온라인 거래 보안

마지막 업데이트: 2022년 1월 22일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기
  • 녹색 프레임. 모든 확인이 정상적으로 수행되었음을 나타냅니다. 보호된 브라우저를 사용하여 계속할 수 있습니다.
  • 노란색 프레임. 확인 결과 해결해야 하는 보안 문제가 발견되었음을 나타냅니다.

earticle

The purpose is to measure user experience in security-related services, focusing on Danggeun Market 온라인 거래 보안 and Bungae Jangter, which are representative services in Korea among online trading of used goods. Using mobile applications, qualitative and quantitative research by conducting task experiments and surveys and in-depth interviews. As a result of the study, active interfaces are needed to make it easier for users to recognize safety and security services within current used trading platforms, a secure settlement method that benefits sellers, and services being provided to enhance security also need to consider graphical elements. This study is expected to help the continued development of safe used trading platforms considering security aspects on C2C-type platforms where buyers become sellers.

본 연구는 중고거래 온라인 플랫폼 중 국내 대표 서비스인 당근마켓과 번개장터를 중심으로 보안 관련 서비스에 관한 사용자 경험을 측정하는 데 목적이 있다. 모바일 애플리케이션을 이용한 태스크 실험과 설문조사 및 심층인터뷰를 진행하여 정성적, 정량적 연구를 진행했다. 연구 결과 현 중고거래 플랫폼 내의 안전성과 보안성 관련 서비스를 사용자 들이 더욱더 쉽게 인지 할 수 있도록 적극적인 인터페이스가 필요하고, 판매자에게도 이익 실현이 이루어지는 거래방식 이 필요하며, 보안성을 강화하기 위해 제공되고 있는 서비스 또한 지속해서 그래픽(Graphic) 요소의 시인성을 높여야 한다. 이 연구는 구매자가 판매자가 되는 C2C 형태의 플랫폼에서 보안성 측면을 고려한 안전한 중고거래 플랫폼의 지 속적인 발전에 도움이 될 것으로 기대한다.

요약
Abstract
1. 서론
1.1 연구 배경 및 문제 제기
1.2 연구 범위 및 목적
2. 이론적 배경
2.1 중고거래와 온라인 플랫폼의 개념
2.2 중고거래 온라인 플랫폼의 분류
2.3 당근마켓의 특징 및 안전성
2.4 번개장터의 특징 및 안전성
3. 연구 방법
3.1 사례조사
3.2 사용자 욕구의 계층 구조 모형의 재구성
3.3 실험 대상
3.4 실험 방법
4. 연구 결과
4.1 태스크 분석 결과
4.2 심층 인터뷰 분석 결과
5. 결론
REFERENCES

온라인 거래 보안

은행 및 전자 결제 시스템 웹사이트에 입력한 기밀 데이터(예: 은행 카드 번호, 인터넷 뱅킹 암호)를 보호하고 온라인 결제 시 자산 도난을 방지하기 위해 Kaspersky Small Office Security에서는 해당 웹사이트를 보호된 브라우저에서 열도록 메시지를 표시합니다.

보호된 브라우저는 은행 또는 결제 시스템 웹사이트에 접근할 때 데이터를 보호하는 특수 브라우저 작동 모드입니다. 다른 애플리케이션이 보호된 브라우저 프로세스에 코드를 삽입하지 않도록 보호된 브라우저는 격리된 환경에서 시작됩니다. Kaspersky Small Office Security는 타사 추가 기능이 보호된 브라우저 작동에 영향을 주지 않도록 Mozilla Firefox 및 Google Chrome 브라우저에 대해 특수한 프로필을 생성합니다. 애플리케이션은 브라우저용으로 생성된 프로필에 저장될 수 있는 데이터에 영향을 주지 않습니다.

Chromium 기반 Microsoft Edge, Google Chrome, Mozilla Firefox, 또는 Internet Explorer browser를 이용하는 경우 보호된 브라우저는 새 창에서 열립니다.

애플리케이션은 Kaspersky Protection 확장 프로그램을 이용하여 여러 가지 보호된 브라우저 기능을 제공합니다.

소프트웨어 요구 사항을 충족하지 않는 브라우저는 보호된 브라우저 모드에서 작동하지 않습니다. 그런 브라우저 대신 Chromium 기반 Microsoft Edge나 애플리케이션 설정에서 구성된 다른 브라우저가 보호된 브라우저 모드로 시작됩니다.

다음 상태에서는 보호된 브라우저를 실행할 수 없습니다.

    자기-보호 사용 확인란이 애플리케이션 설정 창에 있는 고급 설정 섹션의 자기-보호 하위 섹션에서 선택을 취소한 경우.

이 확인란은 하드 드라이브의 파일, 메모리 프로세스 및 시스템 레지스트리 항목 수정/삭제로부터 애플리케이션을 보호하는 Kaspersky Small Office Security의 메커니즘을 작동하거나 중지합니다.

이 확인란을 선택하면 시스템 서비스의 외부 제어를 수행하는 기능도 중지됩니다. 시스템 서비스의 온라인 거래 보안 외부 제어가 중지되면 Kaspersky Small Office Security는 애플리케이션 서비스 원격 관리를 수행하려는 모든 시도를 차단합니다. 원격으로 애플리케이션을 관리하려는 시도가 탐지되면 Microsoft® Windows® 작업 표시줄 알림 영역의 Kaspersky Small Office Security 아이콘 위에 알림이 표시됩니다(알림을 사용할 경우).

