570 likes | 897 Views
전자상거래 원론: 제14장. 전자 지급결제. 학습 목표. 전자지급결제 체계의 종류 및 원리를 이해한다. 인터넷 지급결제 시스템의 발전 과정 및 전망을 이해한다. 모바일 환경에서의 지급결제 체계의 분류 및 이슈를 이해한다. 본문내용. 인터넷 신용카드 지급결제 시스템 전자자금이체 지급결제 시스템 전자수표 시스템 전자화폐 시스템 가상계좌 지급결제 시스템 모바일 지급결제 시스템. 인터넷 지급결제 시스템 개요. 인터넷 지급결제 시스템의 목적 전자상거래로 구매한 상품의 대금 지급 개인간 송금, 청구, 모금
E N D
전자상거래 원론: 제14장 전자 지급결제
학습 목표 • 전자지급결제 체계의 종류 및 원리를 이해한다. • 인터넷 지급결제 시스템의 발전 과정 및 전망을 이해한다. • 모바일 환경에서의 지급결제 체계의 분류 및 이슈를 이해한다.
본문내용 • 인터넷 신용카드 지급결제 시스템 • 전자자금이체 지급결제 시스템 • 전자수표 시스템 • 전자화폐 시스템 • 가상계좌 지급결제 시스템 • 모바일 지급결제 시스템
인터넷 지급결제 시스템 개요 • 인터넷 지급결제 시스템의 목적 • 전자상거래로 구매한 상품의 대금 지급 • 개인간 송금, 청구, 모금 • 전자지급 결제 시스템 분류
인터넷 신용카드 지급결제 시스템 • 시스템 현황 • SET: Mastercard, VISA 표준 (1996년) • SSL 기반 모델: Form-CGI 방식(일반 PG 등), SCT(ICEC, 1999), 3-D Secure(VISA, 2001), SPA(Mastercard, 2001) • GCM: First Virtual, 1995, 현재 사라짐 • 보안상의 문제점 • 신용카드 소유주 본인 인증 • 상인 또는 PG가 고객의 신용카드 정보를 모르도록 • 거래 부인 방지
SET (Secure Electronic Transaction) • 전자상거래에서 지불정보를 안전하고 비용효과적으로 처리할 수 있도록 규정한 프로토콜 • 신용카드 기준 • VISA, Master • Version 1.0 - 1997년 5월 31일 발표
Payment Security confidentiality authentication integrity linkage Interoperability between various vendors existing standards exportable technology any combination of H/W and S/W Market Acceptance ease of implementation minimal impact on merchant, acquirer, and payment system applications and infrastructure minimize change to the relationship between acquirers and merchants, and cardholders and issuers SET의 목적
SET의 지불정보 보안 Out-of-scope 인증기관 인증서 인증서 인증서 1. 상품정보 고객 Browser Wallet 상인 P G 카드사 Host 3. 지불정보 2. 주문/지불정보 4. 지불승인 상품 대금 대금 on-line SET 정의 암호화 off-line X.25 / 자체암호화
SET 방식의 장단점 • 장점 • 지불정보가 상인에게 노출되지 않도록 이중(dual)으로 암호와 • 보안성 높음 (Key size 큼, 인증, 무결성, …) • 단점 • 시스템이 복잡해지고 시스템 부하가 큼 • 별도의 고객 S/W(Digital Wallet) 필요 • 사용 불편 (별도의 사용법, Setup) • 유지보수 어려움
SCT(Secure Credit Card Transaction) • ICEC(국제전자상거래연구센터, 한국)가 1999년 10월 발표 • 특징 • 고객의 신용카드 정보는 신용카드사에서 직접 인증 • 웹 만을 사용하는 단순한 고객 인터페이스 상인 1. 상품정보 2. 주문정보 고객 4. 승인내역 5. 주문확인 3. 지급정보 6. 처리결과 신용카드사 SCT의 구조
