디지털화폐 전자결제 시스템을 보호하는 방법. 전자 화폐를 보호하는 주요 방법은 무엇입니까? 전자지불시스템에 대한 보안조치
전자 결제 시스템은 전자 화폐 작업에 가장 널리 사용되는 유형 중 하나입니다. 매년 그들은 통화 작업 시장에서 상당히 큰 점유율을 차지하면서 점점 더 적극적으로 발전하고 있습니다. 이들의 안전을 보장하는 기술도 함께 발전하고 있습니다. 오늘날에는 화폐 거래의 안전한 거래를 보장하는 우수한 기술과 보안 시스템 없이는 단일 전자 결제 시스템이 존재할 수 없기 때문입니다. 보안 기술뿐만 아니라 전자 결제 시스템 자체도 많이 있습니다. 각각은 서로 다른 작동 원리와 기술을 갖고 있을 뿐만 아니라 고유한 장점과 단점도 가지고 있습니다. 또한, 연구 주제의 관련성을 결정하는 많은 이론적, 실무적 문제가 해결되지 않은 상태로 남아 있습니다.
각 전자 결제 시스템은 자체 방법, 암호화 알고리즘, 데이터 전송 프로토콜을 사용하여 안전한 거래 및 데이터 전송을 수행합니다. 일부 시스템은 RSA 암호화 알고리즘과 HTTPs 전송 프로토콜을 사용하는 반면 다른 시스템은 DES 알고리즘과 SSL 프로토콜을 사용하여 암호화된 데이터를 전송합니다. 이 기사를 작성하는 목적은 널리 사용되는 여러 결제 시스템, 즉 여기에 사용되는 보안 기술을 연구하고 분석하여 어느 것이 가장 진보된 것인지 알아내는 것입니다.
기사를 작성하는 동안 결제 시스템에 대한 연구와 기존 결제 시스템의 보안 분석이 수행되었습니다. 동일한 기준에 따라 4가지 결제 시스템(Webmoney, Yandex.Money, RauPa1 및 E-Port)을 분석했습니다. 시스템은 중첩된 매개변수를 포함하는 다중 레벨 시스템을 사용하여 평가되었습니다. 물론 이 모든 기준은 해당 지역과 관련이 있습니다. 정보 보안. 결제 정보 보안을 위한 기술 지원과 조직 및 법적 지원이라는 두 가지 주요 기준이 있습니다. 이 두 매개변수 각각은 3점 시스템을 사용하여 평가되었습니다. 평가 척도는 바로 이것이다. 현재 우리나라 전자 결제 시스템의 개발 수준은 대부분의 매개변수를 "예 또는 아니요"라는 단어로만 설명할 수 있는 수준이기 때문입니다. 따라서 전자결제시스템이 어떤 매개변수와 가장 잘 일치하면 가장 높은 점수(3)를 부여받고, 전혀 반응하지 않는 경우에는 최소점(0)을 부여받는다. 시스템에 명시적인 형태로 이 기준이 없지만 누락된 서비스나 기능과 관련된 서비스나 기능이 있는 경우 중간 점수(1~2점)를 부여합니다.
전자 결제 시스템을 평가할 때 다른 조건에서는 동일한 매개변수의 값이 동일하지 않다는 점을 기억해야 합니다. 예를 들어, 보호 수준을 크게 높이는 여러 서비스는 사용자가 자발적으로만 구현할 수 있으며, 시스템에 이러한 서비스가 존재한다는 것 자체가 중요합니다. 인적요소는 취소되지 않았고 앞으로도 취소되지 않으므로 서비스가 구현되거나 구현되지 않을 수 있다는 점을 고려합니다.
거래보안 기술지원
이는 이름에서 알 수 있듯이 정보 보호의 기술적 측면을 제공하는 매개변수 세트인 첫 번째 기준입니다. 이 매개변수 앞에는 특수 암호화를 사용한 암호화, 인증 및 액세스의 암호화 방법이 포함됩니다. 하드웨어(가장 원시적인 경우 - USB 키 사용)
기술적인 측면에서 정보를 보호하기 위한 주요 기준은 물론 데이터 암호화, 더 구체적으로는 데이터가 구현되는 암호화 알고리즘이라는 것은 비밀이 아닙니다. 또한 키가 길수록 암호를 해독하고 그에 따라 기밀 정보에 액세스하는 것이 더 어려워지는 것으로 알려져 있습니다. 테스트된 시스템 중 3개는 잘 알려지고 널리 인정받는 RSA 알고리즘인 Webmoney, Yandex.Money, PayPal을 사용합니다. E-Port는 SSL 프로토콜 버전 3.0을 통한 암호화를 사용합니다. 실제로 암호화는 세션 중에 생성되는 고유한 SSL 키를 사용하여 구현되며 세션 키라고 합니다. E-Port 시스템의 SSL 키 길이는 40비트에서 128비트까지 다양하며 이는 허용 가능한 트랜잭션 보안 수준에 충분합니다.
거래 정보 보안 기술 지원의 다음 매개변수는 인증입니다. 사용자가 자신의 개인정보에 접근하는 데 필요한 솔루션 세트입니다. 여기에서는 모든 것이 간단합니다. Webmoney 및 Yandex.Money 시스템은 두 가지 액세스 기준을 사용하는 반면 PayPal 및 E-Port는 하나만 사용합니다. Webmoney에서 시스템에 접속하고 결제하려면 비밀번호와 특수 키를 입력해야 합니다. Yandex.Money도 비슷하게 작동합니다: 비밀번호와 특수 지갑 프로그램이 필요합니다. 다른 모든 시스템에서는 비밀번호를 통해 액세스가 제공됩니다. 그러나 E-Port 시스템에서 SSL 프로토콜을 사용하여 작업하려면 잠재 클라이언트(및 시스템의 다른 참가자)의 웹 서버에 승인된 회사 중 하나로부터 받은 특수 디지털 인증서가 있어야 합니다. 이 인증서는 클라이언트의 웹 서버를 인증하는 데 사용됩니다. E-Port에 사용되는 인증서 보안 메커니즘은 RSA Security의 인증을 받았습니다. 본 연구의 세 번째이자 마지막 기준은 USB 키와 같은 특수 하드웨어를 사용하여 시스템에 액세스하는 것입니다.
암호화 암호화 방법
Webmoney와 Yandex.Money는 길이가 1024비트인 키를 사용하며(매우 높은 지표이므로 간단한 무차별 대입 방법을 사용하여 이러한 키를 해독하는 것은 거의 불가능합니다), PayPal은 절반 길이인 512비트의 키를 사용합니다. , 처음 두 시스템의 경우 이 기준을 사용하여 최대 포인트인 3을 얻습니다. PayPal은 더 짧은 암호화 키를 사용하기 때문에 2포인트를 얻습니다. 이 매개변수로 E-Port를 평가하는 것만 남았습니다. SSL 프로토콜을 사용하고 최대 128비트의 키 길이에도 불구하고 E-Port에는 몇 가지 잠재적인 취약점이 있습니다. 많은 이전 버전의 브라우저는 더 짧은 키를 사용한 암호화를 지원합니다. , 수신된 데이터를 해킹할 가능성이 있습니다. 따라서 브라우저를 클라이언트로 사용하는 사람들을 위해 결제 시스템, 당신은 그것으로 작업해야 최신 버전(물론 이것이 항상 편리하거나 가능한 것은 아닙니다). 그러나 "암호화" 열에서 E-Port는 1.7점을 받을 수 있습니다. 시스템은 이메일 메시지 암호화에 프로그레시브 PGP 프로토콜을 사용한 덕분에 이 등급을 받았습니다.
입증
Webmoney 및 Yandex.Money 시스템은 두 가지 액세스 기준을 사용하는 반면 PayPal 및 E-Port는 하나만 사용합니다. Webmoney에서 시스템에 접속하고 결제하려면 비밀번호와 특수 키를 입력해야 합니다. Yandex.Money는 유사하게 작동합니다: 비밀번호와 특수 지갑 프로그램이 필요합니다.다른 모든 시스템에서는 비밀번호로 액세스가 제공됩니다. 그러나 E-Port 시스템에서는 SSL 프로토콜을 사용하여 작업하는 데 잠재 클라이언트의 웹 서버가 사용됩니다.
Webmoney와 Yandex.Money에 따르면 여기서 PayPal은 0포인트, E-Port는 1포인트 등 3포인트를 받습니다.
이전 매개변수보다 여기가 훨씬 더 쉽습니다. 모든 시스템 중에서 Webmoney PayPal에만 이러한 추가 옵션이 있으며 후자는 그러한 기회를 제공하지 않습니다. 따라서 가중치 계수를 고려하면 Webmoney와 PayPal은 이 매개변수에 대해 1.5점을 받았고 다른 모든 항목은 0점을 받았습니다.
두 가지 기준을 평가한 후 요약할 수 있습니다. 고려된 매개변수의 합을 바탕으로 Webmoney는 안전한 것으로 나타났습니다. 실제로 사용자가 제공되는 모든 보안 서비스를 사용하면 사기꾼으로부터 사실상 무적 상태를 유지할 수 있습니다. 2위는 Yandex.Money 시스템이 차지했고, 3위는 PayPal이 차지했으며(이 시스템은 결제의 법적 투명성이 매우 높아 법인에 이상적임) E-Port 시스템이 마지막 자리를 차지했습니다.
또한 결제 시스템 분석을 요약하면 전자 결제 시스템의 선택은 가장 중요한 보안 매개변수 중 하나라도 그에 따라 수행되지 않는다고 말할 수 있습니다. 전자 결제 시스템은 서비스 가용성, 사용 용이성 측면에서도 다릅니다. 다른 많은 요소가 있습니다.
결론
전자 결제는 통신 개발의 자연스러운 단계입니다. 본격적인 제품(즉시 결제, 즉시 배송)이 온라인 결제 속성과 "겹쳐지는" 디지털 제품인 틈새 시장에서 수요가 높습니다. , 단순함과 브랜드 없음.
인터넷 결제 시스템인터넷을 통해 상품이나 서비스를 구매/판매하는 과정에서 금융기관, 기업기관, 인터넷 사용자 간의 결제를 수행하는 시스템입니다. 주문 처리 서비스나 전자 매장을 모든 표준 속성을 갖춘 본격적인 매장으로 전환할 수 있는 결제 시스템입니다. 즉, 판매자의 웹사이트에서 제품이나 서비스를 선택하면 구매자가 매장을 떠나지 않고도 결제할 수 있습니다. 컴퓨터.
전자상거래 시스템에서는 다음과 같은 여러 조건에 따라 결제가 이루어집니다.
1. 기밀 유지. 인터넷을 통해 결제할 때 구매자는 자신의 데이터(예: 신용카드 번호)가 법적 권리가 있는 조직에만 공개되기를 원합니다.
2. 정보의 무결성을 유지합니다. 구매정보는 누구도 변경할 수 없습니다.
3. 인증. 구매자와 판매자는 거래에 관련된 모든 당사자가 본인임을 확신해야 합니다.
4. 지급수단 구매자가 사용할 수 있는 모든 결제 수단을 사용하여 결제할 수 있습니다.
6. 판매자의 위험 보장. 인터넷에서 거래할 때 판매자는 제품 거부 및 구매자의 부정직과 관련된 많은 위험에 노출됩니다. 위험의 규모는 결제 시스템 제공업체 및 거래 체인에 포함된 기타 조직과 특별 계약을 통해 합의해야 합니다.
7. 거래 수수료를 최소화합니다. 상품 주문 및 결제에 따른 거래 처리 수수료는 당연히 상품 가격에 포함되기 때문에 거래 가격을 낮추면 경쟁력이 높아진다. 구매자가 상품을 거부하더라도 어떤 경우에도 거래 대금을 지불해야 한다는 점에 유의하는 것이 중요합니다.
이러한 모든 조건은 본질적으로 기존 결제 시스템의 전자 버전인 인터넷 결제 시스템에서 구현되어야 합니다.
따라서 모든 결제 시스템은 다음과 같이 나뉩니다.
직불(전자 수표 및 디지털 현금 사용)
신용(신용카드 사용).