Yandex Browser에서 보호된 브라우저 실행

Kaspersky Small Office Security는 몇 가지 제한 사항이 있는 Yandex Browser에서 금융 거래를 안전하게 보호합니다. 보호된 브라우저를 실행하기 위해 애플리케이션은 웹페이지(및 트래픽)에 특수 스크립트를 삽입합니다. Kaspersky 보호 확장 프로그램을 사용할 수 없습니다. 프라이빗 브라우징 및 안티 배너 구성 요소는 Yandex Browser에서 작동은 하지만 구성할 수는 없습니다.

보호된 브라우저 모드에서 애플리케이션은 다음과 같은 보안위협에 대한 보호 기능을 제공합니다.

  • 신뢰하지 않는 모듈. 은행 또는 결제 시스템 웹사이트를 방문할 때마다 애플리케이션이 신뢰하지 않는 모듈에 대해 검사를 실행합니다.
  • 루트킷. 애플리케이션이 보호된 온라인 거래 보안 브라우저 시작 시 루트킷을 검사합니다.
  • 은행 또는 결제 시스템 웹사이트의 잘못된 인증서. 은행 또는 결제 시스템 웹사이트를 방문할 때 애플리케이션이 인증서를 확인합니다. 감염된 인증서 데이터베이스와 대조하여 확인을 수행합니다.

보호된 브라우저에서 웹사이트를 열면 브라우저 창 테두리에 프레임이 나타납니다. 프레임 색상은 보호 상태를 나타냅니다.

브라우저 창의 프레임 색상은 다음을 나타낼 수 있습니다.

  • 녹색 프레임. 모든 확인이 정상적으로 수행되었음을 나타냅니다. 보호된 브라우저를 사용하여 계속할 수 있습니다.
  • 노란색 프레임. 확인 결과 해결해야 하는 보안 문제가 발견되었음을 나타냅니다.

애플리케이션은 다음과 같은 보안위협 및 보안 문제를 탐지할 수 있습니다.

  • 신뢰하지 않는 모듈. 컴퓨터 검사 및 치료가 필요합니다.
  • 루트킷. 컴퓨터 검사 및 치료가 필요합니다.
  • 은행 또는 결제 시스템 웹사이트의 인증서가 잘못되었습니다.

탐지된 보안위협을 제거하지 않으면 은행 또는 결제 시스템 웹사이트 연결 세션의 보안이 보장되지 않습니다. 낮은 보호 수준으로 사용 및 실행되는 보호된 브라우저와 관련된 이벤트를 Windows 이벤트 로그에 기록합니다.

보호된 웹사이트를 탐색할 때 데이터를 보호하도록 Kaspersky Small Office Security는 스파이웨어가 무단 스크린샷을 생성하지 못하도록 차단합니다. 스크린샷 차단은 기본적으로 사용하도록 설정되어 있습니다. 하드웨어 가상화가 중지되어도 스크린샷 차단은 실행 중입니다.

Kaspersky Small Office Security는 온라인 결제 시 애플리케이션이 클립보드에 무단 접근하는 것을 차단하여 범죄자의 데이터 탈취를 방지합니다. 이러한 차단은 신뢰할 수 없는 애플리케이션이 클립보드에 무단 접근하려는 경우에만 활성화됩니다. 한 애플리케이션 창에서 다른 애플리케이션 창으로 데이터를 수동으로 복사하는 경우(예: 메모장에서 텍스트 편집 창으로 복사) 클립보드에 대한 접근이 허락됩니다.

컴퓨터에서 하드웨어 가상화가 중지되어 있는 경우 클립보드 보호가 실행 중이지 않습니다.

Microsoft Windows 10 운영 체제에서 보호된 브라우저가 시작되면 Kaspersky Small Office Security는 범용 Windows 애플리케이션과 클립보드 간의 상호 작용을 차단합니다.

[전자상거래 보안] 전자상거래 보안의 개념과 필요성, 위협요소 및 정보보안기술경영경제레포트

1. 암호의 개요
2. 암호알고리즘
1) 대칭키 암호화
2) 비대칭형 암호화
3) 해쉬함수 알고리즘
3. 암호 프로토콜
1) 방화벽
(1) 방화벽의 개념
(2) 방화벽의 특징
(3) 방화벽의 기능
(4) 방화벽의 장단점
(5) 방화벽 구축시 고려사항
2) SSL(Secure Socket Layer)
3) SET(Secure Electronic Transaction)
(1) SET의 목표
(2) SET의 동작원리
(3) 거래의 종류
전자상거래 보안

보안(Security)이란 컴퓨터시스템이나 컴퓨터시스템에서 관리되는 데이터에 대한 이용권한이 부여되어 있는 이용자들만이 자원을 사용할 수 있도록 통제하고 제어하는 작업을 지칭한다.
그리고 전자상거래 보안 요구사항은 첫째, 신원인증(secure authentication)으로 구매자와 판매자의 상호 인증구조가 필요하다. 둘째, 전송 데이터 보안으로 사용자의 신용정보(인적사항), 신용카드 정보(카드번호, 사용자명, 유효 기간 등)의 안전성 확보가 필요하다. 셋째, 안전한 지불 시스템으로 다양하고 안전한 전자 지불 방식이 제공되어야 하고, 전자화폐의 불법 복사에 대한 방지책이 필요하다. 넷째, 프라이버시 보호(Privacy anonymity)로 전자상거래에 대한 익명성 보장을 통해 개인의 사생활 보호할 필요가 있다.

정보보안은 기밀성(Con…(생략)
fidentiality), 무결성(Integrity), 진정성(Authenticity), 부인방지(Non-Repudiation)를 요소로 전자상거래의 신뢰와 안전성을 확보한다.

