Subject : 인터넷 전자상거래와 전자화폐 개발동향

Solution Description:
=====================

 사용자가 폭발적으로 늘고 있는 인터넷의 대표적 활용분야는
 월드와이드웹(WWW)을 이용한 다양한 정보검색과 사용자간 전자우편서비스다.
 이미 전세계적으로 5천만명이 넘는 상시 사용자가 어디서나 쉽게 접속해 사용할
 수 있는 인터넷을 상업적으로 활용하는 서비스 개발사업이 금세기 말
 정보통신분야에서 가장 각광받는 사업분야로 대두되고 있다.

 그 대표적인 분야가 가상은행서비스, 상품매매, 사내전산망, 대중전달수단 부문
 등 현대생활과 밀접한 분야다. 현재의 홈뱅킹에서 한 차원 발전한 형태인
 가상은행서비스, 인터넷 등 통신을 이용해 시간과 공간의 제약없이 상품과
 서비스를 사고 팔 수 있는 전자상거래서비스, 공용 전산망인 인터넷을 이용해
 기업이나 기관의 자체 전산망으로 활용하는 인트라넷(Intranet)시스템,
 방송이나 신문 등 기존 대중전달 매체가 제3의 대중전달 수단으로 인터넷을
 이용하는 매스 커뮤니케이션서비스 등이 대표적이다.

 미국의 SFNB(Security First Network Bank)로 대표되는 가상은행서비스는
 국내외에서 활발하게 개발되고 있다. 국내의 경우 데이콤과 같은
 기간통신사업자가 주도하는 형태로 진행되고 있다. 인터넷은 전세계적으로
 개방된 네트워크여서 언제 어디서나 편리하게 접속할 수 있다는 장점이 있는
 반면 해커의 침입이나 거래내역 절취 및 위변조 가능성 등이 상존하고 있어
 보안문제 해결이 주요 관심사로 떠오르고 있다.

 따라서 가상은행시스템의 구조는 대부분 은행 주전산기와 인터넷이 직접 연결돼
 있지 않고 데이콤 등 기간통신사업자를 거쳐 연결돼 있는 형태다. 여기서
 통신사업자는 네트워크 통신상 보안을 맡는 것은 물론 인터넷 관문(gateway)
 역할을 담당하게 하고 각 은행은 주전산기를 통신사업자의 주전산기와 별도의
 전용 통신선이나 메시지 형식으로 연결해 사용하고 있는 것이다.

 인터넷 가상은행서비스가 21세기 은행형태의 대세로 자리잡게 된 것은 입출금,
 현금수송, 환전 등 지극히 물리적이고 번거롭고 위험하며 비효율적인 재래식
 업무처리로는 변화하는 금융환경에서 살아날 수 없기 때문이다. 정보사회로의
 진입에 따라 은행 고객들은 다양하고 편리한 금융서비스를 요구하고 있고
 초고속 정보통신망 등 통신환경의 변화에 따라 비금융권, 즉 통신회사,
 전화회사, 부가정보서비스회사 등의 금융관련 서비스가 확대되는 등 금융환경이
 급격히 변화하고 있다. 은행들은 이에 대처할 수밖에 없고 그 대안이
 가상은행서비스라는 점에서 전망이 밝다.

 인터넷 가상은행이나 전자상거래처럼 금융과 관련된 온라인 네트워크
 거래처리에서는 송수신되는 메시지에 대한 자료보안이 특히 중요하다. 통신
 상대방이 항상 확인, 인증돼야 하고 송신자와 수신자 사이의 책임범위가 명확히
 정의되어 상호간 사후 부인 방지가 이루어져야 한다. 또 주고받는 메시지에
 대한 제3자의 불법사용이나 해독으로 인한 프라이버시 침해나 금전적인 손실이
 방지되어야 한다.

 세계적으로 사용되고 있는 통신전문에 대한 보안기술은 DES(Data Encryption
 Standard)다. 이것은 IBM이 개발, 지난 77년 미국정부에 의해 암호화
 표준기술로 공식 선정된 바 있다. DES는 대칭적인 알고리듬으로 문장의 암호화
 및 복호화에 동일한 비밀키를 사용한다.

