SET( Secure Electronic Transaction )

SET는 인터넷을 이용한 전자상거래에서의 안전한 지급결제를 위하여 비자와 마스터카드사가 공동으로 개발한 신용/직불카드결제를 위한 보안 프로토콜입니다.

97년 3월 프로토콜이 발표된 이후 전세계적으로 SET Product을 개발한 회사는 손꼽을 만큼 프로토콜의 구현이 어렵고 내용이 방대하기 때문에 이를 개발하였다는 것은 정보보호 솔루션 개발능력 자체를 인정할 수 있는 것과 같습니다. 그러나 SET와 관련된 동향을 살펴보면, 그 정보보호 기술의 우수성과 체계성에도 불구하고, SET 구성요소간의 시스템적, 제도적 인프라의 구축이 미비하고 이를 적용하고자 하는 신용카드 회사들의 준비 부족, SET 1.0 Version의 일부기능 미지원 이유로 활성화되는 데에는 적지않은 노력이 필요할 것으로 판단됩니다. 즉, SSL 방식은 클라이언트와 서버간의 약정만 맞으면 개인정보의 제공 유무에 관계없이 거래를 개시할 수 있으나, SET방식은 계층별 CA, card Holder, Merchant, Payment GateWay, Issuer, Bank등 참여 주체간의 제도적 합의와 각종 기준이 마련되어야만 제 기능을 다할 수 있습니다. 그럼에도 불구하고, SET 프로토콜이 제시한 암호화 방법과 신원증명 기능은 SSL의 개념보다 분명히 강화된 정보보호 기술을 보장합니다.

- 기존 전자상거래가 전자상거래의 업무특성에 맞게 별도로 개발된 Application Level의 보안 프로토콜을 적용하지 않고, 단순 홍보자료 제공업무등을 포함한 인터넷을 이용하여 처리되는 모든 업무에 대해 공통적으로 적용되고 있는 즉, 상위 계층(Layer)의 업무특성 및 중요도에 관계없이 단순 인터넷 접속 및 전송시의 안정성을 위해 운영되고 있는 Transport Layer의 SSL 프로토콜만을 이용하여 전자상거래를 함으로써 인터넷 이용 업무중 상대적으로 안정성이 중요시되는 전자상거래 업무의 보안성이 취약한 상태입니다.

- 전자상거래를 위한 표준 전문프로토콜이 없이 각 쇼핑몰 운영을 원하는 기관 또는 전자상거래용 소프트웨어를 개발하는 개발사의 특성에 맞게 고객 인증 및 구매.결제 처리기능을 통합 개발하여 운영함으로써 전자상거래 이용 고객의 불편야기 및 전자상거래 비활성화를 초래할수도 있습니다.


1. SET 개념

SET은 인터넷을 이용한 전자상거래에서의 안전한 지급결제 수단을 제공하기 위하여 비자와 마스터카드사가 공동으로 개발한 신용/직불 카드결제용 전문 및 보안 프로토콜로써 전자상거래 판매업자, 고객, 지급정보 중계 기관간 상호인증, 거래정보의 기밀성 및 무결성을 최대한 보장하도록 설계되었고, 전자상거래 활성화를 위해 국제표준을 목표로 하고있습니다.


2. SET에서의 보안 서비스

SET에서는 개방된 네트워크에서 보안대책에 필수적인 다음과 같은 보안서비스를 제공합니다.

기밀성(Confidentiality) : 통신회선상의 비밀정보 암호화 기능
무결성(Integrity) : 통신회선상의 정보변질여부 확인 기능
인증(Authentication) : 통신 상대방의 정당성 확인 기능
부인봉쇄(Non-Repudiation) : 통신 상대방간 송·수신 사실부인 방지기능
한편 SET에서는 전자상거래 참여자간의 데이터 송수신에 필요한 보안사항만 규정하고 있는 관계로 부적격자에 의한 내부 시스템으로의 침입등을 방지하기 위한 시스템 보안 대책(방화벽 구축 등)은 해당기관에서 별도 수립 및 시행을 해야 합니다.


3. SET의 적용범위

SET은 전자상거래에 필요한 여러 처리절차중 카드를 이용한 지급결제처리절차에 한해 정의하고 있으므로 상품선택, 배송방법 등 지급결제 관련 이외의 처리절차와 현금, 수표 등 카드이외의 결제수단에 대해서는 별도의 정의가 필요합니다. 비자와 마스터사는 현금, 수표 등 카드 이외의 결제수단에 대한 처리절차를 정의하기 위한 Super-SET과 SET에 IC카드를 접목하기 위한 C-SET을 별도로 준비중입니다.


4. SET의 구성요소

 

고객(Cardholder) : 인터넷 쇼핑몰에서 물품 또는 서비스를 구매하는 자
판매자(Merchant) : 인터넷상에서 상품이나 서비스를 제공하는자
발급사(Issuer) : 고객의 카드발급 금융기관 혹은 결제카드 소지인의 계좌가 개설되어 있는 금융기관
매입사(Acquirer) : 판매자의 가맹점 승인 금융기관 혹은 판매자의 계좌가 개설되어 있는 금융기관
지급정보 중계기관(Payment Gateway) : 판매자가 요청한 고객의 지급정보로 해당 금융 기관에 승인 및 결제를 요청하는 기관
인증기관(Certification Authority) : 고객 및 판매자 등 각 참여기관이 인터넷 상에서 서로 신뢰하면서 거래할 수 있도록 각 참여기관에게 전자적인 인증서를 발급하는 기관



5. SET의 정보보호 프로토콜

- 기본적인 암호화 알고리즘

① 대칭키(비밀키) 암호화 알고리즘
원본글 :
http://www.dreamsecurity.com/knowledge/know01_read.asp?number=12&page=2