Transcript 인터넷 신용카드 지급결제 시스템

전자상거래 원론: 제14장
전자 지급결제
학습 목표
 전자지급결제
체계의 종류 및 원리를
이해한다.
 인터넷
지급결제 시스템의 발전 과정 및
전망을 이해한다.
 모바일
환경에서의 지급결제 체계의 분류 및
이슈를 이해한다.
2
본문내용
 인터넷
신용카드 지급결제 시스템
 전자자금이체 지급결제 시스템
 전자수표 시스템
 전자화폐 시스템
 가상계좌 지급결제 시스템
 모바일 지급결제 시스템
3
인터넷 지급결제 시스템 개요

인터넷 지급결제 시스템의 목적
– 전자상거래로 구매한 상품의 대금 지급
– 개인간 송금, 청구, 모금

전자지급 결제 시스템 분류
4
인터넷 신용카드 지급결제 시스템

시스템 현황
– SET: Mastercard, VISA 표준 (1996년)
– SSL 기반 모델: Form-CGI 방식(일반 PG 등), SCT(ICEC,
1999), 3-D Secure(VISA, 2001), SPA(Mastercard, 2001)
– GCM: First Virtual, 1995, 현재 사라짐

보안상의 문제점
– 신용카드 소유주 본인 인증
– 상인 또는 PG가 고객의 신용카드 정보를 모르도록
– 거래 부인 방지
5
SET (Secure Electronic Transaction)
 전자상거래에서
지불정보를 안전하고
비용효과적으로 처리할 수 있도록 규정한
프로토콜
 신용카드 기준
 VISA, Master
 Version 1.0 - 1997년 5월 31일 발표
6
SET의 목적

Payment Security
–
–
–
–

confidentiality
authentication
integrity
linkage
Interoperability
–
–
–
–
between various vendors
existing standards
exportable technology
any combination of H/W
and S/W

Market Acceptance
– ease of implementation
– minimal impact on
merchant, acquirer, and
payment system
applications and
infrastructure
– minimize change to the
relationship between
acquirers and merchants,
and cardholders and
issuers
7
SET의 지불정보 보안
Out-ofscope
인증기관
인증서
고객
Browser
Wallet
인증서
1. 상품정보
2. 주문/지불정보
인증서
3. 지불정보
상인
상품
4. 지불승인
P
G
카드사
Host
대금
대금
on-line
off-line
SET 정의 암호화
X.25 / 자체암호화
8
SET 방식의 장단점
 장점
– 지불정보가 상인에게 노출되지 않도록
이중(dual)으로 암호와
– 보안성 높음 (Key size 큼, 인증, 무결성, …)
 단점
– 시스템이 복잡해지고 시스템 부하가 큼
– 별도의 고객 S/W(Digital Wallet) 필요
 사용
불편 (별도의 사용법, Setup)
 유지보수 어려움
9
SCT(Secure Credit Card Transaction)


ICEC(국제전자상거래연구센터, 한국)가 1999년 10월 발표
특징
– 고객의 신용카드 정보는 신용카드사에서 직접 인증
– 웹 만을 사용하는 단순한 고객 인터페이스
상인
1. 상품정보
2. 주문정보
4. 승인내역
고객
5. 주문확인
3. 지급정보
6. 처리결과
신용카드사
SCT의 구조
10
SCT의 지불정보 보안
고객
Web
Browser
1. 상품정보
인증서
인증
2. 주문정보
상인
기관
상품
SSL 인증서
인증서
5. Capture
4. 승인통보
대금
3. 지불정보
상인
고객
대금
대금
카드사
은행
on-line
off-line
SSL (128 bits)
SCT 정의 암호화
기존 은행망
11
SCT의 보안 목표
 기밀성
– 지불정보
 인증
– 고객 인증
– 고객은행 인증
– 상인 인증
 무결성
– 지불정보
– 이체통보
12
SCT의 특징
 단순,
명료
 개발 및 유지보수 용이
 고객 사용 편리 (웹 브라우저만 사용)
 보안성 높음 (key size = 128 bits)
 신용카드 정보가 상인에게 노출되지 않음
 신용카드 외에 계좌이체 지불 등에도 수정 없이
사용가능 (SDT)
13
SDT 사용상의 이점