 「DES 알고리듬은 보안성이 깨졌기 때문에 통신보안기술로 사용하지 말아야
 한다」는 주장이 나오고 있으나 이는 사실과 다르다. 이것은 마치 이 세상에
 존재하는 모든 자물쇠는 기술적 측면에서 모두 열쇠의 도움없이 열 수 있기
 때문에 아파트, 자동차, 사무실, 금고 등의 자물쇠를 전부 떼어버리고 문을
 용접해 폐쇄한 다음 필요할 때마다 벽을 뜯어 사용하자는 주장처럼 들린다.
 DES에 대한 공격은 2이라는 천문학적인 반복계산에 의해 가능하기 때문에 현재
 구축비용이 약 1백만달러에 가깝다. DES의 보안성을 유지하려면 난수발생 등의
 방법을 이용해 자주 비밀키 값을 변경하거나 이중 혹은 삼중 DES 암호화를
 하거나 RSA와 같은 비대칭 암호화기술과 적절히 혼합 사용해야 한다.

 RSA는 공개키방식의 암호화 및 인증용 보안기술이다. RSA라는 이름은 Rivest,
 Shamir, Adleman 등 창안자 세 사람 이름의 머릿글자로부터 지어진 것이다.
 RSA는 공개키(public key)와 개인키(private key) 한 쌍으로 구성돼 있다.
 전문을 공개키로 암호화하여 수신인에게 전달한 후 개인키로 복호화하는 경우가
 있고, 전자서명 절차에서는 전문을 개인키로 암호화하여 수신인에게 전달한 후
 공개키로 복호화하는 경우가 있다.

 RSA의 계산은 DES에 비해 복잡한 편이다. 소프트웨어적으로만 시스템을 구현해
 실행할 때 DES에 비해 적어도 1백배의 실행시간이 소요되며 하드웨어 상에서
 적절히 구현하여 실행할 때는 1천배의 시간이 소요되는 등 실행속도에서 큰
 차이가 있다. 따라서 언제쯤 빠른 실행속도를 가진 RSA 전용 실행 프로세서가
 다양한 하드웨어 환경에서 개발돼 저렴한 가격으로 공급될 수 있느냐는 것이
 RSA 암호화기술의 보편적인 사용여부를 결정하는 중요한 전제조건이라 하겠다.

 비자인터내셔널과 마스터카드는 RSA 및 DES와 같은 암호화기술을 적절하게
 사용해 인터넷 전자상거래 상의 고객, 가맹점, 은행 등 서비스 가입주체들이
 안전하고 확실하게 거래전문을 주고 받을 수 있도록 한 SET(Secure Electronic
 Transactions)라는 인터넷거래 보안사양을 발표했다. 여기에 참여한 업체는
 GTE, IBM, MS, 넷스케이프, SAIC, 테리사(Terisa), 베리사인(VeriSign) 등이다.

 SET는 RSA 알고리듬의 전자서명(digital signature) 개념과 난수발생방식으로
 임시 생성한 DES용 키, 그리고 전자봉투(digital envelop)의 개념 등이
 유효적절하게 복합되어 구성됐다. SET 사양에 따르는 전자상거래서비스에 앞서
 필수적으로 고려해야 할 사항은 공개키를 권위있는 공공기관에 등록하고
 인증하는 것이다. 현재 인감등록 및 인감증명의 발급을 국가기관에서 하고 있는
 것처럼 공개키에 대해서도 하루빨리 공공기관에서 등록 및 증명발급이 전산망
 상에서 이루어져야 할 것이다.

 또 한 가지는 각자의 개인키 보관방법이다. RSA의 키는 수십 바이트에 이르는
 헥사 값으로 이루어져 노트에 적어둘 수 없고 PC 등의 하드디스크에
 보관하기에도 너무 위험하기 때문에 이에 대한 보완책 마련이 시급한 현안으로
 대두되고 있다.

 인터넷을 가상은행, 전자상거래 등 상업적으로 활용하는 데 가장 중요한 점은
 화폐가치를 안전하고 편리하게 전달하는 방법에 있다. 그래서 등장한 것이
 전자화폐의 개념이다. 전자화폐란 일렉트로닉머니, 사이버머니, E캐시,
 버추얼커런시, 디지털캐시, 스마트머니 등으로 불리기도 한다.