기밀성이란 전자적 의사표시를 할 경우 그 내용의 비밀이 보장되는 것을 의미하며, 전자적 기록내용의 노출방지와 통제에 관한 내용이다.
그리고 거래당사자 이외의 제3자가 거래정보 및 거래당사자의 신용에 관련한 정보를 확인할 수 없도록 보증함을 의미한다. 예를 들어 인터넷 쇼핑몰에서 상품구매 후 신용카드로 대금을 결제할 경우 신용카드번호와 패스워드를 암호화하여 전송하는데 중간에 가로채어 암호해독을 할 수 없게 만든 것이다.

무결성이란 의사표시의 내용적 완전성에 관한 것으로, 표의자의 의사표시가 애초에 발하여진 것과 동일한 내용으로 상대방에게 도달하였는지를 확증하는 것을 말한다. 즉, 진정성이 의사표시를 담고 있는 전자적 기록의 위작과 모용의 문제라고 한다면, 전자적 기록의 변작의 문제에 해당한다고 할 것이다.
그리고 무결성은 정보의 정확성 및 완전성에 근거한 것으로 정보가 제3자에 의해 변경되거나 손실 없이 송신자가 보낸 원래의 정보와 동일하면서 완전성을 증명하는 것을 말한다.

진정성이란 의사표시가 누구에 의하여 이루어진 것인가를 확증할 수 있는 것을 말한다.
그리고 진정성은 정보교환에 따른 실제 당사자로서 신원확인 하는 것으로 정보의 근원을 보증하는 것이다. 판매자의 입장에서 상품구매를 할 경우 대금결제에 사용된 신용카드가 실제 소유자임을 확인하는 것을 의미한다.
또한 이러한 진정성의 문제는 전자상거래에 있어서 의사능력 혹은 행위능력이 있는 자에 의하여 의사표시가 이루어진 것인가를 확인하기 위한 측면에서도 중요한 의미가 있다고 할 것이다.

부인봉쇄란 전자상거래에 있어서 표의자가 전자적 의사표시를 일단 행하였으면 그로 하여금 그 전자적 의사표시로 인하여 발생하는 각종 법률적 효과를 견지하도록 강제하는 것으로, 결국 표의자는 그가 의사표시를 발하였다는 점과 그 의사 표시의 내용이 상대방에 도달한 내용과 다르다는 점을 사후에 임의로 부정할 수 없어야 한다.
부인방지는 정보의 무결성 자체를 부인방지 하는 것을 보증함을 의미한다.
즉, 정보제공자 또는 수신자가 각 상대방의 정보내용에 대한 부인하는 것을 방지함을 의미한다.

보안에 대한 위협요소로는 신원 및 데이터 사취, 사칭/가장, 재생, 조작, 부인 등이 있다.
첫째, 신원 및 데이터 사취, 누설로 인가되지 않은 사람의 비밀정보와 획득, 복사 등이다. 이는 기밀성에 대한 위협요소라 할 수 있다.
둘째, 사칭/가장으로 인가되지 않은 자가 인가된 사람처럼 온라인 거래 보안 가장하여 비밀번호를 취득하여 사용하는 것을 말한다. 이는 인증에 대한 위협요소이다.
셋째, 재생(Replay)으로 부당한 환경에서 정당한 메시지의 재생, 지불요구서의 이중제출 등으로 기밀성에 대한 위협요소이다.
넷째, 조작(Manipulation)으로 정보의 일부 또는 전부를 교체, 삭제 및 데이터 순서의 재구성 또는 정보를 가로채어 변조하여 원래의 목적지로 전송하는 것으로 무결성에 대한 위협적 요소가 된다.
다섯째, 부인(Repudiation)으로 거래내용 또는 교환의 부인, 송수신자의 부인 등을 지칭한다. 이는 부인방지에 대한 위협요소라고 할 수 있다.

2. 전자상거래 보안의 위협요소

전자상거래 보안은 정상적 시스템을 유지하여 자신의 정보가 유출되지 않도록 시스템 안전성 확보가 되기를 원한다. 따라서 이와 관련하여 발생하는 여러 가지 문제점에 대해 살펴보면 다음과 같다.

최근 인터넷에 개인정보가 유출되어 기사화된 적이 있듯이 개인정보 보호문제의 중요성이 대두되고 있다. 전자상거래상의 주체라고 할 수 있는 소비자 개인정보의 중요성은 전자상거래 활성과 더불어 시급하게 개선되어야 할 문제라고 할 수 있다.

웹 보안에 대한 문제점은 해킹, 데이터 공격, 사용자 위장공격, 송수신 부인 등이 있다.
해킹은 시스템의 취약성을 통해 시스템에 대한 문제유발을 시키거나, 불법 침투하여 정보를 획득하거나, 전자상거래 결제 시 구매자의 결제정보를 외부에 유출시켜 제3자가 사용하게 하는 것을 말한다.
데이터 공격은 데이터를 위변조하거나 결제정보를 변조하여 소비자에게 피해를 유발시키는 행위를 말한다.
사용자 위장공격은 네트워크상에 접속하여 타인으로 위장해 정보를 획득하는 것을 의미하는 것으로 전자상거래시 소비자의 결제금액을 가로채는 경우가 발생할 수 있는 것이다.
송 ? 수신 부인은 구매자로부터 구매대금을 받은 후에 받지 않았다고 부인하여 소비자와 금융기관에 손해를 끼치게 하는 경우와 결제 시 소비자가 판매자로부터 상품을 배송 받은 후 받지 않았다고 부인하는 경우가 발생하게 된다.