사용자 입장
– 자신의 지불 정보가 상인에게 전달되지 않으므로 지불 정보
보안에 좀 더 확신을 가질 수 있음
상인 입장
– 고객의 지불 정보를 자신이 직접 다루지 않으므로 지불 정보
관련 사고 발생시 책임회피 가능
금융기관 입장
– 개별 금융기관별로 고객 인증을 위한 나름대로의 방법 적용
가능. 따라서, 사고 발생의 소지를 줄일 수 있음
SI 업체
– 표준 Solution 개발 및 판매 가능
14
First Virtual (FV)
신용카드 기반 시스템
 MIME을 고안해 낸 Nathaniel Borenstein등의
기술자들이 모여 설립 (1994년)
 Information Commerce: 온라인으로 전송 가능한
디지털 상품 거래 권장
 거래 유형

– 여행 관련 예약, 온라인 구매, 통신 판매

사용의 편의성 강조
– 기존의 네트워크 사용자에게 익숙한 WWW와 E-mail만을
사용
– 특별한 클라이언트 소프트웨어 불필요
– 암호화 보안 적용 않음
15
Green Commerce Model
Credit Card
Company
Real
Bank
Green Commerce
Server
messages
Buyer
messages
goods
Merchant
16
FV Transaction
고객은 상인에게 VirtualPIN 전달
 상인은 FV에 "transfer-request" 메시지를 전달
 FV는 고객에게 e-mail로 "transfer-query" 메시지를
전달
 구매자는 "yes", "no" 또는 "fraud"로 응답

– "yes":거래가 성립
– "no":상품이 마음에 안 들 때
– "fraud":자신이 참여한 거래가 아닐 때, 즉 계정이 도용
당하고 있다고 생각될 때 → VirtualPIN 취소
FV는 오프라인으로 신용카드 거래 처리
 상인은 거래 처리 확인 e-mail을 전송

17
전자자금이체 시스템

우리나라의 전자자금이체 수단
–
–
–
–
–
–

은행 지로
CD/ATM
홈뱅킹 (PC 뱅킹)
인터넷 뱅킹
펌 뱅킹
직불카드 (상품 구매에만 사용)
전자자금이체를 이용한 인터넷 지급결제
– 지급결제 브로커(PG) 이용 방식
– 인터넷 뱅킹 이용 방식
18
PG를 이용한 전자자금이체 결제
인터넷 상에 존재하는 쇼핑몰과 금융망에 존재하는
은행간의 거래를 지급결제브로커 (PG) 시스템이 중개
 은행 간 표준 필요 없이 개별 상인들은 서비스 제공
PG에만 의존적
 SSL 기반 방식

– 이니시스 Paygate, 데이콤 eCredit

SET 기반 방식
– 장점: 보안성 우수
– 단점: 개발 부담, 고객 인터페이스 불편
– 한국통신 커머스솔루션스
19
SSL 기반 시스템의 장단점

장점
– 단순, 명료
– 개발 및 유지보수 용이
– 고객 사용 편리
웹 브라우저만 사용
 인증서 자동 관리


단점
– 지불정보(카드번호, 계좌번호, 비밀번호, …)가 상인에게 노출
– 보안성 낮음
DES key size = 40bits
 RSA key size = 512bits