직불 시스템
직불 결제 방식은 오프라인 프로토타입인 수표와 일반 화폐와 유사하게 구축되었습니다. 이 계획에는 발행자와 사용자라는 두 개의 독립적인 당사자가 포함됩니다. 발행자는 결제 시스템을 관리하는 주체로 이해됩니다. 지불을 나타내는 일부 전자 단위(예: 은행 계좌의 돈)를 발행합니다. 시스템 사용자는 두 가지 주요 기능을 수행합니다. 그들은 발행된 전자 단위를 사용하여 인터넷에서 결제를 하고 수락합니다.
전자 수표는 일반 종이 수표와 유사합니다. 이는 자신의 계좌에서 수취인의 계좌로 돈을 이체하라는 지급인의 은행 지시입니다. 해당 작업은 수표 수령인이 은행에 제시하면 발생합니다. 여기에는 두 가지 주요 차이점이 있습니다. 첫째, 종이 수표를 작성할 때 지불인은 실제 서명을 입력하고 온라인 버전에서는 전자 서명을 입력합니다. 둘째, 수표 자체가 전자적으로 발행됩니다.
결제는 여러 단계로 이루어집니다.
1. 지급인은 전자수표를 발행하고 전자서명으로 서명한 후 수취인에게 전달합니다. 더 큰 신뢰성과 보안을 보장하기 위해 당좌 예금 계좌 번호는 은행의 공개 키로 암호화될 수 있습니다.
2. 결제 시스템에 결제하기 위해 수표가 제시됩니다. 다음으로 (여기 또는 수취인에게 서비스를 제공하는 은행에서) 수표가 이루어집니다. 전자 서명.
3. 정품임이 확인된 경우 재화 등의 배송 또는 서비스의 제공이 이루어집니다. 돈은 지불인의 계좌에서 수취인의 계좌로 이체됩니다.
불행히도 지불 방식의 단순성(그림 43)은 수표 방식이 아직 널리 보급되지 않았고 전자 서명 구현을 위한 인증 센터가 없다는 사실로 인해 구현의 어려움으로 인해 상쇄됩니다.
전자 디지털 서명(EDS)은 공개 키 암호화 시스템을 사용합니다. 그러면 서명을 위한 개인 키와 확인을 위한 공개 키가 생성됩니다. 개인 키는 사용자가 저장하고, 공개 키는 누구나 접근할 수 있습니다. 공개 키를 배포하는 가장 편리한 방법은 인증 기관을 이용하는 것입니다. 공개 키와 소유자 정보가 포함된 디지털 인증서가 여기에 저장됩니다. 이는 사용자가 자신의 공개 키를 직접 배포할 의무로부터 해방됩니다. 또한 인증 기관에서는 누구도 다른 사람을 대신하여 키를 생성할 수 없도록 인증 기능을 제공합니다.
전자 화폐는 실제 화폐를 완벽하게 시뮬레이션합니다. 동시에 발행 기관인 발행자는 서로 다른 시스템(예: 쿠폰)에서 다르게 호출되는 전자 아날로그를 발행합니다. 다음으로, 사용자는 이를 구매하여 구매 대금을 지불하고, 판매자는 이를 발행자로부터 상환합니다. 발행 시 각 화폐 단위는 전자 도장으로 인증되며, 이는 상환 전 발행 기관에서 확인됩니다.
실물 화폐의 특징 중 하나는 익명성입니다. 즉, 누가 언제 사용했는지 알 수 없습니다. 비유하자면 일부 시스템에서는 구매자와 돈 사이의 연결을 확인할 수 없는 방식으로 구매자가 전자 현금을 받을 수 있도록 허용합니다. 이는 블라인드 서명 체계를 사용하여 수행됩니다.
또한 사용할 때 주목할 가치가 있습니다. 전자화폐이 시스템은 사용 전 화폐가 유통되는 방식을 기반으로 하기 때문에 인증이 필요하지 않습니다.
그림 44는 전자화폐를 이용한 결제 방식을 보여준다.
결제 메커니즘은 다음과 같습니다.
1. 구매자는 사전에 실물화폐를 전자화폐로 교환합니다. 고객과 함께 현금을 저장하는 방법은 두 가지 방법으로 수행될 수 있으며 이는 사용된 시스템에 따라 결정됩니다.
컴퓨터의 하드 드라이브
스마트 카드에서.
다양한 시스템은 다양한 교환 방식을 제공합니다. 일부 개설 특별 계좌는 전자 청구서와 교환하여 구매자 계좌의 자금이 이체됩니다. 일부 은행에서는 전자현금을 자체적으로 발행할 수도 있습니다. 동시에, 이는 고객의 요청이 있을 때만 발행되며, 이후 이 고객의 컴퓨터나 카드로 전송되고 그의 계좌에서 현금 등가물이 인출됩니다. 블라인드 서명을 구현할 때 구매자는 전자 청구서를 직접 작성하여 은행으로 보내고 실제 돈이 계좌에 도착하면 인감으로 인증되어 고객에게 다시 전송됩니다.
이러한 보관의 편리성과 함께 단점도 있습니다. 디스크나 스마트 카드가 손상되면 되돌릴 수 없는 전자화폐 손실이 발생합니다.
2. 구매자는 구매에 필요한 전자화폐를 판매자의 서버로 전송합니다.
3. 돈은 발행자에게 제시되며, 발행자는 그 진위 여부를 확인합니다.
4. 전자청구서가 정품인 경우, 구매금액만큼 판매자의 계좌가 증가되어 구매자에게 상품이 배송되거나 서비스가 제공됩니다.
전자 화폐의 중요한 특징 중 하나는 소액 결제 기능입니다. 이는 지폐의 액면가가 실제 동전(예: 코펙 37개)과 일치하지 않을 수 있기 때문입니다.
은행과 비은행 기관 모두 전자 현금을 발행할 수 있습니다. 다만, 아직 개발이 완료되지 않았음 하나의 시스템다양한 종류의 전자 화폐를 변환합니다. 따라서 발행자 본인만이 발행한 전자화폐를 상환할 수 있습니다. 또한, 비금융 구조에서 나온 자금의 사용은 국가에서 보장하지 않습니다. 그러나 낮은 거래 비용으로 인해 전자 현금은 온라인 결제를 위한 매력적인 도구가 됩니다.
신용 시스템
인터넷 신용 시스템은 신용 카드를 사용하는 기존 시스템과 유사합니다. 차이점은 모든 거래가 인터넷을 통해 이루어지기 때문에 추가적인 보안 및 인증 조치가 필요하다는 점입니다.
신용카드를 사용하여 인터넷을 통해 결제하는 경우에는 다음 사항이 포함됩니다.
1. 구매자. 웹 브라우저와 인터넷 접속이 가능한 컴퓨터를 갖춘 클라이언트.
2. 발행은행. 구매자의 은행 계좌는 여기에 있습니다. 카드 발급 은행은 카드를 발급하며 고객의 재정적 의무를 보증합니다.
3. 판매자. 판매자는 상품 및 서비스 카탈로그를 유지 관리하고 고객 구매 주문을 수락하는 전자 상거래 서버로 이해됩니다.
4. 은행 인수. 판매자에게 서비스를 제공하는 은행. 각 판매자는 당좌 계좌를 보관하는 단일 은행을 가지고 있습니다.
5. 인터넷 결제 시스템. 다른 참가자 간의 중개자 역할을 하는 전자 부품입니다.
6. 전통적인 결제 시스템. 이러한 유형의 카드 서비스를 위한 일련의 재정적, 기술적 수단입니다. 결제 시스템이 해결하는 주요 업무 중에는 상품 및 서비스에 대한 결제 수단으로 카드 사용을 보장하고, 은행 서비스를 이용하고, 상호 상쇄 등을 수행하는 것 등이 있습니다. 결제시스템의 참여자는 신용카드를 사용하여 통합된 개인과 법인입니다.
7. 결제 시스템 처리 센터. 전통적인 결제 시스템의 참가자들 사이에 정보 및 기술 상호 작용을 제공하는 조직입니다.
8. 결제시스템의 결제은행 처리센터를 대신하여 결제시스템 참여자 간 상호결제를 수행하는 신용기관입니다.
이러한 시스템의 일반적인 지불 방식은 그림 45에 나와 있습니다.
1. 전자상가의 구매자는 장바구니를 생성하고 결제수단인 '신용카드'를 선택합니다.
즉, 매장을 통해 카드 매개변수를 매장 웹사이트에 직접 입력한 후 인터넷 결제 시스템(2a)으로 전송합니다.
결제 시스템 서버(2b)에서.
두 번째 방법의 장점은 분명합니다. 이 경우 카드에 대한 정보가 매장에 남지 않으므로 제3자로부터 카드를 받거나 판매자가 속일 위험이 줄어듭니다. 두 경우 모두 신용카드 정보를 전송할 때 네트워크 공격자가 이를 가로챌 가능성이 여전히 존재합니다. 이를 방지하기 위해 전송 중에 데이터가 암호화됩니다.
암호화는 당연히 네트워크상의 데이터 가로채기 가능성을 줄여주므로 구매자/판매자, 판매자/인터넷 결제 시스템, 구매자/인터넷 결제 시스템 간에 보안 프로토콜을 사용하여 통신을 수행하는 것이 좋습니다. 오늘날 가장 일반적인 것은 SSL(Secure Sockets Layer) 프로토콜과 SET(Secure Electronic Transaction) 표준으로, 인터넷에서 신용 카드 구매에 대한 결제와 관련된 거래를 처리할 때 결국 SSL을 대체하도록 설계되었습니다.
3. 인터넷 결제 시스템은 기존 결제 시스템에 승인 요청을 전송합니다.
4. 다음 단계는 발행 은행이 온라인 계좌 데이터베이스를 유지 관리하는지 여부에 따라 달라집니다. 데이터베이스가 있는 경우 처리 센터는 발급 은행에 카드 승인 요청(소개 또는 사전 참조)을 보내고(4a) 그런 다음(4b) 결과를 받습니다. 그러한 데이터베이스가 없는 경우 처리 센터 자체는 카드 소지자의 계정 상태에 대한 정보를 저장하고 중지 목록을 작성하며 승인 요청을 이행합니다. 이 정보는 발행 은행에 의해 정기적으로 업데이트됩니다.
상점이 서비스를 제공하거나 상품을 배송하는 경우(8a)
처리센터는 완료된 거래에 대한 정보를 결제은행(8b)으로 전송한다. 발행 은행에 있는 구매자 계좌의 돈은 결제 은행을 통해 매입 은행에 있는 상점 계좌로 이체됩니다.
대부분의 경우 그러한 지불을 하려면 특별 소프트웨어. 이는 구매자(전자 지갑이라고 함), 판매자 및 서비스 은행에 제공될 수 있습니다.
소개
1. 전자결제시스템 및 그 분류
1.1 기본 개념
1.2 전자결제시스템의 분류
1.3 러시아에서 사용되는 주요 전자지불시스템 분석
2. 전자결제시스템에 대한 보안조치
2.1 전자 결제 시스템 사용과 관련된 위협
2.2 전자결제시스템 보호 기술
2.3 컴플라이언스 기술 분석 기본 요구 사항전자 결제 시스템에
결론
서지
소개
10년 전에는 소수의 사람들에게 별로 관심을 끌지 못했던 고도로 전문화된 전자 결제 및 전자화폐 주제가 최근 기업인뿐만 아니라 최종 사용자에게도 관련성이 높아졌습니다. 아마도 가끔 컴퓨터나 대중 언론을 읽는 두 번째 사람은 모두 "e-비즈니스"와 "전자상거래"라는 유행어를 알고 있을 것입니다. 원격 결제(장거리 송금) 업무가 특수 업무에서 일상 업무로 옮겨졌습니다. 그러나이 문제에 대한 풍부한 정보는 시민의 마음을 명확하게 만드는 데 전혀 기여하지 않습니다. 전자 결제 문제의 복잡성과 개념적 개발 부족으로 인해, 그리고 많은 대중화가 종종 전화 고장의 원리를 일상적인 수준에서 작업한다는 사실로 인해 모든 것이 모든 사람에게 분명합니다. 그러나 이는 전자지불이 실질적으로 발전하기 전까지의 일이다. 이는 특정 경우에 전자 결제 사용이 얼마나 적절한지에 대한 이해가 부족한 부분입니다.