웹상에서 구매한 상품을 어떤 방법으로 지불할 것인가는 전자상거래 활성화에 대한 걸림돌이라고 할 수 있다. 전자화폐 발행문제, 통화 문제, 익명성 문제, 이중사용의 가능성에 대한 문제들이 중요한 요인들이다. 아울러 전자 결제 시 금융기관과의 연계성에도 문제가 발생하게 된다.
금융결제 시스템에 대한 문제는 네트워크상에서의 금융결제 시스템을 이용하는 전자상거래의 확대가 필요하게 된다. 즉, 전자상거래에서 신원확인은 기존 방식으로 문제가 있으며, 신용카드의 사용도 안전성을 확보하기 힘든 상태이다. 특히 인터넷을 사용한 전자상거래의 경우 카드번호와 비밀번호에 의한 본인확인은 간단하게 이루어지고 있다.
그리고 전자상거래 보안사고의 유형은 중대형 서버 시스템과 PC에서 발생하는 개인적 보안사고로 구분 지을 수 있다. 중대형 서버 시스템의 경우 책임자가 사전에 숙지하여 대비책을 마련하고, 개인의 경우 재정과 컴퓨터 접속정보를 관리하여 보안 유지 할 필요가 있다. 일반적으로 인터넷에서 발생하는 보안사고 유형은 아래와 같다.

인터넷에서 발생하는 보안사고 유형

암호(Cryptography)는 평문을 해독 불가능한 상태로 바꾸거나, 암호화된 내용을 해독 가능상태로 변화시키는 기술을 의미한다. 아울러 암호화(Encryption)란 저장된 정보를 파악 못하게 하거나 접근을 통제하는 방법을 말한다. 한편 암호화된 정보를 접근권한이 있는 사용자가 파악할 수 있도록 암호화된 정보를 일반적인 형태로 변환시키는 것을 복호화(Description)라고 한다.

(1) 대칭키 암호화(Symmetric Cryptosystem)

대칭키 암호 알고리즘은 비밀키 알고리즘(Secret-key Algorithm.)이라고도 하며, 송신자와 수신자가 동일키로 암호화 및 복호화 과정을 수행한다. 대칭키 암호 알고리즘은 다음과 같은 특징이 있다.
첫째, 정보기술과 상호작용이 용이하고 데이터 처리량도 강력하다
둘째, 시스템의 암호화키의 크기가 공개키 암호 시스템보다 작아서 효과적인 암호시스템 구축이 가능하다.
넷째, 간단한 치환과 순열조합으로 구성되어 시스템 환경에 적합한 암호화 알고리즘 개발이 용이하다.
넷째, 교환 당사자 간에 동일키를 공유해야 하므로 다수인과 정보 교환 시 다량의 키를 유지관리 및 보관이 곤란하다.

그리고 이 방식의 대표적인 형태로는 DES(Data Encryption Standard)가 있다. 이는 가장 널리 이용되고 있는 비밀키 암호화 알고리즘으로 대칭형 암호화 기법에 기초하고 있다 DES는 NSA(National Security Agency)와 IBM에 의해 1970년대 초에 개발되었으며, 1976년 미연방 표준으로 채택되어 비밀 키 문서암호화에 사용되어 오다가 2002년 AES(Advanced Encryption Standard)에 의해 대체되었다. DES는 송신자와 수신자가 동일키를 공유하며 암호화 및 복호화 함은 물론 매번 거래를 수행할 때 마다 서로 상이한 키를 사용하도록 되어 있다.
비대칭키 암호화 방식

(2) 비대칭형 암호화(Asymmetric Cryptosystem)

이 방식은 공개키 암호화 방법이라 하기도 하는데, 비대칭형 암호방식은 두개의 키를 이용하는 것으로 아무나 암호키를 이용하여 특정한 내용을 암호화시킬 수 있지만 암호문을 복호화 시키는 것은 오직 복호화 키를 소유한 사람만이 가능하다. 이 방식에서 암호키를 공개키라 하고 복호키를 개인키라고 하여 구별하고 있다. 공개키 암호방식의 특징은 다음과 같다.
첫째, 사용자는 오직 자신이 소유하고 있는 비밀키만 보관하면 되기 때문에 대칭형 암호방식보다 소량의 키를 보유하면 된다.
둘째, 전자서명에 있어서도 효율적이며, 간단한 시스템을 구축가능 하게 한다.
셋째, 암호화를 위한 키 사이즈는 크기 때문에 데이터 처리량이 적고, 컴퓨팅의 효율성이 떨어진다.
그리고 이 방식의 대표적인 암호화 방식은 RSA(Rivest, Shamir, Adleman)방식이 있는데, 이는 1977년 MIT의 Rivest, Shamir, Adleman 세 사람에 의해 개발되었다. RSA 암호화 법은 암호화는 물론 디지털 서명에도 적절한 첫 알고리즘이어서 유용한 기법으로 알려져 있다. 충분히 긴키를 사용하며 최신 기술을 반영해 개선되었으며, 오늘날 전자상거래에 널리 이용되고 있다. 아울러 복잡한 수학산식에 의해 공개키와 비밀키가 산출되며, 이 중 공개키는 외부에 공개되고 비밀키만 사용자에 전달된다.
대칭키 암호 기술과 비대칭키 암호 기술의 장점과 단점을 비교해보면 아래의 표와 같다.
대칭키와 비대칭키 암호 기술 비교

(3) 해쉬함수(Hash Function) 알고리즘

해쉬 함수라는 것은 임의의 길이를 가지고 있는 스트링을 입력받아 일정길이의 비트(bit)로 표현해주는 함수이다. 해쉬 함수의 가장 큰 특징은 계산되어 나온 결과를 가지고 원래의 입력된 스트링을 예측할 수가 없다는 것이다. 즉 입력되는 값으로 동일한 내용의 스트링을 입력해 준다면야 결과는 항상 같게 나오지만 그 반대방향의 처리는 불가능한 것이다. 스트링상의 어느 한 글자라도 바뀌게 되면 결과로써 나오는 값 또한 온라인 거래 보안 바뀌게 되므로 이러한 해쉬 함수의 특징을 이용하면 전송도중에 데이터가 변조되었는지의 여부를 알 수 있게 된다.

