을 보장합니다.

보안전자거래(SET) 프로토콜. SET 프로토콜은 개방형 네트워크에서 안전하고 효과적인 은행 카드 거래를 목표로 하며, Visa와 Mastercard가 공동으로 개발하여 인터넷에서 카드 결제 거래에 대한 높은 수준의 보안과 사기 방지를 보장합니다. IBM, HP, Microsoft 등 많은 대기업에서 지원하기 때문에 사실상의 업계 표준이 되었으며 현재 IETF 표준에서 인정받고 있습니다. 인터넷상의 온라인 거래를 위해 제정된 개방형 전자화폐 기반의 전자지불 규격입니다. SET는 고객의 신용카드 인증을 유지하면서 가맹점 신원 인증을 추가하는데, 이는 화폐 결제가 필요한 거래에 매우 중요합니다. SET는 인터넷 쇼핑 시 은행카드를 안전하게 사용할 수 있는 표준을 마련하겠습니다. 보안전자거래규격은 신용카드를 기반으로 한 전자거래에 대한 보안조치를 제공하는 규칙으로 전자거래의 비밀성, 데이터 무결성, 신원적법성, 부인방지 등을 보장하며, SET 프로토콜은 이중서명을 사용한다. 각 참가자의 정보를 서로 격리하여 가맹점은 카드 소유자의 주문 데이터만 볼 수 있고 은행은 카드 소유자의 신용 카드 정보만 얻을 수 있도록 합니다. 따라서 인터넷에서 널리 사용할 수 있는 안전한 전자지불 프로토콜로, 일반적으로 사용되는 신용카드의 사용 범위를 현재 매장에서 소비자의 가정, 소비자의 개인용 컴퓨터로 확대할 수 있습니다.

5. 기타 보안 기술. 전자상거래 보안에서 일반적으로 사용되는 방법에는 방화벽 기술, 가상 사설망(VPN) 기술, 네트워크 내 안티 바이러스 보호 등이 있습니다. 단일 전자상거래 보안 기술에만 의존하는 것만으로는 충분하지 않으며, 사용자에게 보다 안정적인 전자상거래 보안 초석을 제공하기 위해 다른 보안 수단과 함께 사용해야 합니다.

;