한편, 인터넷을 이용한 상거래를 하려는 사람은 물론, 인터넷을 통한 구매를 하려는 사람에게도 전자지불을 수용하는 업무가 점점 더 중요해지고 있다. 이 기사는 두 가지 모두를 대상으로 합니다.
초보자를 위한 전자 결제 시스템을 고려할 때 가장 큰 문제는 설계 및 운영 원칙의 다양성과 구현의 외부 유사성에도 불구하고 상당히 다른 기술 및 재정적 메커니즘이 깊이에 숨겨질 수 있다는 사실입니다.
글로벌 인터넷의 인기가 급속도로 발전하면서 세계 경제의 다양한 영역에서 새로운 접근 방식과 솔루션을 개발하는 강력한 원동력이 되었습니다. 은행의 전자결제 시스템과 같은 보수적인 시스템도 새로운 트렌드에 굴복하고 있습니다. 이는 새로운 결제 시스템의 출현 및 개발에 반영되었습니다. 인터넷을 통한 전자 결제 시스템의 주요 장점은 고객이 결제 주문을 물리적으로 운송하는 힘들고 때로는 기술적으로 어려운 단계를 우회하여 결제(금융 거래)를 할 수 있다는 것입니다. 은행으로. 은행과 금융 기관도 고객 서비스 속도를 높이고 결제에 드는 간접비를 줄일 수 있기 때문에 이러한 시스템 구현에 관심이 있습니다.
전자 결제 시스템은 기밀 정보를 포함한 정보를 유통시키므로 허위 정보의 열람, 수정, 부과로부터 보호해야 합니다. 적절한 인터넷 중심 보안 기술을 개발하는 것은 현재 주요 과제입니다. 그 이유는 아키텍처, 핵심 자원 및 기술이 인터넷 네트워크액세스 또는 수집을 구성하는 데 중점을 둡니다. 정보 공개. 그러나 최근에는 인터넷을 통한 정보의 안전한 전송을 위한 시스템 구축에 표준 인터넷 기술을 사용할 가능성을 나타내는 접근 방식과 솔루션이 등장했습니다.
RGR의 목적은 전자 결제 시스템을 분석하고 각 시스템의 사용에 대한 권장 사항을 개발하는 것입니다. 목표에 따라 RGR 수행의 다음 단계가 공식화됩니다.
1. 전자 결제 시스템의 주요 업무와 기능 원리, 특징을 결정합니다.
2. 주요 전자결제시스템을 분석합니다.
3. 전자화폐 이용과 관련된 위협을 분석합니다.
4. 전자결제시스템 이용 시 보안조치를 분석합니다.
1. 전자결제시스템 및 그 분류
1.1 기본 개념
전자결제. 20세기 후반에 비현금 결제의 한 유형으로 전자 결제가 등장했다는 것이 타당하다는 사실부터 시작하겠습니다. 즉, 유선 결제에 대한 정보 전송은 오랫동안 존재해 왔지만 컴퓨터가 유선 양쪽 끝에 등장하면서 근본적으로 새로운 품질을 획득했습니다. 정보는 당시 등장한 텔렉스, 텔레타이프, 컴퓨터 네트워크를 이용해 전송됐다. 결제 속도가 크게 향상되고 자동 처리 가능성이 높아졌다는 점에서 질적으로 새로운 도약이 표현되었습니다.
그 후, 현금 결제 및 기타 결제 수단(예: 수표)과 같은 다른 유형의 결제와 동등한 전자적 수단도 등장했습니다.
전자결제시스템(EPS). 우리는 전자 결제 시스템을 특정 하드웨어의 복합체라고 부릅니다. 소프트웨어, 전자 결제가 가능합니다.
존재하다 다양한 방법 EPS에 액세스하기 위한 통신 채널. 오늘날 이러한 채널 중 가장 일반적인 것은 인터넷입니다. EPS의 확산이 증가하고 있으며 액세스는 다음을 사용하여 수행됩니다. 휴대전화(SMS, WAP 및 기타 프로토콜을 통해) 모뎀, 터치톤 전화, 교환원을 통한 전화 등 다른 방법은 덜 일반적입니다.
전자화폐. 모호한 용어. 그 이면에 무엇이 있는지 잘 생각해 보면 전자 화폐는 전자 결제 시스템뿐만 아니라 "전자 현금"에 대한 잘못된 이름이라는 것을 쉽게 이해할 수 있습니다.
용어에 대한 이러한 오해는 영어에서 용어를 자유롭게 번역할 수 있기 때문에 발생합니다. 러시아의 전자 결제는 유럽과 미국보다 훨씬 느리게 발전했기 때문에 우리는 확고하게 확립된 용어를 사용해야 했습니다. 물론, “디지털 현금”(e-cash), “디지털 화폐”, “전자 현금”(디지털 현금)2과 같은 전자 화폐의 명칭은 생명권을 갖습니다.
일반적으로 '전자화폐'라는 용어는 구체적인 의미를 갖지 않으므로 앞으로는 사용을 자제하도록 하겠습니다.
전자현금:
이것은 지난 세기 90년대에 등장한 기술로, 은행이나 기타 금융 기관의 계좌 간 자금 이체, 즉 최종 참가자 인 개인 간의 직접적인 자금 이체와 직접적으로 연결되지 않는 전자 결제를 허용합니다. 지불에서. 전자 현금의 또 다른 중요한 속성은 결제의 익명성입니다. 결제를 인증하는 승인 센터에는 구체적으로 누가, 누구에게 돈을 이체했는지에 대한 정보가 없습니다.
전자현금은 전자결제의 종류 중 하나입니다. 전자 현금 단위는 발행자(은행 또는 기타 금융 기관)의 재정적 의무에 지나지 않으며 기본적으로 일반 환어음과 유사합니다. 전자화폐를 이용한 결제는 다른 결제시스템을 이용하기 불편한 곳에서 나타난다. 분명한 예는 구매자가 인터넷에서 상품 대금을 지불할 때 자신의 신용 카드 정보 제공을 꺼리는 것입니다.
용어를 결정한 후 대화의 다음 단계로 넘어갈 수 있습니다. EPS 분류에 대해 이야기하겠습니다. EPS는 전자지불을 중재하므로 EPS의 분할은 이러한 지불의 다양한 유형을 기반으로 합니다.
또한 EPS 메커니즘의 기반이 되는 소프트웨어 및/또는 하드웨어 기술은 이 문제에서 매우 중요한 역할을 합니다.
1.2 전자결제시스템의 분류
전자지불시스템은 전자지불의 세부사항과 전자지불시스템의 기반이 되는 특정 기술을 기반으로 분류될 수 있습니다.
전자결제 유형에 따른 EPS 분류:
1. 결제 참여자 구성에 따른다(표 1).
1 번 테이블
| 전자결제의 종류 | 지불 당사자 | 전통적인 현금 결제 시스템의 아날로그 | EPS 예시 |
| 은행간 결제 | 금융기관 | 유사하지 않음 | |
| B2B 결제 | 법인 | 조직간 현금 없는 결제 | |
| C2B 결제 | 상품 및 서비스의 최종 소비자와 법인 - 판매자 | 구매자가 판매자에게 현금 및 비현금 지급 | 신용 파일럿 |
| C2C 결제 | 개인 | 개인간 직접현금지급, 우편 및 전신환 |
우리는 "은행 간" 유형의 전자 지불을 제공하도록 설계된 전자 지불 시스템을 더 이상 고려하지 않을 것입니다. 이러한 시스템은 매우 복잡하며 은행 시스템 기능의 기술적 측면에 더 큰 영향을 미치며 광범위한 독자들에게는 관심이 없을 가능성이 높습니다.
또한 논리적으로 표 1에 맞지 않는 또 다른 유형의 지불이 있다는 점에 유의해야 합니다. 공식적인 기준에 따르면 이는 완전히 C2B 영역에 속하지만 그럼에도 불구하고 이 유형의 광범위한 EPS를 통해 제공될 수는 없습니다. 소액 결제는 상품 비용이 매우 작은(센트 또는 1센트 미만) 것이 특징입니다. 무엇보다도 가장 특징적인 것은 인기 기사소액 결제를 구현하는 시스템의 예로는 농담 판매(개당 센트)가 있습니다. Eaccess 및 Phonepay와 같은 시스템은 소액 결제에 적합합니다.
2. 수행된 작업 유형별(표 2)
표 2
| 전자결제의 종류 | 어디에 사용되나요? | EPS 예시 |
| 은행 계좌 관리 업무 | 모뎀, 인터넷, 휴대폰 등을 통해 액세스할 수 있는 "클라이언트 은행" 시스템 | 클라이언트 시스템의 은행 계좌 관리 작업 |
| 은행 계좌를 개설하지 않고 송금 작업 | 송금 시스템 컴퓨터 네트워크, 우편 및 전신환과 유사 | |
| 카드 은행 계좌와의 거래 | 직불 및 신용 플라스틱 카드 | 사이버플랫(Cyberpos) |
| 전자 수표 및 기타 비현금 지급 의무가 있는 거래 | 폐쇄형 기업간 결제 시스템 | Cyberplat(사이버체크) |
| 전자(준)현금에 의한 거래 | 물리적 계산 사람, 상품 대금 지불을 위한 금전 대용으로 사용되는 토큰 및 선불 카드의 전자 유사물 |
"클라이언트-은행" 유형의 시스템은 꽤 오랫동안 알려져 왔습니다. 모뎀을 사용하여 은행 계좌에 액세스할 수 있습니다. 지난 10년 동안 사용자 친화적인 웹 인터페이스를 통해 인터넷을 사용하여 계정을 관리할 수 있는 새로운 기회가 나타났습니다. 이 서비스는 "인터넷 뱅킹"이라고 불리며 "클라이언트-은행" 유형의 결제 시스템에 근본적으로 새로운 것을 도입하지 않았습니다. 또한 휴대폰을 사용하여 은행 계좌에 액세스하는 다른 옵션도 있습니다(WAP 뱅킹, SMS 뱅킹). 이와 관련하여 이 기사에서는 이러한 종류의 EPS에 대해 구체적으로 다루지 않을 것이며 현재 러시아에서는 약 100개의 상업 은행이 10개 이상의 다양한 EPS를 사용하여 인터넷 뱅킹 서비스를 제공한다는 점만 언급할 것입니다.
사용된 기술에 따른 EPS 분류:
EPS의 가장 중요한 특성 중 하나는 강도에 대한 저항력입니다. 이것은 아마도 그러한 시스템의 가장 많이 논의되는 특징일 것입니다. 표 3에서 볼 수 있듯이 시스템 보안 문제를 해결할 때 전자 보안 시스템을 구축하는 대부분의 접근 방식은 중요한 정보가 포함된 특정 중앙 데이터베이스의 비밀성을 기반으로 합니다. 동시에 그들 중 일부는 여기에 추가됩니다. 비밀 기지이러한 추가 보호 수준은 하드웨어의 내구성을 기반으로 합니다.
원칙적으로 EPS를 구축할 수 있는 기반이 되는 다른 기술이 있습니다. 예를 들어, 얼마 전 플라스틱 카드에 내장된 CDR 디스크 기반의 EPS 개발에 대한 언론 보도가 있었습니다. 하지만 유사한 시스템세계 실무에서 널리 사용되지 않으므로 우리는 이에 초점을 맞추지 않을 것입니다.