SCT의 지불정보 보안 1. 상품정보 인증서 고객 Web Browser 상인 인증기관 2. 주문정보 상품 SSL 인증서 인증서 4. 승인통보 5. Capture 대금 3. 지불정보 고객카드사 상인은행 대금 대금 on-line SSL (128 bits) 기존 은행망 off-line SCT 정의 암호화
SCT의 보안 목표 • 기밀성 • 지불정보 • 인증 • 고객 인증 • 고객은행 인증 • 상인 인증 • 무결성 • 지불정보 • 이체통보
SCT의 특징 • 단순, 명료 • 개발 및 유지보수 용이 • 고객 사용 편리 (웹 브라우저만 사용) • 보안성 높음 (key size = 128 bits) • 신용카드 정보가 상인에게 노출되지 않음 • 신용카드 외에 계좌이체 지불 등에도 수정 없이 사용가능 (SDT)
SDT 사용상의 이점 • 사용자 입장 • 자신의 지불 정보가 상인에게 전달되지 않으므로 지불 정보 보안에 좀 더 확신을 가질 수 있음 • 상인 입장 • 고객의 지불 정보를 자신이 직접 다루지 않으므로 지불 정보 관련 사고 발생시 책임회피 가능 • 금융기관 입장 • 개별 금융기관별로 고객 인증을 위한 나름대로의 방법 적용 가능. 따라서, 사고 발생의 소지를 줄일 수 있음 • SI 업체 • 표준 Solution 개발 및 판매 가능
First Virtual (FV) • 신용카드 기반 시스템 • MIME을 고안해 낸 Nathaniel Borenstein등의 기술자들이 모여 설립 (1994년) • Information Commerce: 온라인으로 전송 가능한 디지털 상품 거래 권장 • 거래 유형 • 여행 관련 예약, 온라인 구매, 통신 판매 • 사용의 편의성 강조 • 기존의 네트워크 사용자에게 익숙한 WWW와 E-mail만을 사용 • 특별한 클라이언트 소프트웨어 불필요 • 암호화 보안 적용 않음
Credit Card Company Real Bank Green Commerce Server messages messages Buyer goods Merchant Green Commerce Model
FV Transaction • 고객은 상인에게 VirtualPIN 전달 • 상인은 FV에 "transfer-request" 메시지를 전달 • FV는 고객에게 e-mail로 "transfer-query" 메시지를 전달 • 구매자는 "yes", "no" 또는 "fraud"로 응답 • "yes":거래가 성립 • "no":상품이 마음에 안 들 때 • "fraud":자신이 참여한 거래가 아닐 때, 즉 계정이 도용 당하고 있다고 생각될 때 → VirtualPIN 취소 • FV는 오프라인으로 신용카드 거래 처리 • 상인은 거래 처리 확인 e-mail을 전송
전자자금이체 시스템 • 우리나라의 전자자금이체 수단 • 은행 지로 • CD/ATM • 홈뱅킹 (PC 뱅킹) • 인터넷 뱅킹 • 펌 뱅킹 • 직불카드 (상품 구매에만 사용) • 전자자금이체를 이용한 인터넷 지급결제 • 지급결제 브로커(PG) 이용 방식 • 인터넷 뱅킹 이용 방식
PG를 이용한 전자자금이체 결제 • 인터넷 상에 존재하는 쇼핑몰과 금융망에 존재하는 은행간의 거래를 지급결제브로커 (PG) 시스템이 중개 • 은행 간 표준 필요 없이 개별 상인들은 서비스 제공 PG에만 의존적 • SSL 기반 방식 • 이니시스 Paygate, 데이콤 eCredit • SET 기반 방식 • 장점: 보안성 우수 • 단점: 개발 부담, 고객 인터페이스 불편 • 한국통신 커머스솔루션스
SSL 기반 시스템의 장단점 • 장점 • 단순, 명료 • 개발 및 유지보수 용이 • 고객 사용 편리 • 웹 브라우저만 사용 • 인증서 자동 관리 • 단점 • 지불정보(카드번호, 계좌번호, 비밀번호, …)가 상인에게 노출 • 보안성 낮음 • DES key size = 40bits < 128bits • RSA key size = 512bits < 1024bits • 카드 소지자 인증의 문제
인터넷 뱅킹 이용 방식 • 은행이 직접 고객의 계좌정보를 인증 • 장점 • PG 수수료 절감 • 고객 계좌정보 보안 우수 • 쇼핑몰 시스템 단순 • 단점 • 개별 쇼핑몰과 은행의 연결 업무 부담 • 은행 간 표준 공유 필요 • SDT(ICEC, 한국, 1999): 대표적 표준, 현재 국내 대형 은행 들 서비스 중
