전자상거래 개요 중부대학교 정보보호학과 이병천 교수
<표1-1> 관점별 전자상거래 정의 전자상거래의 정의 ◈ 전자상거래 정의 통합•자동화된 정보체계 환경하에서 기업과 기업간, 기업과 정부간, 기업과 개인간 거래관계의 모든 측면에 걸쳐 생산, 구매, 재무, 수송, 행정, 서비스 등 제반 비즈니스를 전자적으로 행하는 것. <표1-1> 관점별 전자상거래 정의 전화선, 컴퓨터, 네트워크 및 기타 다른 수단을 통하여 제품, 서비스, 대금 결제 및 정보 자료를 교류하는 것. 통신 비즈니스 프로세스 기업거래와 워크플로우(Work Flow)의 자동화를 위한 응용기술. 서비스 제품의 질과 서비스 속도를 증가 시키면서 거래비용을 절감 시키는 관리도구. 인터넷 및 기타온라인 서비스를 통하여 정보와 제품을 판매 및 구매할 수 있는 능력 제고. 온라인
<그림 1-1> 전자상거래 정의에 대한 분류 전자상거래의 정의에 대한 분류 <그림 1-1> 전자상거래 정의에 대한 분류 협의의정의 기업대 소비자간의 전자적인 대금 결제 거래 기업대 소비자간 거래 기업간 전자상거래 전자상거래 기반구조 (구축업체, 정보제공업체, 중간유통업체) 전자자금결제+ 신용카드 거래 광의의 정의 일반적 정의
전자상거래 유형 <그림1-2> 전자상거래 유형 정보기술 인터넷/인트라넷 VAN 디지털지불 배달 데이터베이스 보안 인증 개인 개인 기업 기업 정부 정부
전자상거래의 종류 ◈ 기업간 전자상거래(BtoB EC) – 재화나 용역을 생산하는데 필요한 제품개발, 원자재 조달, 재정, 회계 등의 금융 업무 처리, 제품의 운송 등 기업간의 업무처리를 사람의 이동과 종이서류가 아닌 디지털 매체로 수행하는 제반과정 – VAN(Value Added Network) 1990년 초 이용 – EDI : 1990년 중반 이후 VAN ◈ 기업 대 소비자간 전자상거래(BtoC EC) – 인터넷 가상상점을 통한 전자소매가 전자상거래로 등장한 것 – 지적 저작물, 와인, 스포츠용품 등의 활성화 – 점차 대상품목이 넓어지고 있는 추세
전자상거래의 종류(계속) ◈ 기업 대 정부간 전자상거래(BtoG EC) – 미국 국방성의 군수품에 대한 전자상거래, 연방정부의 전자구매시스템에 활용 ◈ 정부 대 소비자간 전자상거래(GtoC EC) – 정보기술을 활용하여 정부의 정보와 서비스를 빠르고 편리하게 사용 – 정보자원을 정부전체차원에서 공유하여 효율성을 증대 – 세금징수, 면허교부, 규제관리, 통계자료, 물품과 서비스 조달, 보조금혜택 등의 서비스 분야 – 싱가포르 정부의 통합 디지털 행정서비스 체계 – 우리나라도 점차 서비스 시행
전자상거래 발전과정 및 전망 <표1-2> 전자상거래 발전과정 구분 주요내용 은행간 자금이체(EFT:Electronic Funds Transfer)출현 송금정보를 전자적으로 제공하는 전지지불의 가능성 제시 오늘날 다양한 EFT 수단(신용카드)출현의 시초 1970년대 EDI, E-mail 등 전자메시징 기술 출현 및 확산 종이에 의한 작업감소, 자동화 확산 - 결재(checks), 구매요구서, 운송문서(shipping document)등의 전자화 - 재고관리, 저장관리, 자금관리 업무의 전자적 처리 1970년대 후반 ~ 1980년대 초반 EC 관련 새로운 기술(On-line 서비스) 확산 사회적 상호 작용의 새로운 유형제공 (chat room, Internet Relay Chat, Newsgroup, File Transfer Protocol) 가상사회(Virtual Community)의 창출, Global Village 개념 태동 1980년대 중반
