본문/내용
전자상거래와 정보안전
1. 안전장치의 필요성
전자적 환경에서는 시스템침입, 권한침해, 부적법 소프트웨어의 투입, 통신개입, 서비스 또는 거래의 부인 등 많은 위험이 존재한다. 따라서 정보의 기밀성(confidentiality), 무결성(integrity)과 유용성(availability)을 확보하고 정보원의 부적법한 사용을 막는 것이 중요하다.
이에 따라 인증절차, 무권한 접근의 통제, 정보의 기밀성, 데이터의 무결성, 부인봉쇄 등의 다양한 정보안전장치가 필요하다. 암호화, 디지털서명 등과 같은 암호화기법(cryptography)은 이러한 정보안전서비스를 충족시키는 중요한 도구이다.
특히 전자지급에서는, 예컨대 존재하지 않는 지급의 발생, 분실?도난된 키의 부정사용 등과 같은 각종의 사기로부터의 보호가 중요한 문제로 등장한다. 그리하여 대부분의 전자지급제도에서는 이용자인증장치 또는 접근통제장치를 필요로 한다. 이를 위하여 단순한 신분확인번호(PIN)가 이용되기도 한다. 그러나 신용카드에 기초한 지급과 같이 신용카드번호 등 민감한 데이터의 교환을 포함하는 전자지급제도에서는 그러한 정보를 보호하기 위한 장치(예컨대, 암호화)를 도입하는 것이 보다 안전하다.
전자거래, 특히 격지자간의 거래인 인터넷 상거래에서는 암호화의 중요성이 더욱 강조된다. 공개키암호화 기법의 발달이 인터넷의 발전과 괘를 같이하는 이유도 여기에 있다. 아래에서는 암호화기법과 인증에 관한 문제를 살펴보기로 한다.
2. 암호화기법
암호화기법에는 대칭적 암호화방법(symmetric cryptosystem, or private key system)과 비대칭적 암호화방법(asymmetric cryptosystem, or public key system)의 두 가지가 있다.
(1) 대칭적 암호화방법 [비밀키기법]
대칭적 암호화방법은 송신인에 의한 암…
(2) 비대칭적 암호화방법 [공개키기법]
3. 인증기관과 인증절차
4. 전자서명
mir와 Alleman의 이름을 딴 것이다. RSA계산법은 공개모듈(public modulus)이라고 불리는 수치를 사용하는데, 이 모듈은 공개키의 일부를 구성한다. 공개모듈은 비밀키의 일부를 구성하는 두 개의 소수(prime number)를 곱하여 얻어진다.
3. 인증기관과 인증절차
인증기관(certification authority: CA)은 등록인의 신원을 확인하고 디지털서명을 하는데 사용되는 공개키-비밀키 짝에 있어서의 공개키를 증명하는 제3자(또는 기관)이다.
일반적인 인증절차는 다음과 같다(인증절차에 있어서 아래 3단계는 인증기관마다 달라질 수 있다). 등록인은, ① 자신의 공개키/비밀키 짝을 생성하고, ② 인증기관을 방문하여 신원증명을 제시한 후, ③ 공개키에 대응하는 비밀키를 그가 보유하고 있다는 것을 (비밀키의 공개 없이) 증명한다.
인증기관은 신원증명이 된 자와 공개키 사이의 관련을 확인하면 인증서(certificate)를 발급한다. 인증기관은 인증서의 진정성과 무결성을 확보하기 위하여 그 인증서에 디지털서명을 부가한다. 인증서의 공개는 하나 이상의 저장소(depositary)에 등록함으로써 공개되는 것이 보통이다.
인증서가 공개된 후에는 등록인은 그 인증서를 어떠한 전자메시지에도 부가할 수 있다. 수신인이 발신인과 그의 공개키 사이의 관련을 확인하려면 부가된 인증서를 살펴봄으로써 가능하다.
4. 전자서명
전자서명은 일반문서의 서명과 같이 전자문서에 있어서 그 작성자와 내용의 진정을 증명할 수 있는 전자적 기법을 말한다. 그리하여 전자서명은 수기의 서명에 대한 전자적 대안으로서, 수기의 서명[자필서명]과 같은 또는 그 이상의 기능을 충족시키는 것이다.
전자서명은 공개키암호화 이외의 기법에 의한 전자서명(단순한 전자서명)과 공개키기법에 의한 디지털서명(digital signature)으로 나눌 수 있다. 디지털서명은 앞에서 본 공개키암호화 기법을 특정한 정보에 적용한 결과를 뜻한다.
디지털서명은 메시지의 발