표 3
| 기술 | 시스템의 안정성은 무엇을 기반으로 합니까? | EPS 예시 |
| 중앙 서버를 갖춘 시스템 클라이언트 은행, 자금 이체 | 액세스 키의 비밀 | 텔레뱅크(구타뱅크), "인터넷 서비스 은행"(Avtobank) |
| 스마트 카드 | 해킹에 대한 스마트 카드의 하드웨어 저항 | 몬덱스, 어코드 |
| 자기카드 및 가상 신용카드 | 어시스트, 엘리트 |
|
| 스크래치 카드 | 스크래치 카드 번호 및 코드를 사용한 데이터베이스의 비밀 유지 | E-포트, Creditpilot, Webmoney, Paycash, Rapira |
| 사용자의 컴퓨터에 있는 프로그램 형태의 파일/지갑 | 정보 교환 프로토콜의 암호화 강도 | |
| 유료전화 | 핀코드를 통한 중앙데이터베이스의 비밀유지 및 스마트폰망의 하드웨어 안정성 | Eaccess, 폰페이 |
1.3 러시아에서 사용되는 주요 전자지불시스템 분석
현재 러시아 인터넷에서는 꽤 많은 전자 결제 시스템이 사용되고 있지만 모두 널리 사용되는 것은 아닙니다. RuNet에서 사용되는 거의 모든 서양 결제 시스템이 신용 카드와 연결되어 있는 것이 특징입니다. 예를 들어 PayPal과 같은 일부 회사는 공식적으로 러시아 고객과의 협력을 거부합니다. 오늘날 가장 널리 사용되는 시스템은 다음과 같습니다.
CyberPlat은 혼합 유형 시스템을 의미합니다(위 분류의 관점에서). 실제로 이 시스템 내에서는 3개의 개별 시스템이 한 지붕 아래 수집된다고 말할 수 있습니다. 고전적인 "클라이언트-은행" 시스템은 시스템에 참여하는 은행(11개 러시아 은행, 1개 라트비아 은행)에 개설된 계좌를 고객이 관리할 수 있게 해줍니다. ; 시스템에 연결된 법인 간에 안전한 결제를 가능하게 하는 CyberCheck 시스템 인터넷 획득 시스템, 즉 신용 카드에서 허용되는 결제 처리-CyberPos. 러시아 시장에서 사용할 수 있는 모든 인터넷 획득 시스템 중에서 CyberPlat은 Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card 등 가장 많은 종류의 신용 카드 처리 기능을 제공합니다. STB 카드 시스템 및 ACCORD 카드/Bashcard. 비공식적으로 회사 직원들은 다른 러시아 카드 시스템과의 인터페이스 가능성을 모색하고 있다고 주장했습니다. 상기 외에도 CyberPlat 회사는 E-port 결제 시스템의 스크래치 카드 처리를 제공하고 곧 Paycash 시스템을 갖춘 게이트웨이 시운전을 발표했습니다.
현재 도난당한 신용 카드로 인한 결제에 대한 보호 수준을 높이기 위해 회사는 판매자가 구매자가 신용 카드와 연결된 은행 계좌에 실제로 액세스할 수 있는지 또는 세부 정보만 알고 있는지 확인할 수 있는 전문 PalPay 기술을 개발하고 있습니다. 이 기술의 도입은 아직 공식적으로 발표되지 않았습니다.
CyberCheck 시스템은 기업 파트너와 작업을 구성하는 데 큰 관심을 갖고 있습니다. 신용카드 결제와 비교하여 주요 특징은 결제자가 사후 결제를 거부할 수 없다는 것입니다. 즉, CyberCheck에서 결제 확인을 받는 것은 판매자의 계좌가 위치한 은행에서 결제 확인을 받는 것만큼 신뢰할 수 있습니다. 이러한 모든 특성으로 인해 CyberPlat은 아마도 러시아 인터넷의 EPS 판매자에게 가장 발전되고 흥미로운 곳일 것입니다.
신용카드 결제 처리 측면에서 지원 시스템은 여러 면에서 CyberPlat과 기능적으로 유사합니다. 모스크바에서는 Alfa Bank가 그 이익을 대표합니다. 총 5개의 뱅크가 시스템에 연결되어 있습니다. 인터넷 획득 하위 시스템을 사용하면 Visa, Mastercard/Eurocard, STB 카드 결제를 받을 수 있습니다. 9월 현재 Assist 시스템 서버에 선언된 다른 카드 시스템의 결제는 실제로 허용되지 않습니다. 그러나 비공식 정보에 따르면 가까운 시일 내에 Diners Club 카드, Cirrus Maestro 및 Visa Electron 직불 카드를 사용할 수 있을 것이라고 합니다. 흥미롭게도 이러한 유형의 카드는 일반적으로 인수 회사에서 허용되지 않지만 비용이 저렴하기 때문에 이러한 카드는 매우 일반적입니다. 일반적으로 직불카드 승인을 거부하는 이유는 보안 문제 때문입니다. 아마도 ASSIST는 얼마 전 회사에서 지원을 발표한 SET 프로토콜을 사용하여 이 문제를 해결할 수 있을 것입니다. 카드 소유자가 지불 거절(지불 거절)을 허용하는 인터넷상의 플라스틱 카드로 지불하는 기존 방법과 달리 SET 프로토콜은 거래의 신뢰성을 보장하여 판매자의 위험을 크게 줄입니다.
Assist 웹사이트에 발표된 인터넷 공급자로부터 구매한 전자 인증서를 사용한 결제 방법은 공급자에게 새로운 사업 영역을 열어준다는 점에서 매우 흥미롭습니다. 그러나 이용 가능한 정보에 따르면 법적 어려움으로 인해 최근까지 결제가 불가능했습니다. 실제로 누구나 사용합니다. 그러나 비공식 정보에 따르면 이러한 상황은 곧 바뀔 것입니다. 이미 2001년 가을에 우리는 이 계산 방법의 첫 번째 실제 구현을 볼 수 있습니다.
설명에 언급된 CyberPlat 및 Assist 카드 시스템 외에도 시장에서 어느 정도 인기를 얻은 다른 시스템이 있습니다. Discover/NOVUS는 북미 지역에 널리 배포되어 있으며 서구 고객에게 서비스를 제공하는 전자 상점에 관심을 가질 수 있습니다. 우리는 이 시스템의 카드를 처리하는 국내 인수 회사를 알지 못하지만, 서구 인수 업체의 이익을 대표하는 중개자로부터 많은 제안이 있습니다. 러시아 카드 시스템 중 STB 및 Union Card 다음으로 시장에서 가장 눈에 띄는 것은 Zolotaya Korona, Sbercard(Sberbank), Universal Card 및 ICB-card(Promstroybank)뿐 아니라 이미 언급한 ACCORD 카드/Bashcard입니다. "ICB 카드"는 두 개의 소규모 인수 회사에 의해 처리되며 Zolotaya Korona 및 Sbercard 카드에서 인터넷을 통한 결제 승인은 발급자 및/또는 관련 회사에서 직접 제공하는 것으로 추정되며 Universal Card의 경우에는 누구에게도 제공되지 않는 것 같습니다.
Paycash와 Webmoney는 개발자에 의해 전자 현금 시스템으로 포지셔닝되었지만 자세히 살펴보면 Paycash만이 그러한 지위를 정당하게 주장할 수 있습니다.
Paycash의 개발은 Tavrichesky Bank에 의해 시작되었지만 현재 Guta Bank와 같은 다른 은행도 시스템에 연결되어 있습니다.
기술적 관점에서 Paycash는 현금 결제를 거의 완벽하게 모방합니다. 하나의 전자 지갑(고객이 자신의 컴퓨터에 설치한 특수 프로그램)에서 은행과 관련하여 결제의 익명성을 보장하면서 돈을 다른 지갑으로 이체할 수 있습니다. 이 시스템은 러시아에서 널리 보급되었으며 현재 세계 시장 진출을 시도하고 있습니다.
Paycash의 병목 현상은 전자 지갑으로 돈을 이체하는 절차입니다. 최근까지 유일한 방법이를 위해서는 은행 지점에 가서 시스템 계좌로 돈을 이체하는 것이 었습니다. 사실, 대안이있었습니다. Guta Bank Telebank 시스템 사용자의 경우 집을 떠나지 않고도 Guta Bank 계좌에서 돈을 이체하는 것이 가능했지만 어떤 경우에는 판매자 계좌로 직접 이체하는 것이 더 쉬웠던 것 같습니다. Paycash를 중개자로 사용하지 않는 전자 상점. 웨스턴 유니온(Western Union)이나 우편/전신 송금을 통해 자금을 이체하는 것도 가능했지만, 이 경로의 매력은 높은 수수료 수준으로 인해 제한되었습니다. 상트 페테르부르크 거주자에게는 돈을 위해 집으로 택배를 부를 수있는 매우 이국적인 기회가 있습니다. 훌륭하지만 아쉽게도 우리 모두가 북부 수도에 사는 것은 아닙니다.
신용카드에서 Paycash로 자금을 이체하는 것은 아직 불가능합니다. 이는 카드 시스템 운영을 지원하는 회사가 고객에게 소위 "지불 거절"("소급" 결제 거부) 기회를 제공하기 때문입니다. "지불 거절"은 신용 카드 정보를 도용하는 사기꾼으로부터 신용 카드 소유자를 보호하는 메커니즘입니다. 그러한 거부가 있는 경우, 상품이 실제 카드 소지자에게 실제로 배송되었으며 결제가 이루어져야 한다는 입증 책임은 판매자에게 있습니다. 그러나 Paycash의 경우 이러한 종류의 증명은 매우 명백한 이유로 기본적으로 불가능합니다. 위에서 언급한 CyberPlat 기반 게이트웨이(개발 중인)도 이 문제를 해결하기 위한 것입니다.
그 사이에 이것을 풀기 위해 병목시스템에서 PayCash는 상당히 합리적인 두 가지 조치를 취했습니다. 즉, 선불 스크래치 카드를 발행하고 우편 요금보다 훨씬 낮은 요율(2.2% 대 8%)인 연락처 전송 시스템을 통해 지불 승인을 제공했습니다.
Webmoney 시스템은 러시아 전자 결제 시장의 "선구자" 중 하나입니다. 현재는 국제적인 성격을 가지고 있습니다. 일부 정보에 따르면 Webmoney는 구소련 공화국뿐만 아니라 외국에도 대표자를 보유하고 있습니다. 시스템 운영자는 자치비영리단체 'VM센터'이다.
Webmoney의 운영 모드는 전자 현금 작업과 매우 유사하며 신중하고 세심한 분석을 통해서만 실제로 Webmoney가 지불의 완전한 익명성을 제공하지 않는지, 즉 지불이 소유자에게 숨겨지지 않았는지 확인할 수 있습니다. 시스템 자체. 그러나 Webmoney의 관행에 따르면 이 속성은 어떤 경우에는 사기를 방지할 수 있어 매우 유익합니다. 또한 VM Center는 별도의 유료 서비스로서 법인 및 개인에 대한 인증을 제공하므로 시스템의 다른 참가자와 관련하여 자연스럽게 익명성이 박탈됩니다. 이 기회는 주로 정직한 전자 상점을 조직하고 잠재 구매자에게 신뢰성을 확신시키려는 사람들에게 필요합니다. Webmoney를 사용하면 루블과 달러라는 두 가지 통화로 계좌를 개설하고 자금을 이체할 수 있습니다.
시스템에 접근하기 위해서는 '전자지갑' 프로그램을 사용한다. 시스템의 추가 기능은 지갑에서 지갑으로 짧은 메시지를 전송하는 것과 지갑 소유자 간의 신용 거래입니다. 그러나 우리의 의견으로는 상환하지 않을 경우 대출금을 강제로 징수할 수 있는 능력 없이 인터넷을 통해 익명의 사람에게 대출하는 데 동의하는 사람은 거의 없을 것입니다.
Paycash와 달리 Webmoney는 처음에 은행에서 지불 주문을 작성하는 지루한 절차 없이 일반 현금을 지갑으로 이체하고 지갑의 내용을 현금으로 인출할 수 있는 기능을 제공했지만 법적 관점에서 보면 다소 이상한 방식입니다. . 일반적으로 조직과의 작업 측면에서 Webmoney의 법적 지원으로 인해 오랫동안 많은 불만이 제기되었습니다.