전자상거래 발전과정 및 전망(계속) ◈ 전자상거래 전망과 인프라 구축현황 – 재고, 유통 비용 등 시간적, 공간적 제약을 극복 구분 주요내용 1980년대 후반~ 1990년대 초반 전자메시징 기술의 Workflow 또는 Groupware 기술과 통합 (예: Lotus Notes) WWW의 출현으로 인터넷의 쉬운 사용법 제공 EC 활용의 보다 체계적인 수단과 보다 다양한 기업 활동 제공 범 세계시장에서 동등한 경쟁력 제공 1990년대 ◈ 전자상거래 전망과 인프라 구축현황 – 재고, 유통 비용 등 시간적, 공간적 제약을 극복 – 경제전반의 효율성과 경쟁력을 제고할 수 있다는 인식으로 전자상거래 시장의 급성장
<그림1-5> 전자상거래 기술 체계도 전자상거래 시스템 기술 체계도 <그림1-5> 전자상거래 기술 체계도 계층 분류 기술구조 특화된 시장 응용 서비스 광고,검색, 주문, 지불 E-Catalog, E-mail, EPS 디 렉 토 리 서 비 스 일반응용 서비스 BBS, E-Form, EDI 미들웨어 RDA, ORB 인증/보안 기반서비스 E-MAIL, FTP 통신서비스 X.400/435, SMTP/MIME 통신 네트워크 PSTN, PSDN, ISDN
전자상거래 표준현황 – 통신표준, 암호표준 ◈ 통신표준 – OSI(Open System Interconnection)프로토콜 : 국제표준기구(ISO)와 국제 전신전화자문위원회(CCITT)가 개방형 시스템간에 상호접속을 위해 마련한 표준 – TCP/IP (Transmission Control Protocol/Internet Protocol) : 컴퓨터와 데이터 통신장치를 컴퓨터 통신네트워크에 접속시키기 위하여 사용되는 데이터 통신 프로토콜 집합 ◈ 암호표준 – 대칭키 암호화 알고리즘 : 송신자와 수신자가 동일한 키를 공유하면서 이를 이용하여 암호화와 복호화를 하는 방식 – 공개키 암호화 알고리즘 : 비대칭형 암호 알고리즘으로 암호화키와 복호화키가 다른 암호 시스템
전자상거래 표준현황 - 인터넷 메시지 전송 표준 • SMTP(Simple Mail Transfer Protocol) : 전자우편 메시지를 보내기 위한 인터넷상의 표준 프로토콜을 말하며 어떻게 두 메일 시스템이 상호 동작하는지, 메일을 교환하기 위한 제어 메시지의 형태가 어떻게 되어 있는지를 규정함 • MIME(Multipurpose INTERNET Mail Extensions) : 단순한 텍스트 뿐만 아니라 그래픽, 오디오, 팩스등과 같은 데이터의 전송을 가능하게 해 주도록 하는 인터넷 메일로의 확장을 위한 인터넷상의 표준 프로토콜
전자상거래 표준현황 - 인터넷 보안 메시지 전송 표준 • S/MIME(Secure/Multipurpose Internet Mail Extensions) : 메시지에 첨부된 디지털 서명이나 키 인증서, 사용된 암호 알고리즘이나 관련정보 등을 MIME 형식에 추가하여 보안성을 강화 • PEM(Privacy Enhanced Mail) : 높은 보안성을 가지는 전자우편 보안 도구이나 구현이 복잡하여 널리 사용되지 않으며 집중식 키 인증방법사용 • PGP(Pretty Good Privacy) : 전자우편의 보안을 위하여 기밀성, 메시지 무결성, 사용자 인증, 송신부인봉쇄의 보안 기능을 가지며 구현이 쉬움
전자상거래 표준현황 – 인증 표준 • X.509 : 인터넷의 보급 확산과 더불어 중요한 기술로 부각되고 있으며 보안 분야에서 인증을 위한 인증서의 구조기능을 제공 • PKIX(Public Key Infrastructure(X.509)) : 전 세계에 흩어져 있는 사용자나 시스템을 위하여 공개키를 기반으로 하여 보안성을 유지하고자 하는 표준 및 각종 기반
전자상거래 표준현황 – 검색 표준 ◈ X.500 계열(디렉토리 서비스) : ISO와 ITU-T(전기통신표준화센터)에 의해 개발된 국제표준으로 다른 사용자의 주소 및 관련 정보에 대한 데이터베이스를 유지하여 검색 ◈ LDAP(Lightweight Directory Access Protocol) : TCP기반 위에서 직접 운영되며 X.500과 상호 연동 및 독자적용이 가능한 온라인 디렉토리 서비스 프로토콜