< 128bits
< 1024bits
– 카드 소지자 인증의 문제
20
인터넷 뱅킹 이용 방식
은행이 직접 고객의 계좌정보를 인증
 장점

– PG 수수료 절감
– 고객 계좌정보 보안 우수
– 쇼핑몰 시스템 단순

단점
– 개별 쇼핑몰과 은행의 연결 업무 부담
– 은행 간 표준 공유 필요

SDT(ICEC, 한국, 1999): 대표적 표준, 현재 국내 대형
은행 들 서비스 중
21
전자 수표 시스템
재래식 수표의 거래 절차를 그대로 인터넷상에 구현
 효과적인 거래유형

– 주로 Business-to-business 거래에 유용
– 은행에 check account를 갖고 있는 경우
– 전자 화폐, 신용카드에 비해 큰 액수의 거래

단점
– 지불자 신원 인증과정이 필요

Echeck (FSTC), NetCheque (USC), NetBill (CMU)
etc…
22
Electronic Check
 Financial
Services Technology Consortium
(FSTC)에서 수행하는 프로젝트
 현재의 종이로 된 수표의 모델에 최대한 가깝게
구현
 주로 Business-to-business간의 거래에 유용
 현재의 은행간 결제 통로를 이용
– Electronic Check Presentment (ECP)
– Auto Clearing House (ACH) Network
23
Electronic Check

높은 유연성
– 여러 종류의 수표가 가능
Certified check, Cashiers check, Credit card charge slip,
Traveler's check, etc.
– 다양한 기능
Future dating, Limit checks, Multi-currency payment

보안과 신용
–
–
–
–
전자서명(Digital Signature)을 이용
새로운 암호화 기법 사용
서명 카드(Signature card)를 이용한 하드웨어 기반 서명
은행을 신용 인증 기관으로 활용
24
25
전자 화폐의 특징 및 문제점

특징
–
–
–
–
–
화폐 가치를 저장, 전송 가능한 디지털 형태로 표현
실제 화폐 사용 방법을 전자적으로 구현
실제 화폐 사용에 비해 적은 처리 비용
소액 거래에 효과적
네트워크형

DigiCash, NetCash etc…
– IC카드형


Mondex, Multos, VISA Cash, PROTON, Denmont etc…
문제점
– 개인 정보 보호 문제 (Privacy)
– 화폐의 중복 사용 문제 (불법적 복사)
26
전자화폐 시스템 요구 조건

J.W.Matonis, April 1995
–
–
–
–
–
–
–
–
–
–
보안성(Security)
익명성(Anonymity)
휴대가능(Portability)
양방향(Two-way)
Off-line에서도 수행가능(Off-line
capability)
가분성(Divisibility)
영구성(Infinite duration)
상용화 정도(Wide acceptability)
사용자 친숙성(User-friendly)
자유 화폐단위(Unit-of-value
freedom)

B. Neuman, G. Medvinsky,
March 1995
–
–
–
–
–
–
–
–
–
–
보안성(Security)
신뢰성(Reliability)
규모성(Scalability)
익명성(Anonymity)
용인성(Acceptability)
고객 기반(Customer base)
유연성(Flexibility)
태환성(Convertibility)
효율성(Efficiency)
통합 용이성(Ease of
integration)
– 사용 용이성(Ease of use)
27
전자화폐 비용 비교
Processing cost per transaction
$1.00
Paper
0.80
Electronic
0.60
0.40
0.20
0.00
Cash
Check
Credit
card
Electronic
bill
payment
Debit
card
E-cash
Source : The Boston Consulting Group
28
DigiCash
1994년 David Chaum이 설립 (네덜란드)
 “Ecash”라고 하는 전자 화폐 발행
 전자화폐의 문제점 해결

– Privacy 보호에 역점 : Blind Signature
– 화폐 불법 복사, 중복 사용 문제 : 화폐 일련번호 DB로 해결

거래 유형
–
–
–
–
–
인터넷 상점으로부터 상품 구매
소프트웨어 업체에서 소프트웨어 구입 또는 업그레이드
그래픽 파일 등의 디지털 상품 구입
다른 ecash 사용자에게 email을 이용하여 지불
다른 ecash 사용자로부터 ecash 지불 받음
29
DigiCash Ecash User
 Ecash
Purse Software
– Issuer bank account 개설
– Ecash mint account 신청
– 은행으로부터 Purse software download
– Account ID와 Set-up Password를 사용하여
설치하고 사용
30
DigiCash Merchant & Issuer