전자 수표 시스템 • 재래식 수표의 거래 절차를 그대로 인터넷상에 구현 • 효과적인 거래유형 • 주로 Business-to-business 거래에 유용 • 은행에 check account를 갖고 있는 경우 • 전자 화폐, 신용카드에 비해 큰 액수의 거래 • 단점 • 지불자 신원 인증과정이 필요 • Echeck (FSTC), NetCheque (USC), NetBill (CMU) etc…
Electronic Check • Financial Services Technology Consortium (FSTC)에서 수행하는 프로젝트 • 현재의 종이로 된 수표의 모델에 최대한 가깝게 구현 • 주로 Business-to-business간의 거래에 유용 • 현재의 은행간 결제 통로를 이용 • Electronic Check Presentment (ECP) • Auto Clearing House (ACH) Network
Electronic Check • 높은 유연성 • 여러 종류의 수표가 가능 Certified check, Cashiers check, Credit card charge slip, Traveler's check, etc. • 다양한 기능 Future dating, Limit checks, Multi-currency payment • 보안과 신용 • 전자서명(Digital Signature)을 이용 • 새로운 암호화 기법 사용 • 서명 카드(Signature card)를 이용한 하드웨어 기반 서명 • 은행을 신용 인증 기관으로 활용
전자 화폐의 특징 및 문제점 • 특징 • 화폐 가치를 저장, 전송 가능한 디지털 형태로 표현 • 실제 화폐 사용 방법을 전자적으로 구현 • 실제 화폐 사용에 비해 적은 처리 비용 • 소액 거래에 효과적 • 네트워크형 • DigiCash, NetCash etc… • IC카드형 • Mondex, Multos, VISA Cash, PROTON, Denmont etc… • 문제점 • 개인 정보 보호 문제 (Privacy) • 화폐의 중복 사용 문제 (불법적 복사)
전자화폐 시스템 요구 조건 • B. Neuman, G. Medvinsky, March 1995 • 보안성(Security) • 신뢰성(Reliability) • 규모성(Scalability) • 익명성(Anonymity) • 용인성(Acceptability) • 고객 기반(Customer base) • 유연성(Flexibility) • 태환성(Convertibility) • 효율성(Efficiency) • 통합 용이성(Ease of integration) • 사용 용이성(Ease of use) • J.W.Matonis, April 1995 • 보안성(Security) • 익명성(Anonymity) • 휴대가능(Portability) • 양방향(Two-way) • Off-line에서도 수행가능(Off-line capability) • 가분성(Divisibility) • 영구성(Infinite duration) • 상용화 정도(Wide acceptability) • 사용자 친숙성(User-friendly) • 자유 화폐단위(Unit-of-value freedom)
전자화폐 비용 비교 Processing cost per transaction $1.00 Paper 0.80 Electronic 0.60 0.40 0.20 0.00 Cash Check Credit Electronic Debit E-cash card bill card payment Source : The Boston Consulting Group
DigiCash • 1994년 David Chaum이 설립 (네덜란드) • “Ecash”라고 하는 전자 화폐 발행 • 전자화폐의 문제점 해결 • Privacy 보호에 역점 : Blind Signature • 화폐 불법 복사, 중복 사용 문제 : 화폐 일련번호 DB로 해결 • 거래 유형 • 인터넷 상점으로부터 상품 구매 • 소프트웨어 업체에서 소프트웨어 구입 또는 업그레이드 • 그래픽 파일 등의 디지털 상품 구입 • 다른 ecash 사용자에게 email을 이용하여 지불 • 다른 ecash 사용자로부터 ecash 지불 받음