암호 프로토콜은 기존의 통신 프로토콜에 정보보호 이론을 부가하여 고도의 정보처리 및 통신을 하는 프로토콜을 의미한다. 따라서 암호 프로토콜은 단순히 암호 알고리즘과는 달리 서로 모르는 송수신자라도 통신망을 이용하여 서로의 목적을 이를 수 있도록 상호 통신 알고리즘을 의미한다.

1> 방화벽의 개념
방화벽의 원래 의미는 건물에서 발생한 화재가 더 이상 번지는 것을 막는 것이다. 이 의미를 인터넷에 적용한다면, 이는 네트워크의 보안 사고나 위협이 더 이상 확대되지 않도록 막고 격리하는 것이라고 할 수 있다. 이는 특히 어떤 기관의 내부 네트워크를 보호하기 위해서는 외부에서의 불법적인 트래픽이 들어오는 것을 막고, 허가하거나 인증된 트래픽만 허용하는 적극적인 방어 대책이라고 할 수 있다.
방화벽 시스템의 기본 목표는 네트워크 사용자에게 가능한 한 투명성을 보장하면서 위험 지대를 줄이고자 하는 적극적인 보안 대책을 제공하는 것이다.
다음은 일반적인 인터넷에 접속되어 있는 네트워크를 나타내고 있는데, 외부와의 투명한 접근을 허용함으로서 내부 망 전체가 위험 지대임을 보여주고 있으며, 이의 경우는 외부와 내부 네트워크간의 유일한 경로에 방화벽 시스템을 둠으로써 방화벽 시스템이 보안 서비스를 제공하여 불법적인 트래픽을 거부하거나 막을 수 있는 것이다. 물론 투명성을 보장하지는 않지만 내부 네트워크를 안전지대로 만들 수 있는 것이다.

2> 방화벽의 특징
방화벽 시스템의 특징은 다음과 같다. 첫째, 프라이버시 보호로 특정 사이트에서는 일반적인 정보가 공격자에게 유용한 정보가 될 수 있기 때문에 프라이버시가 중요한 관심사라고 할 수 있다.
둘째, 서비스의 취약점 보호로 방화벽 시스템은 네트워크 보안을 혁신적으로 개선하여 안전하지 못한 서비스를 필터링함으로써 내부망의 호스트가 가지는 취약점을 줄여주게 된다.
셋째, 보안 기능의 집중화로 추가되거나 개조된 보안 소프트웨어가 많은 호스트에 분산되어 탑재되어 있는 것보다 방화벽 시스템에 집중적으로 탑재되어 있는 것이 조직적인 측면에서는 더 경제적이라고 할 수 있다.

3> 방화벽의 기능
첫째, 접근제어(Access Control) 기능으로 주로 IP주소를 인식하고서 특정 IP주소에서부터의 트랙픽은 허용하거나 거부하는 식으로 리스트를 관리한다.
둘째, 인증(Authentication)기능으로 사용자가 정당한 사용자인지를 확인해주는 기능이다. 인증은 패스워드를 확인법으로 온라인 거래 보안 많이 사용되지만 해커들에게 패스워드 유출을 방지하기 위해 일회용 패스워드(One-time Password) 등의 사용을 권장하고 있다.
셋째 VPN(Virtual Private Network)기능이 있다. 이 기능은 인터넷이라는 공개네트워크에서 여러 장소에 떨어져 있는 자사 지점들 간의 정보통신을 인터넷을 통해서 마치 사설망을 쓰고 있는 것과 같은 기능을 말한다.
넷째, 내부방과 외부망의 모든 접속이 방화벽 시스템을 통하여 이루어진다면 방화벽 시스템은 접속정보와 네트워크 사용에 따른 유용한 통제정보들을 제공할 수 있는 로깅기능이 중요하다. 방화벽 시스템 로깅기능은 방화벽 시스템에 대한 허가된 접근뿐만 아니라 허가되지 않은 접근이나 공격에 대한 정보도 로그 파일에 기록해 두어야 한다.
다섯째, 방화벽 시스템은 중요한 트래픽에 대한 암호화 기능을 제공할 수 있다. 일반적으로 트래픽의 암호화는 네트워크 프로토콜의 각 계층에서 가능하다. 암호화 기능의 장점은 트래픽을 보호하기 위한 다른 보안 기능과는 달리 데이터가 비록 외부 침입자에게 노출되어도 의미를 알 수 없으므로 비밀성이 보장된다는 것이다.

4> 방화벽의 장 ? 단점
방화벽의 위협에 취약한 부분을 보호하는 장점과 내부사용자로부터 보호할 수 없는 단점이 있는데 장점과 단점을 정리하면 아래와 같다.