전자상거래 표준현황 – EDI 표준 ◈ EDIFACT(Electronic Data Interchange for Administration, Commerce and Transport) : 전자문서에 대한 국제표준으로서 정형화된 자료를 전자적으로 교환하기 위한 문서의 종류, 각 메시지의 항목별 구조와 메시지를 표현하는 코드의 형태 및 의미를 규정 ◈ ANSI X.12 : 최초의 EDI 표준 ◈ Open EDI : 국제 표준화 기구에서 이루어지고 있는 표준화 활동의 기본방향을 제시하고 현행 표준간에 존재하는 차이의 파악 및 차이를 좁히기 위한 권고안
전자상거래 표준현황 - 지불표준 ◈ SET(Secure Electronic Transaction) • 인터넷과 같은 오픈 네트워크상에서 지불카드의 처리를 안전하게 수행하기 위한 기술적인 명세서 • 암호화를 통하여 전송되는 지불 정보 및 구매정보의 기밀성 보장 • 디지털 서명을 이용한 전송데이터에 대한 무결성 보장 • 디지털 서명과 인증서를 이용한 소비자, 판매자 인증 및 전자거래에 필요한 기반사항 제공 • 비자카드와 마스터 카드가 공동 개발한 인터넷을 통한 신용카드 거래를 주목적으로 하는 전자상거래 시스템용 프로토콜
전자상거래 표준현황 – 지불표준 ◈ C-SET(Chip Secure Electronic Transaction) • 카드소지자,가상상점 가맹점, EMV/C-SET, 원격 지불관리자로 구성 ◈ EMV(Europay, Master, Visa) • Europay, Master, Visa 사가 1994년 11월 공동으로 개발한 범용 선불 전자화폐 IC카드나 단말기의 표준 • 오픈환경에서의 데이터구조, 보안, 통신 프로토콜등의 기술적 요소들에 대한 규격
전자상거래 프로세스 지원 기술 ◈ 전자상거래 프로세스 지원 기술 • 프로세스 지원기술은 전자상거래를 도입함에 있어서 기업과 고객, 기업과 기업간의 트랜잭션 처리를 지원하는 기술 • 전자지불 기술, 기능형 에이전트 기술, 머천트 시스템 등이 있음 ◈ 전자지불 기술 • 신용카드 시스템, 전자현금 시스템, 전자수표 시스템 등이 있음 • 개인정보의 불법적 노출, 금액의 불법적 변조, 고객 및 판매업자의 거래부인 등 • SET은 인터넷과 같은 개방형 네트워크에서 안전하게 상거래를 할 수 있도록 보장해 주는 프로토콜
<그림1-10> SET을 기반으로 한 전자상거래 1.거래요청 (신용카드정보전송) 6. 상품 및 영수증 상점 5.거래승인 카드사용자 2.거래카드 및 거래정보 7.정산요청 4. 거래승인 Acquiring Bank 3. 승인요청 8. 신용카드 대금 청구서
지능형 에이전트 기술 ◈ 지능형 에이전트 기술 •에이전트 : 어떤 집단에 도움이 되는 특정한 일을 대신해 주는 사람이나 객체 • 인터넷과 WWW의 등장으로 지능형 에이전트의 필요성이 증대 • 상태를 파악하기 위해 자료를 모으는 일, 일상적이고 반복적인 업무나 전문분야의 정보를 처리하는 일, 지식을 추출하는 일, 의사결정을 지원하는 일, 결정한 것을 수행하는 일등을 담당하는 기능 • 대표적인 것으로 Bargain Finder나 UNIK-AGENT등
머천트 시스템(Merchant System) • 상인들에게 인터넷상에서 쇼핑몰을 효과적으로 구축할 수 있도록 지원하며 인터넷을 통한 쇼핑을 원하는 쇼핑객에게는 편리하고 효율적으로 쇼핑할 수 있도록 지원하는 턴키(Turn Key) 솔루션 • 얻을 수 있는 이점 : 시장출하 시간의 단축, 새롭고 효율적인 분배 매체 및 더욱 광범위한 시장으로의 진출, 디스플레이 비용 절감, 상품 광고 디스플레이의 융통성 증대, 제품 검색 서비스, 24시간 휴일없이 운영, 재고부담 감소, 운영 인원 감소