판매자
–
–
–
–
–
Ecash issuer bank account 개설
Merchant ecash Account 신청
Issuer에 따라 추가적 상인 계좌 개설 조건 요구 가능
Merchant Purse software 제공
Ecash Merchant Purse Software: 구매자들이 지불한
Ecash를 자동적으로 수집
– Remote shop server: 자신의 서버가 없는 판매자들에게
인터넷 상점 개설 서비스

발행자
– Ecash system과 기존 은행 정보 시스템 통합
– 사용자 인터페이스
31
Ecash Issuer
 DigiCash의
Ecash를 발행하는 Issuer 은행들
32
DigiCash Purchase Process
Ecash Issuer Bank
Customer
Ecash Purse
Software
4.withdraw
Ecash Mint
Account
2.instruct a
transfer to Ecash Mint
5.payment
Merchant
Ecash Merchant
Software
1.deposit
3.transfer
Conventional
Bank Account
33
Blind Signature

개인정보 보호를 위한 서명 기법

DigiCash의 설립자 David Chaum이 고안
– 서명자에게 서명할 내용을 모두 밝히지 않고 서명하게
하는 방법
– Ecash의 발행자는 자신이 서명한 동전이라는 것만 확인
가능하며 발행한 동전이 누구를 통해 어디로 갔는지
확인 불가능
34
DigiCash의 화폐 중복 사용 문제

구매 절차
– 고객이 상점에서 물건을 구입
– 고객의 Purse software에서 상당하는 ecash를 지우고
상인에게 전송
– 상인의 software는 자동적으로 ecash를 은행으로 보내어
중복 사용 여부 확인
– 물건을 고객에게 전송/배달

Ecash Coin Database
– 발행 은행은 동전 Database에 사용된 동전의 일련 번호를
기록
– 한 번 발행된 동전의 유효기간 존재 (6개월)
– 모든 사용된 동전의 일련번호를 모두 기록해 놓는다는 면에서
규모성(scalability)가 부족하다고 볼 수 있다.
35
NetCash
California 대학의 Medvinsky,
Nueman에 의해 제안 (1995)
 Southern
– 분산된 서버 구조로 되어 있는 전자화폐 시스템 :
규모성(Scalability) 확보
– NetCheque와 연동
– 고객이 원하는 수준의 등급별로 차등화 된 익명성
지원
– 익명성 보다는 규모성의 확보에 주력한 설계
36
소액 지불 프로토콜

Milicent
– 1995년 Steve Glassman에 의해 제안
– scrip이라는 전자 현금 사용
– scrip을 깨는 비용이 scrip의 가치보다 크도록 보안 수준 조절

PayWord
–
–
–
–
–
–
–
Rivest, Shamir에 의해 제안
은행 계좌나 신용카드 기반 프로토콜
계산량을 줄이기 위해 payword(=해쉬값)를 지불로써 이용
통신 부하를 줄이기 위해 오프라인 결제
주기적인 지불에 효율적으로 동작
양도성, 익명성 지원하지 않음
사용자 Certificate 관리 필요
37
IC 카드형 전자 화폐
카드에 화폐가치를 저장하여 지급 수단으로
사용
 실세계의 거래에서 활용
 인터넷 상에서의 이용은 연구 중
 IC
– 네트워크 형 전자화폐와 호환
– 소액 결제를 위해 실질적으로 사용 가능한 화폐 미비
– 신용카드를 이용한 전자 지불 방법의 문제점 노출
 인증서
소지 문제, 안전한 개인키 저장 방법
38
연구 개발 동향