5> 방화벽 구축 시 고려사항
첫째, 가장 중요한 관심사로서 해당 조직이 어떻게 시스템을 운영할 것인지에 대한 정책을 반영하는 것으로서, 매우 중요한 네트워크에서의 작업을 제외하고는 모든 접속을 거부하는 식의 시스템을 운영할 것인가 아니면 덜 위협적인 방법으로 접속해 오는 트래픽에 대해 조사하고 점검하는 방식으로 시스템을 운영할 것인가라는 선택을 할 수 있다. 이러한 선택은 보안 결정권자에 달려있다.
둘째, 어느 정도 수준의 감시, 백업 및 제어를 원하는가? 라는 문제이다.
첫 번째 문제로서 기관이 받아들일 수 있는 위험 수준이 세워졌다면, 이제 어떤 것을 감시하고, 허용하고, 거부할 것인가라는 체크리스트를 작성해야 한다. 즉, 기관의 전체적인 목적을 결정하고 위험 평가에 근거한 필요성 분석을하며, 구현하고자 계획하여 사양을 마련했던 목록과 구별될 수 있는 문제점을 가려낸다.
셋째, 경제적인 문제이다. 우리가 여기에서 정확하게 지적할 수 있지는 못하지만 이것을 구매하는데 드는 비용과 구현에 드는 비용을 정확하게 정량적으로 산출하는 것이 중요하다.
넷째, 기술적인 측면에서 몇 가지 결정해야 할 것이 있는데, 기관 내부의 네트워크와 네트워크 서비스 제공자 사이에서의 고정적 트래픽 라우팅 서비스 등에 대해서도 결정하야 한다.

(2) SSL(Secure Socket Layer)

SSL은 1994년 미국의 넷스케이프사에 의해 개발된 프로토콜로서 서버 인증, 클라이언트 인증, 기밀성 보장의 세 가지 서비스를 제공한다.
즉, 네트워크 보안표준으로서 인터넷의 프로토콜인 TCP/IP를 이용한 정보교환에 있어서 보안과 관련된 안전성을 보장할 수 있는 표준이다.
이러한 SSL의 개념은 웹 클라이언트와 서버에서는 정규의 HTTP 표준에 의한 접속이 이루어지며 이 班TTP 정보는 통신망을 경유하여 전달될 때 하위 SSL 계층의 암호화 통신에 의해 보호받게 되는 것이다. 한편으로 SSL은 정보의 교환 간에는 인증수단으로 RSA방식 등을 사용하고 지급수단으로써 신용카드가 이용될 경우에는 정보의 전송방식에 DES표준을 이용하고 있다. 즉, 인터넷 보안 표준으로 초기에는 미국 내에서는 128Bit로 사용되지만 역외로 반출은 40Bit로 보안이 완벽하지 않다는 점과 해독가능성과 단점을 내포하고 있다.

(3) SET(Secure Electronic Transaction)

SET는 신용카드 회사인 비자(VISA)와 마스터카드(Master Card) 등이 중심이 되어 신용카드를 기반으로 한 인터넷상의 전자결제가 안전하게 이루어질 수 있도록 1996년 2월 마련한 전자결제 과정 표준안이다. SET는 신용카드사에서 제안한 안이며, 표준으로 자리 잡기 위해서는 얼마나 사용을 많이 하느냐에 달려있다.
SET는 신용카드 기반의 전자결제를 위한 표준이지만 계좌이체나 직불카드 등의 결제수단에도 확대 가능한 구조이다.
SET의 특징은 첫째, 신원의 상호인증, 지급결제 중계기관 및 인증기관, 전자서명과 같은 안전장치를 가지고 있어 소프트웨어와 하드웨어 구현에 대한 표준을 가지고 있으며, 둘째, SET의 암호화 방식은 복합 암호화 방식을 채택하고 있다. 넷째, 전자상거래 결제시스템 중 신용카드 기반의 지불에 관한 사항만을 정의하고 있다.

1> SET의 목표
SET의 목적은 정보의 기밀성 제공, 지불정보의 무결성 확보, 상인과 고객 쌍방의 확인 등 세 가지를 제공하고 있다 SET에서는 이 목적을 달성하기 위해서 암호화 알고리즘, 전자서명, 전자인증서 등의 암호화 방법 등을 사용하게 된다.

2> SET의 동작원리
– 고객은 마스터카드나 비자카드를 위한 은행 계좌를 개설한다. 신용카드 발행인은 누구라도 은행의 일종이다.
– 고객은 디지털 인증서를 받는다. 이 전자 파일은 온라인 구매나 기타의 거래에서 신용카드

클라우드브릭, 전자상거래 보안 서비스로 일본시장 확대

Cloudbric and blue style logo

클라우드보안 스타트업 ‘클라우드브릭’은 일본 전자상거래 웹사이트 구축·운영 기업 ‘블루스타일(BLUE STYLE)’과 안전한 웹사이트 운영을 위한 보안 서비스 파트너십을 체결했다고 밝혔다.

클라우드브릭과 블루스타일 로고

상대적으로 열세였던 일본 전자상거래 시장이 장기화되고 있는 코로나 언택트 상황을 맞아 급속히 성장하고 있다. 하지만 미처 충분한 대비를 갖추지 온라인 거래 보안 못한 상태로 맞이한 갑작스러운 호황에 보안 사고가 빈번히 발생하고 있다. 이에 클라우드브릭은 일본 웹사이트 기업 ‘블루스타일’과 파트너십을 체결하고 클라우드 보안 서비스(SECaaS, Security as a Service)를 제공한다.