최종 사용자가 스스로 '지갑'을 적극적으로 설치하는 동안 많은 전자 상점이 이 EPS 사용을 거부한 이유가 바로 이것이었습니다. 사실, 현재 이러한 상황은 다소 개선되었으며 Webmoney 소유자의 적극적인 마케팅 위치로 인해 시스템 이미지가 지속적으로 개선되고 있습니다. 다음 중 하나 흥미로운 기능이 마케팅 전략은 시장 진입 직후 모든 사람에게 이 시스템에서 돈을 벌 수 있는 기회가 주어졌다는 것입니다(어떤 사람들은 "Nails" 프로젝트와 이후 개발인 Visiting.ru를 기억할 수도 있습니다). Paycash와 마찬가지로 Webmoney는 시스템에 돈을 입금하도록 설계된 선불 스크래치 카드를 발행합니다.
스크래치 카드를 기반으로 한 두 시스템: E-port(Avtokard-holding)와 KreditPilot(Kreditpilot.com)은 쌍둥이 형제와 같습니다. 둘 다 구매자가 먼저 광범위한 유통 네트워크 어딘가에서 또는 집에서 택배로 주문하여 비밀 코드가 있는 스크래치 카드를 구매한 다음 이러한 시스템에서 결제를 허용하는 매장에서 이 코드를 사용하여 온라인으로 결제하기 시작한다고 가정합니다. E-port는 은행이나 "Webmoney" 시스템을 통해 회사 계좌로 돈을 이체하여 "가상" 스크래치 카드를 생성할 수 있는 가능성도 제공합니다.
2001년 9월부터 운영을 시작한 라피다 시스템은 앞선 두 시스템과 마찬가지로 스크래치 카드나 시스템 참여 은행 결제를 통해 사용자 계좌에 돈을 입금하는 방식이다. 또한 "클라이언트-은행" 모드에서 작업하고 시스템 참여자가 아닌 법인의 계좌와 은행 계좌를 개설하지 않은 개인에게 자금을 이체할 수 있는 가능성이 명시되어 있습니다. 시스템에 대한 액세스는 인터넷뿐만 아니라 톤 다이얼링을 사용하는 전화로도 제공됩니다. 일반적으로 이 시스템은 기술적으로 진보하고 매우 흥미로워 보이지만, 아직까지는 운영 개시 이후 전망에 대해 이야기할 만큼 시간이 충분하지 않습니다.
장거리 전화와 동일한 방식으로 결제할 수 있는 EPS(사실 전화 회사의 청구서를 기준으로 함)는 미국에서 처음 등장했으며 음란물에 대한 액세스 비용을 지불할 목적으로 만들어졌습니다. 그러나 이러한 시스템의 많은 소유자의 체계적인 사기 행위로 인해 구매자 사이에서 인기를 얻지 못했고 판매자는 이러한 시스템이 지불을 크게 지연시키는 경향이 있었기 때문에 특별히 만족하지 않았습니다.
비슷한 개념의 두 가지 국내 구현인 Phonepay와 Eaccess는 이제 막 시작 단계에 있습니다. 두 시스템 모두 결제를 위해 클라이언트가 코드 8-809(분명히 MTU-inform 회사에서 제공)의 특정 장거리 전화번호로 전화를 걸어야 한다고 가정합니다. 그 후 몇 가지 주요 정보가 제공됩니다. Eaccess의 경우 유료정보자원에 접근할 때 사용하는 핀코드이고, Phonepay의 경우 5자리 중 1자리 12자리로 구성된 보편적인 “디지털 코인”입니다. 시스템의 웹사이트를 보면 e-access가 여전히 점차 발전하여 시스템에 연결된 매장 수가 늘어나고 있음을 알 수 있지만 Phonepay는 속하지 않는 단일 매장을 연결하지 않았습니다. 개발자에게 시스템에.
내 생각에는 러시아의 이러한 시스템은 최종 사용자의 접근 용이성과 관련하여 매우 명확한 전망을 가지고 있지만 적용 범위는 판매로 제한됩니다. 정보 자원. 지불 수령이 오랫동안 지연되면(시스템은 구매자가 전화 요금을 지불하기 전에 시스템이 상점으로 이체함) 이러한 EPS를 사용하는 물질적 자산 거래를 다소 수익성이 없는 활동으로 만듭니다.
마지막으로, 또 다른 유형의 전자 전송 시스템, 즉 전통적인 우편 및 전신 전송과 경쟁하는 개인 간의 특수 전송 시스템을 언급해야 합니다. 이 틈새 시장을 가장 먼저 차지한 것은 Western Union 및 Money Gram과 같은 외국 시스템이었습니다. 기존 이체에 비해 결제 속도와 안정성이 더 뛰어납니다. 동시에 그들은 여러 가지 중요한 단점을 가지고 있는데, 그 중 가장 큰 단점은 이체 금액의 최대 10%에 달하는 높은 서비스 비용입니다. 또 다른 문제는 이러한 시스템을 합법적으로 사용하여 상품에 대한 대금 지불을 체계적으로 수락할 수 없다는 것입니다. 그러나 단순히 가족이나 친구에게 돈을 보내고 싶은 사람들은 이러한 시스템에 관심을 돌리는 것이 합리적입니다. 국내 유사품(Anelik 및 연락처). 지금까지 Paycash나 Webmoney는 그들과 경쟁할 수 없습니다. 왜냐하면 호주나 독일 어딘가에서는 전자 지갑에서 현금을 꺼내 현금을 받는 것이 불가능하기 때문입니다. Rapida EPS는 이러한 가능성을 주장하지만 아직까지 웹사이트에 세부정보가 없으며 시스템 사무실의 지리도 이미 시장에 나와 있는 시스템과 비교할 수 없습니다.
전자 상점 소유자는 먼저 신용 카드 및 전자 현금 시스템 (Webmoney 및 Paycash)에서 돈을받는 것에 대해 생각해야합니다. 소비자 특성 전체를 기준으로 볼 때, 러시아 시장에서 신용 카드 결제를 허용하는 시스템 중 어느 것도 CyberPlat과 경쟁할 수 없다고 생각됩니다. 다른 모든 시스템은 선택적으로 사용할 수 있으며, 특히 해당 카드가 CyberPlat에서 서비스되기 때문에 동일한 E-포트를 별도로 설치할 필요가 없다는 점을 기억하는 경우 더욱 그렇습니다.
2. 전자결제시스템에 대한 보호수단
2.1 전자 결제 시스템 사용과 관련된 위협
고려해 봅시다 가능한 위협이 시스템과 관련된 공격자의 파괴적인 행동. 이를 위해 공격자의 주요 공격대상을 살펴보자. 공격자의 주요 목표는 금융 자산 또는 전자 대체품(대리인), 즉 결제 시스템에서 순환하는 결제 주문입니다. 이러한 도구와 관련하여 공격자는 다음과 같은 목표를 추구할 수 있습니다.
1. 금융자산의 도난.
2. 위조 금융자산 유입(시스템 재정수지 위반).
3. 시스템 오작동( 기술적 위협).
공격의 특정 개체와 대상은 본질적으로 추상적이며 정보 보호에 필요한 조치의 분석 및 개발을 허용하지 않습니다. 따라서 표 4는 공격자의 파괴적인 효과의 개체 및 대상에 대한 사양을 제공합니다.
표 4 공격자의 가능한 파괴적 행동 모델
| 영향의 대상 | 영향력의 목적 | 영향을 구현하기 위한 가능한 메커니즘. |
| 은행 웹 서버의 HTML 페이지 | 고객이 지불 주문에 입력한 정보를 얻기 위한 대체. | 서버에 대한 공격 및 서버의 페이지 대체. 트래픽이 있는 페이지를 대체합니다. 고객 컴퓨터에 대한 공격 및 고객 페이지 대체 |
| 서버의 클라이언트 정보 페이지 | 고객 지불에 대한 정보 얻기 | 서버를 공격합니다. 교통공격. 클라이언트의 컴퓨터를 공격합니다. |
| 고객이 양식에 입력한 지불 주문 데이터 | 고객이 지불 주문에 입력한 정보를 받습니다. | 클라이언트 컴퓨터에 대한 공격(바이러스 등) 트래픽을 통해 전송될 때 이러한 지침에 대한 공격입니다. 서버를 공격합니다. |
| 고객의 컴퓨터에 존재하며 전자결제시스템과 관련되지 않은 고객의 개인정보 | 기밀 고객 정보 획득. 고객 정보 수정. 클라이언트의 컴퓨터를 비활성화합니다. | 단지 전체 알려진 공격인터넷에 연결된 컴퓨터에. 결제 시스템 메커니즘을 사용한 결과로 발생하는 추가 공격입니다. |
| 은행 처리 센터의 정보입니다. | 처리센터 정보의 공개 및 수정, 지역 네트워크항아리. | 인터넷에 연결된 로컬 네트워크에 대한 공격입니다. |
이 표는 인터넷을 통한 모든 전자 결제 시스템이 충족해야 하는 기본 요구 사항을 보여줍니다.
첫째, 시스템은 결제 주문 데이터를 무단 변경 및 수정으로부터 보호해야 합니다.
둘째, 시스템은 클라이언트 컴퓨터에 대한 공격을 조직하는 공격자의 능력을 증가시켜서는 안 됩니다.
셋째, 시스템은 서버에 있는 데이터를 무단으로 읽거나 수정하지 못하도록 보호해야 합니다.
넷째, 글로벌 네트워크의 영향으로부터 은행의 로컬 네트워크를 보호하기 위한 시스템을 제공하거나 지원해야 한다.
특정 전자결제정보 보호시스템을 개발하는 과정에서 이 모델요구 사항은 더 자세히 설명되어야 합니다. 그러나 현재 프레젠테이션에는 그러한 세부 사항이 필요하지 않습니다.
2.2 전자결제시스템 보호 기술
한동안 WWW의 기반이 되는 HTML 페이지가 정적 텍스트라는 사실로 인해 WWW 개발이 방해를 받았습니다. 그들의 도움으로 사용자와 서버 간의 대화형 정보 교환을 구성하는 것은 어렵습니다. 개발자들은 이러한 방향으로 HTML의 기능을 확장하기 위한 다양한 방법을 제안했지만 그 중 다수는 널리 채택되지 않았습니다. 인터넷 개발의 새로운 단계를 대표하는 가장 강력한 솔루션 중 하나는 Java 애플릿을 HTML 페이지에 연결된 대화형 구성 요소로 사용하겠다는 Sun의 제안이었습니다.
Java 애플릿은 Java 프로그래밍 언어로 작성되고 특수 바이트코드로 컴파일되는 프로그램입니다. 이는 일부 가상 컴퓨터(Java 시스템)의 코드이며 Intel 제품군 프로세서의 코드와 다릅니다. 애플릿은 인터넷 서버에서 호스팅되며 이 애플릿에 대한 호출이 포함된 HTML 페이지에 액세스할 때마다 사용자의 컴퓨터로 다운로드됩니다.
애플릿 코드를 실행하기 위해 표준 브라우저에는 바이트코드를 Intel 프로세서 제품군(또는 다른 프로세서 제품군)의 기계 명령으로 해석하는 Java 엔진 구현이 포함되어 있습니다. 한편으로는 Java 애플릿 기술에 내재된 기능을 통해 강력한 개발이 가능합니다. 사용자 인터페이스, URL을 통해 모든 네트워크 리소스에 대한 액세스를 구성하고 TCP/IP, FTP 등의 프로토콜을 쉽게 사용할 수 있지만 반면에 컴퓨터 리소스에 직접 액세스하는 것은 불가능합니다. 예를 들어, 애플릿은 다음에 대한 액세스 권한이 없습니다. 파일 시스템컴퓨터 및 연결된 장치.
WWW의 기능을 확장하기 위한 유사한 솔루션은 Microsoft의 기술인 Active X입니다. 이 기술과 Java의 가장 중요한 차이점은 구성 요소(애플릿과 유사)가 코드의 프로그램이라는 점입니다. 인텔 프로세서그리고 이러한 구성 요소는 Windows 인터페이스 및 서비스뿐만 아니라 모든 컴퓨터 리소스에 액세스할 수 있다는 사실도 있습니다.