전자지급결제
– 전자 화폐형
– 신용 카드형: SET(de facto standard)
– 전자 수표형

스마트카드 분야 연구
– 비자카드사 중심: 자바 Card, VISA Cash
– 마스터카드사 중심: Multos Card, MONDEX
– H/W : RSA 카드 개발, 접촉식/비접촉식 카드 개발 등

표준화 동향
– 스마트카드: EMV, CEN, ISO
PC/SC 그룹 표준안, 금융전자지갑 표준안
– 전자지불: SET, OTP
– 결합형: C-SET
39
연구 개발 사례

동남은행 하나로 카드 (‘98. 3월 현황)
–
–
–
–

지하철 31만명(55%)
시내버스 82만명(36%)
가치충전: 5만건(6억원)
스마트카드를 이용한 전자상거래 시스템 시범사업에 적임
ECOM: SCJ 프로젝트
– VISA Cash + EMV

유럽을 중심으로 한 다양한 프로젝트 진행중
– PROTON(벨기에), Denmont(덴마크)
40
스마트 카드의 구조





CPU - runs operating system and controls the communication lines
RAM - is used internally (working resister, temporary storage)
ROM - contains the operating system
EEPROM - user memory
5 connecting points - VCC, Ground, Clock, Reset, I/O
VCC
CLOCK
RAM
I/O
CPU
RESET
GROUND
EEPROM
ROM
41
스마트카드의 유형

비접촉식 카드
– 비접촉식: ISO 10536, 두개의 안테나 코일 사용
– 유도원리: 10Cm 이내에서 유도기전력 발생

접촉/비접촉 하이브리드 카드
–
–
–
–

ISO 10536/7816 hybrid card
개별 메모리 사용
비접촉식: Fast Transaction(교통카드)
접촉식: High Security(전자지갑 기능)
접촉/비접촉식 콤비 카드(Combination Card)
– ISO 10536/7816 combination Card
– 메모리 공유

접촉/비접촉식 통합카드(Integrated Card)
42
IC 카드 관련 표준안
 Open
Platform
 Multos 표준 체계
43
개방형 플랫폼(Open Platform)
표준체계
Credit/Debit
VisaCash
CardholderID
Loyalty
Visa Open Platform
Java Card
Smartcard for
Windows
Multos
IBM
Motorola
Gemplus
DeLaRue
Schlumberger
Toshiba...
Schlumberger
Gemplus
Microsoft, ...
KeyCorp
Hitachi
DNP
G&D...
or
Customizable
or
NOT Customizable
44
MULTOS

다기능 스마트 카드 구조

높은 보안성 (ITSEC E6)

Virtual machine architecture
– 플래폼과 어플리케이션 분리

어플리케이션 상호 작용 허용
Application
‘A’
Application
‘B’
MULTOS
Application
‘C’
45
IC 카드형 전자화폐
 국내
금융결제원 표준 전자화폐 (K-Cash)
 비자캐시
 몬덱스
46
금융결제원 표준 체계
47
Visa Cash

1996. 8. Visa Cash Spec. V 1.0 발표
– 현금과 같은 플라스틱 카드 : 실세계에서만 사용 (양도불가)
– Visa Cash의 형태 : Disposable cards, Reloadable cards
48
Mondex

95년 영국 National Westminster 은행과 Mondex사에서 개발

96년 11월 Master Card에서 인수

Modex 의 주요 특징
– 다양한 화폐 지원
– 전화를 이용한 화폐 전송
– 소액 및 거액의 지불 가능
Mondex POS
Balance reader
– 화폐를 즉시 전송
– 개인간에 화폐 전송
– 인터넷을 이용한 지불 가능
Wallet
Telephone
49
기타 사례
국가
전자화폐 (개발기관)
비
고
벨기에
Proton (Banksys)
은행공동 개발, 폐쇄형
영국
Mondex (Mondex)
몬덱스사 개발, 개방형
네덜란드
ChipKnip (Interpay)
은행공동개발, 폐쇄형
독일
GeldKarte (ZKA)
은행공동개발, 폐쇄형
미국
VISA Cash (Visa)
비자사 개발, 폐쇄형
포르투갈
Porta Moedas (SIBS)
은행공동개발, 폐쇄형
덴마크
Danmont (Danmont)
은행공동개발, 폐쇄형
핀란드
Avant (Toimiraha Oy)
은행공동개발, 폐쇄형
50
가상계좌 지급결제 시스템