‘클라우드브릭’의 웹 보안 서비스는 각 고객사마다의 상황과 사업적 필요에 따른 환경 커스터마이징이 가능하다. 지능형 논리 분석 엔진(COCEP)을 탑재해 오탐과 미탐이 거의 발생하지 않는 고도의 보안성과 빠른 속도를 자랑한다. 이번 파트너십을 통해 ‘블루스타일’은 자사가 구축·운영하는 웹사이트에 클라우드브릭 서비스를 적용함으로써 고객에게 안전한 전자상거래 환경을 제공할 계획이다. ‘클라우드브릭’은 일본 전자상거래 웹사이트를 타겟으로 하는 해커들의 정보 및 취약점을 ‘클라우드브릭 랩스’를 통해 블록체인으로 공유한다. ‘클라우드브릭 랩스’는 전세계로부터 수집된 위협 데이터를 블록체인을 통해 공유하는 서비스로, 위협 데이터 제보 시 클라우드브릭 CLBK 토큰을 보상으로 제공한다.

클라우드브릭 정태준 대표는 “본사 해외사업 성과에 있어 일본 시장은 올해 누적 기업고객 100곳이 넘어가는 등 이미 큰 시장이지만 이번 파트너십 체결을 통해 일본 내 입지를 더욱 강화하게 되었다”며, “한국과 마찬가지로 일본도 온라인 비즈니스가 활성화됨에 따라 보안이 웹 기반 사업 성공의 결정적 요소라는 인식이 일반화되고 있다. 향후 시장의 폭발적 확장에도 충분히 대응하는 사업적 역량 확보에 만전을 기하겠다”고 말했다.

이에 인텔 시큐리티 부문의 맥아피(McAfee)는 온라인 쇼핑을 즐기는 소비자들이 주의해야 할 12가지 위험요소를 공개했다.

맥아피는 올해 연말연시 쇼핑이 지난해보다 급증한 추세인 6,169억 달러 규모로 예상되며, 전자상거래 역시 8~11% 상승한 1,050억 달러 규모가 될 것으로 예측했다.

특히, 스마트폰 사용자들의 56%가 스마트폰을 활용해 쇼핑을 할 것으로 예상되는 가운데 소비자들의 개인정보 노출 위험도 역시 커질 것으로 전망했다. 쇼핑에 더 많은 비용을 쓸수록, 쇼핑객들을 노리는 사이버 범죄의 가능성도 점점 커지게 된다는 것이다.

맥아피는 미국의 5개 가정 중 4개 가정이 온라인 뱅킹을 이용하는 상황에서, 온라인상 보안에 대해 주의하는 것이 그 어느 때보다 더욱 중요하다고 강조했다.

맥아피는 ‘크리스마스 쇼핑 시 주의해야 할 12가지 위험’ 리스트를 통해 온라인 쇼핑객들이 사이버 범죄자들로부터 디지털 라이프를 보호하는 방법을 소개했다.

1. 메일 왔어요!
온라인 쇼핑몰에서 크리스마스 세일이 대거 진행되면서, 이에 따른 가짜 발송 알림과 피싱 사기가 급증하고 있다. 온라인 쇼핑이 생활화 되면서 멀웨어의 위험성이 점점 커지고 있지만, 소비자들은 좀 더 빨리 제품을 받고 싶은 마음에 가짜 발송 알림과 피싱 멀웨어 이메일을 클릭하는 경향이 있다.

가짜 발송 알림 등과 같은 피싱 사기를 만들어내는 범죄자들은 몇 년 전과 비교해 더욱 더 스마트해졌다. 메일로 도착한 발송 알림 링크를 클릭하지 말고, 물건을 구매한 사이트를 직접 방문해 배송 상황을 확인하는 것이 좋다.

2. 속임수 광고
소비자들은 온라인 쇼핑 시 저렴한 가격의 제품을 찾곤 한다. 이번 크리스마스 시즌, 저렴한 제품을 찾을 때 주의를 기울여야 한다. 위험한 링크, 소셜 미디어에서의 가짜 콘테스트, 위조 기프트 카드는 사기꾼들이 개인 정보를 빼내고 연말연시의 즐거운 기분을 망치는 가장 쉬운 방법이다. 특히 올해는 아이폰 6와 아이패드 같은 최신 가전제품을 포함할 것으로 예상된다.

너무 저렴한 제품이나 화려한 광고는 사실이 아닐 확률이 높다. 소셜 미디어 포스트나 광고의 링크를 클릭하기 전에, 쇼핑몰 홈페이지를 방문해 판매 품목이 사실인지를 확인해보자. 사기 당하지 않기 위해서는 여러 번 확인하는 것이 좋다.

3. 자선 단체
연말연시에는 많은 사람들이 자선 단체에 기부하게 된다. 하지만 부주의한 기부는 나쁜 결과를 가져올 수 있다. 이메일이나 소셜 미디어로 접근해오는 가짜 자선단체를 조심하자. 올해는 미국의 에볼라 퇴치 관련 가짜 자선단체들이 더 늘어날 것으로 보인다. 2014년 가장 큰 자선단체 사기 중 하나는 UN 난민기구를 사칭해 돈을 모금한 것이다.

기부하기 전 자선단체의 홈페이지를 방문해 정상적인 자선단체임을 확인하자. 홈페이지의 주소가 ‘.org’로 끝난다고 해서 모두 정상적인 자선단체라고 할 수는 없다. 인터넷에서 기부된 금액이 어떻게 사용되었는지 잘 확인하도록 하자.

4. 구매자들은 주의하세요.
안타깝게도 피할 수 없는 몇 가지 위험이 있다. 매장 내 정보 유출이 이 경우다. 타깃(Target), 홈디포(Home Depot) 등 미국 내 거대 매장에서의 카드 정보와 개인 정보 유출 등 보안 상 결함은 다시 발생할 수 있는 치명적인 사건이다.