머천트 시스템 구조 <그림1-12> 머천트 시스템 구조 Staging Server 상인 RDBMS 주문정보 제품 디스플레이 상인 주문정보 제품이송 (FIP, MAIL, TAPE) Merchant Server Transaction Server 결제정보 계산 및 영수증 S-HTTP 카드회사 카드결제 배달 Commerce Server(SSL) HTTP 쇼핑 S-HTTP 구매 후 계산 쇼핑고객
전자상거래 보안의 개요 ◈ 전자상거래 보안의 개념 • 전자상거래란 비즈니스 행위에 있어서 컴퓨터 네트워크와 같은 전자적인 매체, 특히 인터넷을 활용하는 방식으로 모든 단위 상거래 절차에 이용이 가능 • 거래 자료의 비밀 유지 취약 및 복제/삭제 될 수 있는 보안상의 위험으로부터 보호하기 위한 기밀성, 무결성, 부인봉쇄, 신원확인 등이 필요 • 보안이란 - 각종 정보 및 전산자원을 고의적, 실수에 의한 불법적인 노출, 변조, 파괴, 지체로부터 보호 - 정보의 변조등에 의한 잘못된 의사결정, 기업 이미지 손상 등을 미연에 방지 - 정보의 질을 높여 이익창출과 자산보호 경쟁력 우위확보
전자상거래 보안의 개요(계속) ◈ 전자상거래의 주요 이슈 • 조세 : 거래당사자의 신원확인의 곤란, 거래의 암호화, 조세 관할권 등으로 조세 개념이 적용되기 어려움 • 소비자 보호 : 비 대면성으로 인하여 사기/기만거래의 가능성이 높고, 모든 행위가 전자기록으로 남겨지는 등 개인 프라이버시 침해, 국경을 넘은 전자상거래의 경우 소비자 피해규제가 어려움 • 정보내용 규제: 음란/외설물의 정보유통, 정치적 이념과 사회적 문제 규제의 어려움 • 지적재산권 보호: 무단복제의 사용, 데이타베이스 보호, 저작권 문제 • 개인정보 보호: 소비자에 관한 신상정보 및 이용의 통제 • 보안: 상거래 정보의 불법 노출, 웹서버의 불법접근, 전자공간의 비밀성, 무결성, 가용성의 신뢰형성이 중요 • 전자서명 및 인증 : 신뢰확보와 거래 상대방의 신원확인, 의사표시의 진위여부를 확인하기 위한 전자서명 기술의 필요
전자상거래 보안의 개요 (계속) ◈ 전자상거래의 문제점 • Know Where – 인터넷 자료가 방대함 – 일관된 서비스 체계가 없어 검색이 어려움 • 규모의 경제 미비 – 판매자와 구입자의 미달로 인한 채산성 악화와 이로 인한 구입자의 무관심 계속 • 공신력 부재 – 결재 시 보안성의 문제가 해결되지 않음 – 반품 A/S 등에 대한 불안감으로 대중화가 지체됨
전자상거래 보안의 개요 (계속) ◈ 보안의 목표 • 정보의 비밀성 : 비인가자, 불법 사용자로부터 비밀자료의 누출 방지를 보장 • 정보의 무결성 : 자료의 변경, 삭제, 생성, 파괴등으로부터 보호하여 원상태 유지 • 정보의 가용성 : 적시적소에서 정보에 접근 가능하고 사용할 수 있는 상태 확보 • 서비스 기록성 : 서비스에 관한 log의 기록 및 감시 • 부인봉쇄 : 부인할 수 없는 증거의 확보
전자상거래 보안의 개요 (계속) ◈ 전자상거래 정보보호 기술의 분류 • 지불(결제:payment)보안기술 – 소비자, 상점, 금융기관 사이에서 발생하는 결제의 안전한 처리를 위한 기술 – 신용카드 전반과 전자화폐 기반으로 분류 • 인증기술 – 상거래 행위의 신뢰성 보장을 위하여 거래당사자간 신분확인이 필요 – 디지털서명 방식, 사람의 생체특성 방식 등의 기술개발 • 웹보안 기술 – 클라이언트-서버기술, 분산처리 기술, 실시간 데이터베이스 기술의 최종 단말로서 보안상의 문제점이 직접적인 영향을 미침
전자상거래 보안의 개요 (계속) • 개인정보 보호기술 – 개인정보의 누출 우려 • 상호연동성 및 보안성 평가 기술 – 표준화에 따른 구현과 상호 연동성 문제의 발생