실제 은행계좌 번호 없이 대금 결제, 자금 이체가 가능한 서비스
가상계좌 서비스 응용
– 전자화폐
– 메일 뱅킹
– 휴대폰 송금 서비스

가상계좌 서비스 절차
51
전자화폐 가상계좌 응용
 응용
절차
– 고객마다 가상계좌를 할당
– 가상 계좌에 입금되는 돈은 자동으로 그 업체의
모계좌로 자동 집금
– 고객이 전자화폐를 이용할 때는 가상계좌에서 정산
 도입
효과
– 계좌 관리의 많은 부담을 은행이 수행
– 은행 보유 CD/ATM기를 활용하여 전자화폐의
입출금이 가능
52
개인 간 송금 서비스
 메일
뱅킹
 휴대폰
송금
53
모바일 지급결제 시스템
분류 기준
특성
직접입력방식
모바일 단말기
인증 방식
모바일 전자지갑 방식
IC Chip 방식
설명
ARS, SMS, 무선인터넷을 통해 결제 정보를
직접 입력하는 방식
단말기에 소프트웨어 방식으로 구현된
전자지갑에 결제 정보를 보관하고 이를
활용하여 지급결제
Chip일체형: 단말기에 포함된 Chip에 결제
정보 저장 활용
Chip 삽입형: IC 카드를 단말기에 삽입한 후
지급결제
원거리 지급결제
무선인터넷 기반의 방식
근거리 지급결제
블 루 투 스 ( Bluetooth), 무 선 적 외 선 ( IrDA)
방식을 활용하는 근거리 환경
신용카드기반
신용카드 기반 지급 결제 방식
계좌이체기반
계좌이체 기반 지급 결제 방식
전자화폐기반
전자화폐 기반 지급 결제 방식
(IC 카드형 전자화폐, 네트워크형 전자화폐)
과금 방식
이동전화요금에 합산 청구하는 방식
무선환경
지급결제방식
54
인터넷 지급결제 시스템 전망
 유선:
클라이언트 기반  서버 기반
– IC 카드 용도: 가치 저장 매체  가치 접근을 위한
인증 수단
– 전자지갑: 별도 설치 부담 및 유지보수 어려움으로
쇠퇴  웹 브라우저 인터페이스
 무선:
결제 정보 입력  전자지갑 방식
– IC chip 적용 시기: IMT2000 도입 시기에 맞춰
활성화 전망
– IC chip 적용 방식: 이동통신사와 금융기관의 전략적
제휴 성사 때만 단일 칩 기반으로 적용 가능
55
연습 문제
• 인터넷 지급 결제 시스템을 결제 금액의 대소 및 유무선 환경에
따라 분류 설명하시오.
• 대표적인 인터넷 지급 결제 프로토콜인 SET의 흐름도를 그리고
고객의 금융정보가 상인에게 노출되지 않도록 하기 위해
사용된 보안 기술에 대해서 설명하시오.
• 네트워크형 전자화폐의 현재 현황 및 그 이유에 대하여
설명하시오.
• 기존 은행 계좌를 활용하고 가상계좌를 이용하지 않는 메일
뱅킹 시스템을 설계하려고 한다. 개인간 송금을 위한 지급 결제
흐름도를 작성하시오.
• 모바일 지급 결제 시스템을 유선인터넷 지급 결제 시스템과
비교 설명하여라.
56
질문 및 응답
57