DigiCash Ecash User • Ecash Purse Software • Issuer bank account 개설 • Ecash mint account 신청 • 은행으로부터 Purse software download • Account ID와 Set-up Password를 사용하여 설치하고 사용
DigiCash Merchant & Issuer • 판매자 • Ecash issuer bank account 개설 • Merchant ecash Account 신청 • Issuer에 따라 추가적 상인 계좌 개설 조건 요구 가능 • Merchant Purse software 제공 • Ecash Merchant Purse Software: 구매자들이 지불한 Ecash를 자동적으로 수집 • Remote shop server: 자신의 서버가 없는 판매자들에게 인터넷 상점 개설 서비스 • 발행자 • Ecash system과 기존 은행 정보 시스템 통합 • 사용자 인터페이스
Ecash Issuer • DigiCash의 Ecash를 발행하는 Issuer 은행들
DigiCash Purchase Process Ecash Issuer Bank Customer Ecash Mint Account Ecash Purse Software 4.withdraw 2.instruct a transfer to Ecash Mint 5.payment 1.deposit Merchant 3.transfer Ecash Merchant Software Conventional Bank Account
Blind Signature • 개인정보 보호를 위한 서명 기법 • DigiCash의 설립자 David Chaum이 고안 • 서명자에게 서명할 내용을 모두 밝히지 않고 서명하게 하는 방법 • Ecash의 발행자는 자신이 서명한 동전이라는 것만 확인 가능하며 발행한 동전이 누구를 통해 어디로 갔는지 확인 불가능
DigiCash의 화폐 중복 사용 문제 • 구매 절차 • 고객이 상점에서 물건을 구입 • 고객의 Purse software에서 상당하는 ecash를 지우고 상인에게 전송 • 상인의 software는 자동적으로 ecash를 은행으로 보내어 중복 사용 여부 확인 • 물건을 고객에게 전송/배달 • Ecash Coin Database • 발행 은행은 동전 Database에 사용된 동전의 일련 번호를 기록 • 한 번 발행된 동전의 유효기간 존재 (6개월) • 모든 사용된 동전의 일련번호를 모두 기록해 놓는다는 면에서 규모성(scalability)가 부족하다고 볼 수 있다.
NetCash • Southern California 대학의 Medvinsky, Nueman에 의해 제안 (1995) • 분산된 서버 구조로 되어 있는 전자화폐 시스템 : 규모성(Scalability) 확보 • NetCheque와 연동 • 고객이 원하는 수준의 등급별로 차등화 된 익명성 지원 • 익명성 보다는 규모성의 확보에 주력한 설계
소액 지불 프로토콜 • Milicent • 1995년 Steve Glassman에 의해 제안 • scrip이라는 전자 현금 사용 • scrip을 깨는 비용이 scrip의 가치보다 크도록 보안 수준 조절 • PayWord • Rivest, Shamir에 의해 제안 • 은행 계좌나 신용카드 기반 프로토콜 • 계산량을 줄이기 위해 payword(=해쉬값)를 지불로써 이용 • 통신 부하를 줄이기 위해 오프라인 결제 • 주기적인 지불에 효율적으로 동작 • 양도성, 익명성 지원하지 않음 • 사용자 Certificate 관리 필요
IC 카드형 전자 화폐 • IC 카드에 화폐가치를 저장하여 지급 수단으로 사용 • 실세계의 거래에서 활용 • 인터넷 상에서의 이용은 연구 중 • 네트워크 형 전자화폐와 호환 • 소액 결제를 위해 실질적으로 사용 가능한 화폐 미비 • 신용카드를 이용한 전자 지불 방법의 문제점 노출 • 인증서 소지 문제, 안전한 개인키 저장 방법
연구 개발 동향 • 전자지급결제 • 전자 화폐형 • 신용 카드형: SET(de facto standard) • 전자 수표형 • 스마트카드 분야 연구 • 비자카드사 중심: 자바 Card, VISA Cash • 마스터카드사 중심: Multos Card, MONDEX • H/W : RSA 카드 개발, 접촉식/비접촉식 카드 개발 등 • 표준화 동향 • 스마트카드: EMV, CEN, ISO PC/SC 그룹 표준안, 금융전자지갑 표준안 • 전자지불: SET, OTP • 결합형: C-SET