 이러한 전자화폐를 안전하게 보관하고 휴대할 수 있는 수단으로 IC카드 또는
 스마트카드가 있다. IC카드는 자체 연산기능과 내부자료 보안기능이 뛰어나
 여러 가지 기능을 한 장의 카드에 넣어 복수의 서비스를 받을 수 있다. 예컨대
 한 장의 IC카드에 개인정보 및 보안정보, 전자통장, 전자지갑, 신용카드,
 직불카드, 도서대출카드, 주민등록증, 의료보험증, 운전면허증 등 각종 면허증,
 출입통제용 키 그리고 각종 쿠퐁이나 티켓, 토큰 등을 상호 독립적으로 수록해
 별도의 목적으로 사용할 수 있다.

 IC카드와 인터넷으로 대표되는 네트워크시스템과의 결합은 최근 세계적인
 경향으로 급속하게 진행되고 있다. 인터넷 전자상거래 솔루션을 경쟁적으로
 개발, 추진하고 있는 마이크로소프트와 넷스케이프는 각자 관련기업과
 개발그룹을 결성해 IC카드를 인터넷거래의 보안 및 가치저장수단으로 사용하기
 위해 노력을 경주하고 있다.

 마이크로소프트는 96년 5월 미국의 HP, 프랑스의 불(Bull CP8),
 슐럼버저(Schlumberger), 지멘스 닉스도르프(Siemens Nixdorf)정보시스템 등
 5개사로 이루어진 PC/SC 워킹그룹을 결성, 스마트카드를 연결한 인터넷거래
 보안솔루션을 올해까지 상용화한다는 목표로 연구, 개발중이다. 넷스케이프도
 베리사인, 리트로닉(Litronic), 컨센서스(Consensus), HP 등과 손잡고 IC카드를
 이용한 인터넷 보안시스템인 SNAPI(Security Native API)의 개발을 추진하고
 있다고 지난 2월 RSA 콘퍼런스에서 발표했다.

 네트워크와 IC카드가 연결됨으로써 사용자 인증에 의한 단말기 보안이 강화될
 뿐 아니라 전산망에서만 존재하고 온라인 처리만이 가능한 이른바 「네트워크형
 전자화폐」가 IC카드를 이용한 「가치저장형 전자화폐」와 통합되어 오프라인
 처리까지도 가능해진다. 다시 말해 가상은행서비스에서는 IC카드의
 전자지갑기능을 이용해 은행계좌로부터 전자화폐를 인출 또는 예금서비스를
 제공할 수 있고 전자상거래에서는 전자지갑으로부터 즉시 대금결제를 수행할 수
 있는 이른바 「전산망을 통한 현금거래」가 가능해진다.

 또 개인이 암기해 전산망의 정보서비스 접속시점에 입력해야 할 각종 개인관련
 고유번호, 암호, 기타 자료 등도 IC카드에 수록할 경우 사용할 때마다 매번
 입력해야 하는 불편이 없어진다. 특히 비자와 마스터카드의 보안거래절차인
 SET의 경우 앞서 언급한 바와 같이 RSA 개인키를 안전하고 편리하게 보관하는
 것이 관건인데 현재는 IC카드가 이의 최선의 방법인 것으로 전망된다. 그리고
 사용자 단말기에 IC카드가 연결되면 전자상거래를 비롯한 각종 정보서비스
 서버는 이 IC카드에 거래량 누적포인트, 할인쿠폰, 예매티켓, 토큰 등을
 원격지에서 직접 기록해줄 수 있어 이 카드를 휴대한 고객은 해당되는 서비스
 가맹점의 오프라인 단말기를 통해 다양한 서비스를 제공받을 수 있게 된다.

 국내의 경우 이미 30여만장의 금융권 IC카드가 보급돼 있고 오는 99년에는 전
 국민을 대상으로 한 전자주민카드가 발급될 예정이다. 또 비자, 마스터카드를
 비롯한 신용카드사의 전자지갑카드와 한국은행을 중심으로 한 국내 금융기관
 IC카드가 곧 보급될 전망이다. 이러한 IC카드의 등장은 급속하게 확산되고 있는
 인터넷, PC통신, 그리고 그룹웨어 등 전산망시스템, 특히 데이콤과 같은
 기간통신사업자가 제공하는 가상은행서비스 및 전자상거래서비스 등과 직접
 연결되어 새로운 형태의 정보서비스시대로 나아가는 획기적인 전환점을
 맞이하게 될 것이다.

----------------------------------------------------------------------------

Revision History

작성일자 : 97.07.04
작성자 : 이민호

수정일자 :
수정자 :