처 인증(Message Origin Authentication), 수·발신 부인봉쇄 (Non-repudiation of Origin/Receipt), 메시지 내용의 무결성, 메시지 순서의 무결성, 메시지 내용 기밀성, 키 관리 등이 있다.
. 인증(authentication): 전자 문서의 발신처에 대한 인증을 의미하여, 수신된 데이터가 발신처에서 전송한 것과 동일한지를 확인하는 과정이다. 이를 실현하는 기술로서는 암호, 디지털 서명, 인증교환 등이 있다.
. 접속제어(access control): 허가되지 않은 전자 데이터의 사용을 방지하는 기능으로 자격이 없는 사용자가 허가되지 않은 방법으로 전자 데이터를 이용하는 것을 방지하는 기능이 포함되어 있다.
. 기밀성(confidentiality): 전자 데이터가 허가되지 않은 개인 및 단체에 의해 사용되지 않도록 기밀을 유지하기 위한 기능이다.
. 무결성(integrity): 전자 데이터가 허가되지 않은 방법으로 변경되거나 파괴되지 않음을 보증하는 기능이다. 현재 단일 데이터의 완전성 및 단위 데이터 전체의 순서를 보호하는 방법과 전자 데이터를 암호화하여 데이터의 변경과 파괴를 방지하는 방법 등이 있다.
. 부인봉쇄(non repudiation): 발신자나 수신자가 전자문서의 발신이나 수신사실을 불법적, 의도적으로 거부하는 것을 방지하는 기능이다. 발신자가 발신한 전자 데이터의 내용을 부당하게 부인하는 것을 방지하는 발신증명에 의한 부인봉쇄와 수신자가 수신한 전자 데이터를 부당하게 거부하는 것을 방지하는 수신증명에 의한 부인봉쇄가 있다.
기본적으로 보안서비스는 메시지차원과 통신차원에서 지원될 수 있다. EDIFACT에서는 조직간의 신뢰성 있는 자료교환을 위해서 메시지차원에서의 보안구조에 대한 권고안을 제시하고 있으며, MHS나 FTAM에서는 통신 차원에서의 보안장치를 규정하고 있다. 인터넷 상의 자료교환에 있어서는 PGP(Pretty Good Privacy)와 PEM(Privacy Enhancement for Electronic Mail) 등이 이용될 수 있다. 인터넷 웹 상에서의 인증, 기밀성, 무결성 등과 같은 보안 기능의 구현은 웹의 통신 프로토콜인 HTTP(Hyper Text Transfer Protocol)와 암호화 알고리즘을 틔합하는 방식으로 구현되고 있는데 S-HTTP (Secure HTTP)와 SSL(Secure Socket Layer)가 그 대표적인 예라고 할 수 있다.
EIT사에 의해 개발된 S-HTTP는 응용계층(Application layer)에 RSA의 공개키 알고리즘을 적용하는 보안 프로토콜이다. 한편 Netscape사에 의해 개발된 SSL은 네트워크계층과 응용계층 사이에서 RSA 공개키와 X.509 인증을 구현한 보안 프로토콜로서 응용계층과 독립되어 있기 때문에 HTTP 이외에도 FTP, Telnet, SMTP 등 여러 응용계층의 프로그램을 지원할 수 있다. EIT와 Netscape 사는 S-HTTP와 SSL의 통합을 위한 공동 연구를 진행 중에 있다.
참고문헌
강명호, 송주석, \"전자상거래 관련 기술,\" 통신정보보호학회지, Vol.7, No.3, 1997.9. pp. 5-21.
김광조, \"암호이론\", 제4회 정보통신망 정보보호 워크숍(NETSEC-KR\'98) 특강자료집, 1998. 6. pp. 5-52.
김기현 외 3인, \"정보보호 기술 분류\",
김지홍, \"공개키 기반구조 기술\", 제4회 정보통신망 정보보호 워크숍(NETSEC-KR\'98) 발표자료집, 1998. 6. pp. 9-32.
김홍근, 최영철, \"전자상거래 정보보호기술 현황 및 대응방안, 정보처리학회지 Vol.6, No.1, 1999.1 pp. 22-34.
류재철, \"전자상거래에서의 인증서비스\", 제4회 정보통신망 정보보호 워크숍(NETSEC-KR\'98) 특강자료집, 1998. 6. pp.295-362.
류재철, 박현동, \"WWW 보안\", 통신정보보호학회지, Vol.7, No.1, 1997.3. pp. 89-102.
송유진, \"전자화폐 기술과 동향\", 제4회 정보통신망 정보보호 워크숍(NETSEC-KR\'98) 발표자료집, 1998. 6. pp. 515-540.
신형강, \"SET 구현사례\", 제4회 정보통신망 정보보호 워크숍(NETSEC-KR\'98) 발표자료집, 1998. 6. pp. 291-316.
이임영, \"Key Recovery 시스템\", 제4회 정보통신망 정보보호 워크숍(NETSEC-KR\'98) 발표자료집, 1998. 6. pp. 33-58.
조남재, 김정덕, 김충녕, 김상용, 미국에서의 전자상거래 추진전략 분석 및 국내 산업의 대응전략에 관한 연구, 한림과학원, 1998. 8.
조인준, 정회경, 김동규, \"인터넷 보안 메커니즘에 관한 연구, 통신정보보호학회, Vol.8, No.2, 1998.6. pp. 19-35.
한국정보보호센터, 정보보호 총서, 1996.12
한국정보보호센터, CALS/EC 정보보호기술 표준화에 관한 연구, 1998.6
한국정보보호센터, CALS/EC 정보보호 표준 교재, 1999.1
한국정보보호센터, CALS/EC 공개키 인증 시범시스템 개발 보고서, 1998.6
한국정보보호센터, CALS/EC 키관리 시스템 개발 보고서, 1998.6
Ahuja Vijay, Secure Commerce on the Internet, AP Professional, 1997.
Cameron Debra, Electronic Commerce, Computer Technology Research Corp., 1997.
Cameron Debra, Security Issues for the Internet and the World Wide Web, Computer Technology Research Corp., 1997.
Ford Warwick & Baum M.S., Secure Electronic Commerce, Prentice Hall, 1997.
Menezes A.J., Oorschot P. C., Vanstone S.A., Handbook of Applied Cryptography, CRC Press, 1996.