WWW의 기능을 확장하는 또 다른 덜 일반적인 접근 방식은 Netscape Navigator 기술용 Netscape 플러그인을 사용하는 것입니다. 인터넷을 통한 전자결제를 위한 정보보안 시스템을 구축하는데 가장 최적의 기반이 될 수 있는 것이 바로 이 기술이다. 더 자세한 논의를 위해 이 기술이 웹 서버 정보 보호 문제를 어떻게 해결하는지 살펴보겠습니다.
어떤 웹 서버와 관리자가 있다고 가정해 봅시다. 이 서버의서버 정보 배열의 일부 부분에 대한 액세스를 제한해야 합니다. 일부 사용자는 일부 정보에 액세스할 수 있지만 다른 사용자는 액세스할 수 없도록 구성합니다.
현재 이 문제를 해결하기 위해 여러 가지 접근 방식이 제안되고 있으며, 특히 많은 OS, 인터넷 서버가 작동하는 경우 일부 영역에 액세스하려면 비밀번호가 필요합니다. 인증이 필요합니다. 이 접근 방식에는 두 가지 중요한 단점이 있습니다. 첫째, 데이터가 서버 자체에 일반 텍스트로 저장되고, 두 번째로 데이터가 네트워크를 통해 일반 텍스트로 전송된다는 점입니다. 따라서 공격자는 서버 자체에 대한 공격(비밀번호 추측, 비밀번호 우회 등)과 트래픽에 대한 공격이라는 두 가지 공격을 구성할 수 있는 기회를 갖게 됩니다. 이러한 공격 사실은 인터넷 커뮤니티에 널리 알려져 있습니다.
정보 보안 문제를 해결하기 위한 또 다른 잘 알려진 접근 방식은 SSL(Secure Sockets Layer) 기술을 기반으로 하는 접근 방식입니다. SSL을 사용하면 클라이언트와 서버 간에 데이터가 전송되는 보안 통신 채널이 설정됩니다. 네트워크를 통해 일반 텍스트로 데이터를 전송하는 문제는 비교적 해결된 것으로 간주할 수 있습니다. SSL의 주요 문제점은 키 시스템을 구축하고 이를 제어하는 것입니다. 서버에 데이터를 명확한 형식으로 저장하는 문제는 아직 해결되지 않은 상태입니다.
위에서 설명한 접근 방식의 또 다른 중요한 단점은 서버와 네트워크 클라이언트 소프트웨어 모두의 지원이 필요하다는 점인데, 이는 항상 가능하거나 편리하지 않습니다. 특히 대규모 및 조직화되지 않은 클라이언트를 겨냥한 시스템에서는 더욱 그렇습니다.
저자가 제안한 접근 방식은 인터넷상의 주요 정보 전달 매체인 HTML 페이지 자체를 보호하는 데 기반을 두고 있습니다. 보호의 핵심은 HTML 페이지가 포함된 파일이 암호화된 형식으로 서버에 저장된다는 것입니다. 이 경우 암호화된 키는 암호화한 사람(관리자)과 클라이언트에게만 알려집니다. (일반적으로 키 시스템 구축 문제는 투명 파일의 경우와 동일하게 해결됩니다. 암호화).
클라이언트는 Netscape의 Netscape용 플러그인 기술을 사용하여 보안 정보에 액세스합니다. 이 모듈은 더 정확하게는 프로그램입니다. 소프트웨어 구성요소, MIME 표준의 특정 파일 형식과 연결됩니다. MIME은 인터넷상의 파일 형식을 정의하는 국제 표준입니다. 예를 들어 text/html, text/plane, image/jpg, image/bmp 등의 파일 형식이 존재합니다. 또한 표준은 설정 메커니즘을 정의합니다. 맞춤 유형독립 개발자가 정의하고 사용할 수 있는 파일입니다.
따라서 특정 MIME 파일 형식과 관련된 플러그인이 사용됩니다. 연결은 사용자가 해당 유형의 파일에 액세스할 때 브라우저가 연결된 플러그인을 실행하고 이 모듈이 파일 데이터를 시각화하고 이러한 파일을 사용하여 사용자의 작업을 처리하는 모든 작업을 수행한다는 것입니다.
가장 잘 알려진 플러그인 모듈에는 avi 형식의 비디오를 재생하는 모듈이 포함됩니다. 이러한 파일 보기는 브라우저의 표준 기능에 포함되어 있지 않지만 적절한 플러그인을 설치하면 브라우저에서 이러한 파일을 쉽게 볼 수 있습니다.
또한, 암호화된 모든 파일은 확립된 국제 표준에 따라 MIME 형식의 파일로 정의됩니다. "응용프로그램/x-shp". 그런 다음 Netscape 기술 및 프로토콜을 사용하여 파일 유형과 연결되는 플러그인이 개발됩니다. 이 모듈은 두 가지 기능을 수행합니다. 첫째, 비밀번호와 사용자 ID를 요청하고, 둘째, 파일을 해독하여 브라우저 창에 출력하는 작업을 수행합니다. 이 모듈은 Netscape가 모든 클라이언트 컴퓨터의 브라우저에 설정한 표준 순서에 따라 설치됩니다.
이 시점에서 작업 준비 단계가 완료되고 시스템 작동 준비가 완료됩니다. 작동 중에 클라이언트는 표준 주소(URL)를 사용하여 암호화된 HTML 페이지에 액세스합니다. 브라우저는 이러한 페이지의 유형을 결정하고 우리가 개발한 모듈을 자동으로 실행하여 암호화된 파일의 내용을 해당 모듈로 전송합니다. 모듈은 클라이언트를 인증하고 성공적으로 완료되면 페이지의 내용을 해독하여 표시합니다.
이 전체 절차를 수행할 때 클라이언트는 위에서 설명한 시스템의 모든 작업이 그의 눈에 숨겨져 있기 때문에 페이지가 "투명하게" 암호화된 느낌을 받습니다. 동시에 그림, Java 애플릿, CGI 스크립트 사용과 같은 HTML 페이지에 내재된 모든 표준 기능은 보존됩니다.
이 접근 방식이 많은 정보 보안 문제를 해결한다는 것을 쉽게 알 수 있습니다. 공개 형식에서는 클라이언트의 컴퓨터에만 위치하며 데이터는 암호화된 형식으로 네트워크를 통해 전송됩니다. 정보 탈취를 목적으로 하는 공격자는 특정 사용자에 대해서만 공격을 수행할 수 있으며, 어떠한 서버 정보 보안 시스템도 이러한 공격을 방어할 수 없습니다.
현재 저자는 Netscape Navigator(3.x) 브라우저와 Netscape Communicator 4.x에 대해 제안된 접근 방식을 기반으로 두 가지 정보 보안 시스템을 개발했습니다. 동안 사전 테스트개발된 시스템은 MExplorer의 제어 하에 정상적으로 작동할 수 있지만 모든 경우에 그렇지는 않은 것으로 나타났습니다.
이러한 버전의 시스템은 HTML 페이지와 관련된 개체(그림, 스크립트 애플릿 등)를 암호화하지 않는다는 점에 유의하는 것이 중요합니다.
시스템 1은 실제 HTML 페이지의 보호(암호화)를 단일 개체로 제공합니다. 페이지를 만든 다음 암호화하여 서버에 복사합니다. 암호화된 페이지에 접근하면 자동으로 암호가 해독되어 특수 창에 표시됩니다. 서버 소프트웨어에서는 보안 시스템 지원이 필요하지 않습니다. 모든 암호화 및 암호 해독 작업은 클라이언트의 워크스테이션에서 수행됩니다. 이 시스템보편적입니다. 페이지의 구조와 목적에 의존하지 않습니다.
시스템 2는 보호에 대한 다른 접근 방식을 제공합니다. 이 시스템은 보호된 정보가 페이지의 일부 영역에 표시되도록 보장합니다. 정보는 서버에 암호화된 파일(html 형식일 필요는 없음)로 들어 있습니다. 귀하가 귀하의 페이지로 이동하면 보안 시스템이 자동으로 이 파일에 액세스하여 해당 파일의 데이터를 읽고 페이지의 특정 영역에 표시합니다. 이 접근 방식을 사용하면 다양성을 최소화하면서 최대의 효율성과 미적 아름다움을 얻을 수 있습니다. 저것들. 시스템은 특정 목적을 지향하는 것으로 밝혀졌습니다.
이 접근 방식은 인터넷을 통해 전자 결제 시스템을 구축하는 경우에도 적용될 수 있습니다. 이 경우 웹 서버의 특정 페이지에 접속하면 플러그인 모듈이 실행되어 사용자에게 결제 주문 양식을 표시합니다. 클라이언트가 이를 작성한 후 모듈은 결제 데이터를 암호화하여 서버로 보냅니다. 동시에 사용자에게 전자 서명을 요구할 수도 있습니다. 또한 플로피 디스크, 전자 태블릿, 스마트 카드 등 모든 미디어에서 암호화 및 서명 키를 읽을 수 있습니다.
2.3 전자지불시스템의 기본 요구사항 준수를 위한 기술 분석
위에서 우리는 인터넷을 통해 결제 시스템을 구축하는 데 사용할 수 있는 세 가지 기술을 설명했습니다. 이는 Java 애플릿, Active-X 구성 요소 및 플러그인 모듈을 기반으로 하는 기술입니다. 이를 각각 기술 J, AX, P라고 부르겠습니다.
컴퓨터를 공격하는 공격자의 능력이 증가되어서는 안 된다는 요구 사항을 고려하십시오. 이를 위해 가능한 공격 유형 중 하나, 즉 공격자가 해당 클라이언트 보호 모듈을 대체하는 방법을 분석해 보겠습니다. 기술 J의 경우 애플릿이고, AX의 경우 수중 구성 요소이며, P의 경우 플러그인 모듈입니다. 공격자가 클라이언트 컴퓨터에서 직접 보호 모듈을 교체할 수 있는 기회가 있다는 것은 명백합니다. 이 공격을 구현하는 메커니즘은 이 분석 범위를 벗어납니다. 그러나 이 공격의 구현은 문제의 보호 기술에 의존하지 않는다는 점에 유의해야 합니다. 그리고 각 기술의 보안 수준은 동일합니다. 그들은 모두 이 공격에 똑같이 불안정합니다.
대체 관점에서 볼 때 J 및 AX 기술의 가장 취약한 점은 인터넷에서 다운로드하는 것입니다. 공격자가 교체를 수행할 수 있는 것은 바로 이 순간이다. 또한 공격자가 은행 서버에서 이러한 모듈을 교체하면 인터넷에 유통되는 모든 양의 결제 시스템 정보에 액세스할 수 있게 됩니다.
기술 P의 경우 모듈이 네트워크에서 다운로드되지 않고 클라이언트 컴퓨터에 영구적으로 저장되므로 대체 위험이 없습니다.
대체 결과는 다릅니다. J-technology의 경우 공격자는 클라이언트가 입력한 정보만 훔칠 수 있으며(이는 심각한 위협입니다) Active-X 및 Plug-in의 경우 공격자는 다음과 같은 작업을 수행할 수 있습니다. 컴퓨터에서 실행 중인 클라이언트가 액세스할 수 있는 모든 정보를 얻습니다.
현재 저자는 Java 애플릿 스푸핑 공격을 구현하는 구체적인 방법을 알지 못합니다. 정보를 훔칠 기회가 거의 없기 때문에 이러한 공격은 제대로 진행되지 않는 것 같습니다. 그러나 Active-X 구성 요소에 대한 공격은 널리 알려져 있으며 널리 알려져 있습니다.
