[정보보안] 데이터베이스, 전자상거래 보안

 

 

 

 

* 데이터베이스 보안

 

 

 

1> 데이터베이스 관리

 

 

show tables : 데이터베이스에 있는 테이블 목록 조회

 

desc table명 : 해당 테이블 구조 확인

 

create user "user명" identified by "ab12" : db 접속하는 사용자 ID (user명) 과 패스워드 (ab12) 생성

 

drop "user명" : 해당 사용자 (user명) 삭제

 

 

 

2> 데이터베이스 보안 위협요소 : 집합성, 추론

 

 

- 무결성 보장, 추론 방지, 사용자 제한, 감사 기능 (Log 저장), 데이터 암호화

 

 

 

3> DB 암호화

 

 

- 패스워드 : SHA-256 이상의 해시함수 암호화 의무, 일방향 암호화 (복호화 불가)

 

- Plug in 방식 : 암호화 솔루션 별도 설치

 

- API 호출 방식 : 암호화 Api 호출하여 암호화

 

- DB 감사 솔루션 : 스니핑 방식 (Log 기록)

 

- DB 접근 솔루션 : 허용 IP에게 id, pw 로그인 방식으로 DB 접근 허용

 

 

 

4> 데이터베이스 백업 (Backup)

 

 

- 차등 백업 : 변경된 아후 변경된 모든 것을 백업

 

- 증분 백업 : 마지막 백업 이후 변경된 부분만 백업

 

 

 

 

* 전자상거래 보안

 

 

1. 전자 화폐 : 디지털 서명이 있는 금액 정보, 전자 기호 형태로 화폐적 가치가 저장된 전자적 지급수단

 

 

2. 요구조건

 

 

- 불추적성 : 사생활 보고, 익명성 (단, 법적인 기관에 의해서는 식별 필요)

 

- 가치이전성 : 이전 가능, 양도성

 

- 분할성 : 분할 사용 가능

 

- 독립성 : 자체로 완벽한 화폐가지 존재

 

- 이중사용, 불법 복사 위조 방지

 

 

 

3. IC카드형 전자화폐

 

 

- 몬덱스, 비자캐시, PC pay, Ecash, Net Cash

 

 

 

4. SET (Secure Electronic Transaction)

 

 

- VISA , MASTER 카드 공동 개발 프로토콜

 

- 전자 상거래 인증

 

- 신용카드 지급 결제 처리 절차

 

- 기밀성, 무결성, 인증, 부인봉쇄

 

 

- SET 절차

 

 

1> 구매 -> 판매자의 인증서 수신 (판매자 검증)

 

2> 구매자 : 대칭키로 지불정보 암호화, PG의 공개키로 대칭키 암호화하여 판매자에 전송

 

3> 판매자 : 구매자 확인하고 주문정보의 해시를 쌍으로 대치

 

4> 판매자는 구매자가 보낸 주문정보를 PG에 전달

 

5> PG사 : 구매자가 암호화한 대칭키를 복호화하여 지불정보 복호화

 

6> PG사 : 지불정보 해시하고 이중 해시와 비교하여 은행, 카드사 지급 요청

 

 

 

- SET 구성요소

 

구매자 : 전자지갑 획득

 

판매자 : SET 을 통해 상품 판매

 

PG : 카드 지불 네트워크 중계

 

발급기관 : 신용카드 발행, CA 인증서 발행

 

인증기관 : 정당성 보증 기관

 

 

 

- SET 기술 

 

대칭키, 공개키, 전자서명, 해시함수, 공개키 인증 등

 

알고리즘 : DES, RSA, SHA

 

 

 

- SET 이중성명 

 

사용자는 지불, 주문 정보 등을 비밀로 하기 위해 사용

 

주문정보, 지불정보를 각각 해시 암호화하여 합친 정보를 해시하여 개인키로 암호화

 

 

 

- SET 장점 : 전자상거래 사기 방지, 기존 신용카드 거래 프로세스 기반

 

- SET 단점 : 암호 프로토콜 복잡, RSA 속도 저하

 

 

 

 

 

*  SSL 보안 (Secures Socket Layer)

 

 

 

1. SSL 의미 

 

 

- 공개용 인터넷에서 사용하는 보안 방식으로 네트워크 구간의 송/수신 데이터 암호화

 

- 인터넷 환경의 Client 와 Server 간 통신 보안

 

- 암호화 : RSA 암호화, 443 port, 전송 계층 동작

 

- 인증, 무결성(데이터 위변조 방지), 기밀성 지원 

 

 

 

2. SSL 핸드쉐이크 절차

 

 

- TCP 연결

 

- 웹브라우저 -> 웹서버 호출 : SSL 버전, 사용 가능한 암호화 알고리즘 정보 전송

 

- 웹서버 -> 웹브라우저 응답 : 결정한 암호화 알고리즘 정보 전달

 

  

 

3. SSL 사용

 

 

- 웹 서버에 OpenSSL 설치하여 개인키, 인증서 생성

 

(웹 브라우저는 별도 작업 불필요)

 

- 개인키 생성 : OpenSSL은 SSL 보안서버가 갖고 있는 개인키 생성 (최소 2048 이상)

 

- 대칭키 생성 : 메시지 암호화하는 대칭키는 SEED 알고리즘 사용

 

- 서버 인증서 생성

 

- 취약점 : 하트블리드 취약 (웹브라우저 데이터 길이 검증하지 않아 길이 조작 공격)

 

 

 

4. sHTTP

 

 

- HTTP 확장판으로 캡슐화하여 메시지 안전 전송

 

- HTTP 응용계층 제공하여 더 효율 (SSL 전송 계층 제공)

 

- 웹 브라우저와 웹 서버 사이 지원

 

 

 

5. IPSEC (IP Security)

 

 

- 인터넷에서 안전한 통신

 

- 가상 전용 회선 구축

 

- 터널 모드 : IPSEC 중계 장비로 패킷 전체 암호화하여 전송 (새로운 IP)

 

- 전송 모드 : 출발지(암호화) - 목적지(복호화) End to End (기존 IP)

 

- 인증 및 헤더 

 

AH : 데이터 무결성, IP 패킷 인증 제공

 

ESP : 전송 데이터 암호화 전송 

 

 

- 키 관리

 

ISAKMP : SA 설정

 

IKE : 키 교환 담당

 

 

 

 

6. 전자문서 : 전자상거래에서 비즈니스 거래를 위해 활용되는 문서

 

 

- EDI : 기업 간 전자상거래 문서 표준

 

- XML/EDI : XML 문서를 인터넷을 통해 활용하여 만든 표준

 

- XMI : 웹 구조화 표준

 

- ebXML : 기업간 전자상거래 프레임워크

 

 

 

 

 

* 웹 서비스 보안

 

- 웹 서비스 표준 기술

 

WSDL : 서비스 제공자와 서비스 사용자 간의 웹서비스 파라미터 명, URL, 호출 관련 정보 기술

 

UDDI : 서비스 제공자가 웹서비스 등록하고 검색하기 위한 레지스트리

 

SOAP : XML 기반 메시지로 서비스 사용자가 제공자에 의해 노출된 웹서비스를 호출하고 결과를 수신 프로토콜

 

 

 

- XML 보안

 

 

XML 전자서명 : XML 문서에 전자서명

 

XML 암호화 : XML 문서에 대칭키, 공개키 기반 암호화 

 

XACML : 접근 통제 정책 정의 문서

 

XKMS : 공개키 관리

 

SAML : 토큰 형태의 권한 정보