신용카드 사용내역을 항상 예의주시하고, 뉴스 속보에 항상 귀를 기울이자.

5. 사기 애플리케이션
매일 새로운 모바일 애플리케이션이 안드로이드와 iOS 디바이스에 추가된다. 기술의 발전으로 인해, 모바일 디바이스로 집의 온도를 조절하고, 소셜 미디어에 접속하고, 크리스마스 사진을 아름답게 꾸밀 수도 있게 됐다. 하지만, 무심코 다운 받은 축제 관련 앱이 당신의 개인 정보를 빼낼 수도 있다. 맥아피 연구소는 최근 구글 플레이에서 디바이스 사용자의 구글, 페이스북, 트위터 계정을 비밀리에 수집하는 의심스러운 안드로이드 앱을 발견한 바 있다.

앱을 다운 받을 때는 반드시 공식 앱스토어에서 다운받도록 한다. 만약 앱을 다운로드할 때 너무 많은 승인을 요청할 경우, 다운로드하지 않는 것이 좋다. 이러한 온라인 거래 보안 앱들은 스마트폰 내 개인 정보에 접속하거나 더 많은 정보를 요청할 수도 있다. 또한 모바일 디바이스에 안티 바이러스 소프트웨어를 설치하는 것이 좋다.

6. 크리스마스 카드 보내기
디지털 카드를 주고 받는 것은 크리스마스를 더욱 즐겁고 재미있게 만들어준다. 하지만 디지털 카드를 보낼 때는 신중해야 한다. 사람들이 지인에게 ‘크리스마스 인사’를 보낼 때, 해커들은 ‘멀웨어’를 보내는 방법을 찾고 있다. 잘 알려진 e-카드 사이트는 안전하지만, 디바이스에 바이러스를 다운로드 하지 않도록 주의해야 한다.

모르는 사람에게서 도착한 기프트 카드를 주의하자. 최근 미국에서 스타벅스 기프트 카드 당첨자라고 적힌 이메일을 무심코 열었다가 AT&T 사용자들의 개인 정보가 유출된 사건이 있었다.

7. 연휴 여행 준비
온라인 범죄자들은 소비자들이 크리스마스 여행 동안 보안에 대해 경계를 풀고 있다는 점을 악용하게 된다. 가짜 온라인 여행 상품 판매 링크는 아무런 문제가 없어 보이지만, 링크에 접속하면 스파이웨어에 감염된 PC로 개인 정보를 유출할 위험이 있다.

이번 크리스마스 연휴에 여행을 계획하고 있다면, 현금이나 신용카드 정보를 미리 요구하는 곳에 주의하자. 여행 기간 동안 머물 장소의 주소도 합법적인지 확인하도록 하자. 많은 소비자들이 선 결제 후 목적지에 도착해 그 곳에 아무 것도 없는 것을 발견하는 황당한 일을 겪고는 한다.

8. 은행 자동녹음전화 사기
연말연시를 맞아 쇼핑을 하는 소비자들은 은행 계좌와 신용카드 사용에 유의해야 한다. 해커들은 이 기회를 노리고 있기 때문이다. 가짜 ‘보안 담당자’들이 소비자들에게 전화해, 계좌가 위험하니 변경을 위한 통장 비밀 번호 등의 개인정보를 알려달라 요구하는 수법을 사용하기도 한다.

은행으로부터 이런 전화를 받았다면, 잠시 후 다시 전화해달라고 요청하라. 끊고 나서 은행의 공식 전화번호로 전화해 당신이 통화한 상대가 은행의 직원인지 확인하도록 하자.

9. ATM 사기
연휴 기간 동안 당신은 현금이 필요할 수도 있다. 범죄자들은 ATM에 카드 마그네틱을 읽는 장치를 설치하거나, 비디오 카메라나 키패드를 이용해서 당신의 PIN 정보를 빼낼 수도 있다.

돈을 인출할 때 주위를 둘러보자. 당신의 정보를 입력하기에 안전한 장소임을 다시 한 번 확인하자. 무언가 이상하면 바로 자리를 떠나도록 하자. ATM 연결선이 늘어져 있거나 부품이 손상되어 있으면, 해커들이 ATM에 손을 댔다는 것을 의미한다.

10. 올해의 리뷰
많은 매체들이 ‘올해의 리뷰’ 기사를 크리스마스 시즌에 선보인다. 회사는 직원들에게 이메일 내 링크를 클릭하는 것에 대한 위험성을 경고해야 한다. 잘못된 링크를 클릭할 경우, 회사의 디바이스에 손상을 입히고 위험을 가져올 수도 있다.

직원들에게 회사의 디바이스로 업무와 무관한 이메일을 클릭하지 않도록 조언해야 한다. 알 수 없는 URL에 클릭하는 것은 멀웨어를 퍼뜨리고, 개인 데이터 유출의 결과를 낳을 수 있다.

11. 분실한 스마트폰
연말연시 여행을 떠나거나 즐거운 모임에서 사람들은 종종 스마트폰을 잃어버리곤 한다. 이는 잃어버린 사람들에게 불편함을 주고, 해커들에게는 민감한 비즈니스 데이터에 접속하는 좋은 방법이 된다.

항상 스마트폰을 잠금하고, PIN을 보호하자.

12. 선물 받은 USB
연말연시 사업체들은 선물을 주고받는다. 이러한 선물 중 가장 인기 있는 아이템은 유명 상표의 USB다. 직원들에게 이 USB를 사용할 때 주의하도록 하자. 탐지할 수 없는 멀웨어가 내부에 설치되어 있을 수도 있다.


0 개 댓글

답장을 남겨주세요