연구 개발 사례 • 동남은행 하나로 카드 (‘98. 3월 현황) • 지하철 31만명(55%) • 시내버스 82만명(36%) • 가치충전: 5만건(6억원) • 스마트카드를 이용한 전자상거래 시스템 시범사업에 적임 • ECOM: SCJ 프로젝트 • VISA Cash + EMV • 유럽을 중심으로 한 다양한 프로젝트 진행중 • PROTON(벨기에), Denmont(덴마크)
스마트 카드의 구조 • CPU - runs operating system and controls the communication lines • RAM - is used internally (working resister, temporary storage) • ROM - contains the operating system • EEPROM - user memory • 5 connecting points - VCC, Ground, Clock, Reset, I/O VCC GROUND RAM EEPROM CLOCK I/O CPU RESET ROM
스마트카드의 유형 • 비접촉식 카드 • 비접촉식: ISO 10536, 두개의 안테나 코일 사용 • 유도원리: 10Cm 이내에서 유도기전력 발생 • 접촉/비접촉 하이브리드 카드 • ISO 10536/7816 hybrid card • 개별 메모리 사용 • 비접촉식: Fast Transaction(교통카드) • 접촉식: High Security(전자지갑 기능) • 접촉/비접촉식 콤비 카드(Combination Card) • ISO 10536/7816 combination Card • 메모리 공유 • 접촉/비접촉식 통합카드(Integrated Card)
IC 카드 관련 표준안 • Open Platform • Multos 표준 체계
개방형 플랫폼(Open Platform) 표준체계 Credit/Debit VisaCash CardholderID Loyalty Visa Open Platform Java Card Smartcard for Windows Multos IBM Motorola Gemplus DeLaRue Schlumberger Toshiba... Schlumberger Gemplus Microsoft, ... KeyCorp Hitachi DNP G&D... or or Customizable NOT Customizable
Application ‘A’ Application ‘B’ Application ‘C’ MULTOS MULTOS • 다기능 스마트 카드 구조 • 높은 보안성 (ITSEC E6) • Virtual machine architecture • 플래폼과 어플리케이션 분리 • 어플리케이션 상호 작용 허용
IC 카드형 전자화폐 • 국내 금융결제원 표준 전자화폐 (K-Cash) • 비자캐시 • 몬덱스
Visa Cash • 1996. 8. Visa Cash Spec. V 1.0 발표 • 현금과 같은 플라스틱 카드 : 실세계에서만 사용 (양도불가) • Visa Cash의 형태 : Disposable cards, Reloadable cards
Mondex • 95년 영국 National Westminster 은행과 Mondex사에서 개발 • 96년 11월 Master Card에서 인수 • Modex 의 주요 특징 • 다양한 화폐 지원 • 전화를 이용한 화폐 전송 • 소액 및 거액의 지불 가능 • 화폐를 즉시 전송 • 개인간에 화폐 전송 • 인터넷을 이용한 지불 가능 Balance reader Mondex POS Telephone Wallet
국가 전자화폐 (개발기관) 비고 벨기에 Proton (Banksys) 은행공동개발, 폐쇄형 영국 Mondex (Mondex) 몬덱스사개발, 개방형 네덜란드 ChipKnip (Interpay) 은행공동개발, 폐쇄형 독일 GeldKarte (ZKA) 은행공동개발, 폐쇄형 미국 VISA Cash (Visa) 비자사개발, 폐쇄형 포르투갈 Porta Moedas (SIBS) 은행공동개발, 폐쇄형 덴마크 Danmont (Danmont) 은행공동개발, 폐쇄형 핀란드 Avant (Toimiraha Oy) 은행공동개발, 폐쇄형 기타 사례