인터넷을 통해 전자지불시스템에 유통되는 정보를 보호하기 위한 요구사항을 생각해 보자. 이 경우 기술 J가 매우 중요한 문제 중 하나에서 P와 AX보다 열등하다는 것은 명백합니다. 모든 정보 보안 메커니즘은 암호화 또는 전자 서명을 기반으로 하며, 해당 알고리즘은 모두 핵심 요소 도입이 필요한 암호화 변환을 기반으로 합니다. 현재 주요 요소의 길이는 32~128바이트 정도이므로 사용자가 키보드로 입력하도록 요구하는 것은 거의 불가능합니다. 질문이 생깁니다. 어떻게 입력하나요? P 및 AX 기술은 컴퓨터 리소스에 액세스할 수 있으므로 이 문제에 대한 해결책은 분명하고 잘 알려져 있습니다. 키는 로컬 파일, 플로피 디스크, 태블릿 또는 스마트 카드에서 읽혀집니다. 그러나 기술 J의 경우 이러한 입력이 불가능합니다. 즉, 클라이언트에게 무의미한 정보의 긴 시퀀스를 입력하도록 요구하거나 핵심 요소의 길이를 줄여 암호화 변환의 강도를 줄여서 데이터를 줄여야 함을 의미합니다. 보안 메커니즘의 신뢰성. 게다가 이러한 감소는 매우 중요합니다.
전자 결제 시스템이 서버에 있는 데이터를 무단 읽기 및 수정으로부터 보호해야 한다는 요구 사항을 고려해 보겠습니다. 이 요구 사항은 시스템이 사용자를 위한 기밀 정보를 서버에 배치한다는 사실에서 비롯됩니다. 예를 들어 처리 결과에 대한 메모와 함께 그에게 전송된 지불 주문 목록이 있습니다.
기술 P의 경우 이 정보는 HTML 페이지 형식으로 제공되며 암호화되어 서버에 배치됩니다. 모든 작업은 위에서 설명한 알고리즘(HTML 페이지 암호화)에 따라 수행됩니다.
J 및 AX 기술의 경우 이 정보는 서버의 파일에 구조화된 형식으로 배치될 수 있으며 구성 요소나 애플릿은 데이터를 읽고 시각화하는 작업을 수행해야 합니다. 이 모든 것은 일반적으로 애플릿과 구성 요소의 전체 크기를 증가시키고 결과적으로 해당 페이지의 로딩 속도를 감소시킵니다.
이 요구 사항의 관점에서 기술 P는 더 높은 제조 가능성으로 인해 승리합니다. 개발 오버헤드를 낮추고 구성 요소가 네트워크를 통과할 때 구성 요소를 대체하는 데 대한 저항력을 높입니다.
은행 로컬 네트워크를 보호하기 위한 마지막 요구 사항은 방화벽(방화벽) 시스템의 유능한 구축을 통해 충족되며 해당 기술에 의존하지 않습니다.
그리하여 위와 같은 사전작업이 이루어졌습니다. 비교 분석기술 J, AX 및 P에 따르면 고객 컴퓨터의 보안 수준을 유지하는 것이 전자 결제 시스템에 사용되는 암호화 변환의 강도보다 훨씬 더 중요한 경우 기술 J를 사용해야 합니다.
기술 P는 결제 정보 보안 시스템을 기반으로 하는 가장 최적의 기술 솔루션으로 보입니다. 표준 적용 Win32 및 인터넷을 통한 공격으로부터 보호합니다. 이 기술을 사용하는 프로젝트의 실용적이고 상업적인 구현은 예를 들어 러시아 금융 커뮤니케이션 회사에서 수행됩니다.
AX 기술의 경우, 그 사용이 침입자의 공격에 비효율적이고 불안정한 것으로 보입니다.
결론
전자 화폐는 점점 더 분명하게 우리의 일상 현실이 되기 시작하고 있으며, 최소한 이를 고려해야 합니다. 물론 앞으로 50년 안에는 누구도 보통 화폐를 폐지하지 않을 것이다(아마도). 그러나 전자화폐를 관리하지 못하고 전자화폐가 가져올 기회를 놓치는 것은 지난 15년 동안 그토록 힘들게 움직여온 자신의 주변에 자발적으로 '철의 장막'을 세우는 것을 의미합니다. 많은 대기업은 전자 결제를 통해 서비스 및 상품에 대한 결제를 제공합니다. 이를 통해 소비자는 많은 시간을 절약할 수 있습니다.
전자 지갑을 열고 돈을 다루는 모든 작업을 위한 무료 소프트웨어는 대량 컴퓨터에 최대한 적합하며 약간의 연습 후에는 일반 사용자에게 아무런 문제도 일으키지 않습니다. 우리 시대는 컴퓨터, 인터넷, 전자상거래의 시대입니다. 이러한 분야에 대한 지식과 적절한 도구를 갖춘 사람들은 엄청난 성공을 거둘 수 있습니다. 전자화폐는 날이 갈수록 널리 보급되어 인터넷에 접속할 수 있는 사람에게 점점 더 많은 기회를 열어주는 화폐입니다.
계산 및 그래픽 작업의 목적은 다음 작업을 완료하고 해결하는 것이었습니다.
1. 전자 결제 시스템의 주요 업무와 기능 원리, 기능이 결정됩니다.
2. 주요 전자결제 시스템을 분석합니다.
3. 전자화폐 이용과 관련된 위협을 분석합니다.
4. 전자결제시스템 이용 시 보호수단을 분석합니다.
참고문헌 목록
1. Antonov N.G., Pessel M.A. 화폐 유통, 신용 및 은행. -M.: Finstatinform, 2005, pp. 179-185.
2. 은행 포트폴리오 - 3. -M.: Somintek, 2005, pp. 288-328.
3. 미하일로프 D.M. 국제 지불 및 보증. M.: FBK-PRESS, 2008, pp. 20-66.
4. Polyakov V.P., Moskovkina L.A. 중앙은행의 구조와 기능. 외국 경험 : 교과서. - M .: INFRA-M, 2006.
5. Gaikovich Yu.V., Pershin A.S. 전자 금융 시스템의 보안. - M: 유럽 연합, 2004
6. 데민 V.S. 기타 자동화된 뱅킹 시스템. - M: Menatep-Inform, 2007
7. 크리신 V.A. 비즈니스 안전. - 남: 재정과 통계, 2006
8. Linkov I.I. 기타 상업 구조의 정보 부문: 생존과 성공 방법. - 남: NIT, 2008
9. 티토렌코 G.A. 기타 은행 활동의 전산화. - 남: 핀스타틴폼, 2007
10. Tushnolobov I.B., Urusov D.P., Yartsev V.I. 분산 네트워크. - 상트페테르부르크: 피터, 2008
12. Aglitsky I. 러시아 은행에 대한 정보 지원 상태 및 전망. - 금융기술, 2007년 1호.
튜터링
주제를 공부하는 데 도움이 필요하십니까?
우리의 전문가들은 귀하가 관심 있는 주제에 대해 조언하거나 개인교습 서비스를 제공할 것입니다.
신청서 제출지금 당장 주제를 표시하여 상담 가능성을 알아보세요.
3. 전자결제의 보호
은행 보안 문제는 특히 은행 정보가 심각하기 때문에 심각합니다., 첫째, 이는 실제 돈을 나타내며, 둘째, 다수의 은행 고객의 기밀 이익에 영향을 미칩니다.
2000년 전자상거래 시장 규모
| 시장 규모 및 특성 | 견적, 달러 |
| 모든 인터넷 상품 구매의 총 비용 | 45억~60억 |
| 평균 구매자당 모든 구매의 총 비용 | 600-800 |
| 인터넷 거래당 평균 구매 비용 | 25-35 |
| 인터넷 구매 거래량 전체 | 1억 3천만~2억 |
| 온라인 상품 구매 비중 | 60-70% |
| 배송된 상품 구매 비중 | 30-40% |
전자 결제 시스템의 일반적인 기능 계획
시스템과 계약을 체결하고 적절한 라이센스를 받은 은행은 두 가지 역할을 할 수 있습니다. 즉, 다른 모든 참여 은행의 지불이 허용되는 이 시스템의 결제 수단 발행자로서, 그리고 인수 은행으로서 다음과 같은 서비스를 제공하는 기업으로 활동할 수 있습니다. 다른 발행인이 발행한 지불을 위해 이 시스템의 지불 수단을 수락하고 지점에서 현금화를 위해 이러한 지불 수단을 수락합니다.
결제 승인 절차는 매우 간단합니다. 우선, 기업의 계산원은 적절한 특성을 사용하여 카드의 진위 여부를 확인해야 합니다.
회사는 결제 시 고객의 카드정보를 복사기(전사기)를 이용하여 특수수표로 이체하고, 수표에 구매금액 또는 서비스 제공금액을 입력한 후 고객의 서명을 받아야 합니다.
이렇게 발행된 수표를 전표라고 합니다. 안전한 거래를 위해 결제 시스템에서는 승인 없이 결제가 가능한 다양한 지역 및 업종에 대해 금액 한도를 낮추는 것을 권장하고 있습니다. 한도 금액을 초과하거나 고객의 신원이 의심되는 경우 회사는 승인 절차를 수행할 의무가 있습니다.
절차의 기술적 측면에 대해 자세히 설명하지 않고 승인 과정에서 회사가 실제로 고객 계정 상태에 대한 정보에 접근할 수 있게 되어 고객의 카드 소유권과 결제 능력을 확인할 수 있는 기회를 얻게 된다는 점을 지적합니다. 거래 금액에서. 전표 사본 1부는 회사에 남고, 두 번째 사본은 고객에게 전송되고, 세 번째 사본은 인수 은행에 전달되어 고객 계좌에서 회사에 지불 금액을 상환하는 기초로 사용됩니다.
최근에는 전표를 작성할 필요가 없는 POS 단말기가 널리 보급되었습니다. POS 단말기에 내장된 리더기의 자기 띠에서 카드 정보를 읽고 키보드로 거래 금액을 입력한 후 단말기에 내장된 모뎀을 통해 해당 결제 시스템에 승인을 신청합니다. 이 경우 은행이 판매자에게 서비스를 제공하는 처리 센터의 기술적 능력이 사용됩니다. 이 경우 회사는 고객의 서명 샘플과 영업일 종료 시 단말기가 생성하는 배치 파일이 포함된 금전 등록기 테이프 사본을 은행에 보고합니다.
최근 몇 년 동안 점점 더 많은 관심이 집중되고 있습니다. 마이크로프로세서 카드를 사용하는 은행 시스템.
외부적으로 이러한 저장 매체는 카드 내부에 납땜된 메모리 칩이나 마이크로프로세서와 카드 표면에 표시된 접촉판 꽃잎을 제외하면 일반 카드와 다르지 않습니다.
이 카드와 위의 모든 카드의 근본적인 차이점은 이 카드 자체가 대중교통 계정이기 때문에 고객의 계정 상태에 대한 정보를 직접적으로 전달한다는 것입니다. 이러한 카드를 수집하는 각 지점에는 특수 POS 단말기(칩 리더기 포함)가 장착되어 있어야 합니다.
카드를 사용하려면 고객이 은행 단말기의 계좌에서 카드를 로드해야 합니다. 모든 거래는 대화카드 - 단말기 또는 클라이언트 카드 - 가맹점 카드 중에 OFF-LINE 모드로 이루어집니다.
이러한 시스템은 칩의 높은 보안 수준과 직불 결제 방식으로 인해 거의 완벽하게 안전합니다. 또한, 카드 자체는 일반 카드에 비해 훨씬 비싸지만, OFF-LINE 모드에서는 통신 부하를 사용하지 않기 때문에 운영 중인 시스템은 훨씬 더 저렴해지는 것으로 나타났다.
플라스틱 은행카드를 이용한 전자결제 다양한 방식"은행 1 - 고객 - 기업 - 은행 2" 체인의 결제와 "은행 1 - ... - 은행 N" 유형의 은행 간 결제를 위한 상당히 유연하고 보편적인 메커니즘을 나타냅니다. 그러나 이러한 결제 수단의 다양성으로 인해 특히 사기의 표적이 됩니다. 학대 관련 손실의 연간 비용은 총 매출액에 비해 상대적으로 작지만 상당한 금액에 이릅니다.
보안 시스템과 그 개발은 플라스틱 카드를 이용한 불법 거래 방법과 분리하여 고려할 수 없습니다. 5가지 주요 범죄 유형.
1. 위조카드를 이용한 운영.
이러한 유형의 사기는 결제 시스템 손실의 가장 큰 부분을 차지합니다. 실물 카드의 기술적, 기술적 보안성이 높아 최근에는 자가 제작 카드를 거의 사용하지 않으며, 간단한 진단만으로 식별이 가능합니다.
일반적으로 도난당한 카드 공백은 은행 및 고객 세부 정보가 적용되는 위조에 사용됩니다. 기술적으로 고도화되어 범죄자들은 카드의 자기선에 정보를 쓰거나 복사할 수도 있다. 한마디로 높은 수준의 위조 행위를 할 수 있다는 것이다.
이러한 행위의 가해자는 일반적으로 조직화된 범죄 집단이며 때로는 고객 계좌 및 거래 절차에 대한 정보에 접근할 수 있는 발행 은행 직원과 공모합니다. 국제 범죄 공동체에 경의를 표하면서 은행 시장 부문의 발전 시작과 거의 동시에 위조 카드가 러시아에 등장했다는 점에 유의해야 합니다.
2. 도난/분실된 카드에 의한 거래.
사기꾼이 고객의 PIN 코드를 알고 있는 경우에만 도난당한 카드를 사용하여 큰 피해를 입힐 수 있습니다. 그런 다음 도난당한 카드를 발급한 은행이 전자 정지 목록(유효하지 않은 카드 목록)에 해당 카드를 등록할 시간을 갖기 전에 전자 현금 출납원 네트워크(ATM)를 통해 고객 계좌에서 많은 금액을 인출하는 것이 가능해집니다.
3. 서비스 및 재화에 대한 복수결제 "한도"를 초과하지 않고 승인이 필요하지 않은 금액에 대해. 결제를 하려면 범죄자는 고객의 서명만 위조하면 됩니다. 그러나 이 계획을 사용하면 가장 매력적인 남용 대상에 접근할 수 없게 됩니다. 현금. 이 범주에는 카드 발행 은행이 고객에게 우편으로 카드를 보내는 동안 도난당한 범죄가 포함됩니다.
4. 우편/전화 주문 사기.
이러한 유형의 범죄는 고객의 우편 또는 전화 주문을 통해 상품 및 서비스를 배송하는 서비스 개발과 관련하여 나타났습니다. 피해자의 신용 카드 번호를 아는 범죄자는 주문 양식에 이를 표시하고 임시 거주지에서 명령을 받은 후 탈출할 수 있습니다.
5. 계좌에서 여러 번 인출합니다.
이런 범죄는 대개 직원이 저지른다. 법인, 고객으로부터 상품 및 서비스에 대한 대금을 신용카드로 수락하며, 하나의 결제사실에 대해 여러 개의 결제수표를 발행하여 수행됩니다. 제출된 수표에 따라 판매된 상품 또는 제공된 서비스 비용보다 더 많은 금액이 회사 계좌에 적립됩니다. 그러나 여러 거래를 완료한 후 범죄자는 강제로 기업을 폐쇄하거나 퇴사해야 합니다.
이러한 행위를 방지하기 위해 카드 이용자는 거래 시(소액이라도) 서명된 서류에 더욱 주의를 기울이는 것이 좋습니다.
보안 부서에서 사용하는 방법은 두 가지 주요 범주로 나눌 수 있습니다. 첫 번째이자 아마도 가장 중요한 수준은 플라스틱 카드 자체의 기술적 보안과 관련이 있습니다. 이제 우리는 기술적 관점에서 볼 때 카드가 지폐보다 더 잘 보호되며 정교한 기술을 사용하지 않고는 직접 만드는 것이 거의 불가능하다고 자신있게 말할 수 있습니다.
모든 결제 시스템의 카드는 엄격하게 확립된 표준을 충족합니다. 지도에는 표준 형식이 있습니다. 시스템의 은행 식별 번호(BIN 코드)와 고객의 은행 계좌 번호, 성과 이름, 카드 유효 기간이 양각으로 새겨져 카드 앞면의 엄격한 위치에 배치됩니다. 홀로그램 방식으로 만들어진 결제 시스템 심볼도 있습니다. 카드 번호의 마지막 4자리 숫자가 홀로그램 기호에 직접 양각(양각 인쇄)되어 있으므로 기호를 파괴하지 않고는 홀로그램을 복사하거나 코드를 다시 양각할 수 없습니다.
카드 뒷면에는 자기 띠와 소유자의 샘플 서명이 있는 영역이 있습니다. 결제 시스템 자체의 세부 사항, 보안 표시, 정보 복사를 방지하는 기호 등은 암호화 알고리즘을 사용하여 엄격하게 정의된 위치에 마그네틱 스트립에 기록되며 카드 앞면에 인쇄된 정보는 복제됩니다. 소유자의 서명 샘플 영역에는 특수 코팅이 되어 있습니다. 삭제하거나 서명을 전달하려고 조금만 시도하면 코팅이 파괴되고 결제 시스템의 보안 기호와 함께 다른 색상의 기판이 나타납니다.
카드의 나머지 표면은 전적으로 발행 은행이 처리하며 은행 기호, 광고 및 고객에게 필요한 정보로 임의의 방식으로 장식됩니다. 카드 자체는 자외선 아래에서만 보이는 문자로 보호됩니다.
기술적 보호 조치에는 불법 침입, 고장 및 정보 유출 또는 심지어 파괴로 이어지는 기타 외부 영향으로부터 은행 통신, 은행 네트워크를 보호하는 것도 포함됩니다. 보호는 소프트웨어 및 하드웨어에 의해 수행되며 승인된 결제 시스템 조직의 인증을 받습니다.
보호 조치의 두 번째 범주에는 플라스틱 카드 작업과 관련하여 은행 부서의 정보 유출을 방지하는 조치가 포함됩니다. 주요 원칙은 직원의 공식적인 책임을 명확하게 정의하고 이에 따라 업무에 필요한 최소한의 범위를 초과하지 않는 범위에서 기밀 정보에 대한 접근을 제한하는 것입니다.
이러한 조치는 범죄자가 직원과 공모할 위험과 가능성을 줄입니다. 직원들의 역량 향상을 위해 주제별 세미나를 개최하고 있습니다. 결제 시스템은 카드 관련 범죄에 대한 공식 자료 및 통계를 게시하고, 범죄자의 징후와 불법 유통되는 위조 카드의 징후를 보고하는 보안 게시판을 정기적으로 배포합니다. 게시판을 통해 직원을 교육하고 예방하며 범죄 감소를 목표로 하는 특별 활동을 조직합니다.
부서 직원의 인사 선택에 특히주의를 기울입니다. 모든 보안 문제는 전담 보안 담당자의 책임입니다. 예방 조치 중 가장 중요한 곳은 '플라스틱 화폐' 취급의 문화적 수준을 높이는 것을 목표로 하는 고객과의 작업입니다. 카드를 주의 깊게 취급하면 범죄 피해자가 될 가능성이 크게 줄어듭니다.
전자결제 및 결제시스템 위반사항 분석
제2차 세계대전에서 노르웨이의 급속한 몰락은 주로 이전에 영국 왕립 해군의 Room 40 전문가들이 독일에 대해 사용했던 것과 똑같은 방법을 사용한 독일 암호 해독가들에 의해 영국 왕립 해군 코드가 해독되었다는 사실에 크게 기인했다는 사실은 전문가들 사이에서 잘 알려져 있습니다. 전쟁.
제2차 세계대전 이후 정부의 암호화 사용에 대한 비밀의 베일이 벗겨졌습니다. 이는 놀라운 일이 아니며 냉전 때문일 뿐만 아니라 (어떤 조직에서든) 관료들이 자신의 실수를 인정하기를 꺼리기 때문이기도 합니다.
ATM 사기가 실제로 저질러진 몇 가지 방법을 살펴보겠습니다. 목표는 제품의 이론적 무적성을 목표로 하는 디자이너의 아이디어를 분석하고 발생한 일로부터 교훈을 얻는 것입니다.
기술적인 속임수 없이 수행될 수 있는 여러 유형의 사기와 이러한 사기가 발생할 수 있는 은행 절차를 보여주는 몇 가지 간단한 예부터 시작해 보겠습니다.
고객 카드의 자기선에는 반드시 계좌번호만 들어가야 하며, 계좌번호를 암호화하고 그 결과에서 4자리를 뽑아 개인식별번호(PIN)를 얻는다는 것은 잘 알려진 사실이다. 따라서 ATM은 암호화를 수행하거나 PIN 확인(예: 대화형 쿼리)을 수행할 수 있어야 합니다.
영국의 윈체스터 형사 법원(Winchester Crown Court)은 최근 간단하지만 효과적인 계획을 사용한 두 명의 범죄자에게 유죄를 선고했습니다. 그들은 ATM에 줄을 서서 고객의 PIN 코드를 확인하고 ATM에서 거부된 카드를 집어 들고 빈 카드에 계좌 번호를 복사하여 고객의 계좌를 강탈하는 데 사용했습니다.
이 트릭은 몇 년 전 뉴욕의 한 은행에서 사용(및 보고)되었습니다. 가해자는 해고된 ATM 기술자였으며, 해당 지역에 보안 요원이 있는 은행에 적발되기 전에 그는 80,000달러를 훔쳤습니다.
이러한 공격은 은행이 은행 카드에 고객의 전체 계좌 번호를 인쇄했으며 또한 자기 띠에 암호화 중복이 없었기 때문에 성공했습니다. 뉴욕 은행의 교훈을 배울 수 있을 것이라고 생각하겠지만 그렇지 않습니다.
또 다른 유형의 기술적 공격은 많은 ATM 네트워크가 메시지를 암호화하지 않고 거래를 승인할 때 인증 절차를 수행하지 않는다는 사실에 의존합니다. 이는 공격자가 은행에서 ATM으로 보내는 "결제를 승인합니다"라는 응답을 녹음한 다음 ATM이 빌 때까지 녹음을 재생할 수 있음을 의미합니다. "적출"이라고 알려진 이 기술은 외부 공격자만이 사용하는 것이 아닙니다. 은행 운영자가 네트워크 제어 장치를 사용하여 공범자들과 함께 ATM을 "제거"한 사례가 알려져 있습니다.
테스트 거래는 문제의 또 다른 원인입니다
한 유형의 ATM에서는 10개의 지폐 분배를 테스트하기 위해 14자리 키 시퀀스가 사용되었습니다. 어떤 은행은 원격 ATM 사용 설명서에 이 순서를 인쇄했습니다. 3년 후, 갑자기 돈이 사라지기 시작했습니다. 이러한 유형의 ATM을 사용하는 모든 은행이 테스트 거래를 방지하기 위해 소프트웨어 패치를 사용할 때까지 계속되었습니다.
가장 빠르게 증가하는 사기는 가짜 단말기를 사용하여 고객 계정과 PIN 코드를 수집하는 사기입니다. 이 종의 공격은 1988년 미국에서 처음으로 기술되었습니다. 사기꾼들은 모든 카드를 받고 담배 한 갑을 나눠주는 기계를 만들었습니다. 본 발명품은 매장에 설치되었으며 PIN 코드와 자기 카드의 데이터가 모뎀을 통해 전송되었습니다. 그 비법은 전 세계로 퍼졌습니다.
기술자들은 고객의 불만이 무시될 가능성이 높다는 것을 알면서 고객으로부터 돈을 훔치기도 합니다. 스코틀랜드의 한 은행에서는 헬프 데스크 엔지니어가 컴퓨터를 ATM에 연결하고 고객의 계좌 번호와 PIN을 기록했습니다. 그런 다음 그는 카드를 위조하고 계좌에서 돈을 훔쳤습니다. 다시 한 번 고객은 빈 벽에 대해 불평했습니다. 은행은 이러한 관행에 대해 스코틀랜드의 최고 법률 관리 중 한 명으로부터 공개적으로 비난을 받았습니다.
4자리 PIN을 사용하는 목적은 누군가가 다른 사람의 은행 카드를 찾거나 훔칠 경우 코드를 무작위로 추측할 확률이 10,000분의 1이라는 것입니다. PIN 입력 시도가 3번만 허용된다면 도난당한 카드에서 돈을 인출할 확률은 3,000분의 1 미만입니다. 그러나 일부 은행은 네 가지 수치로 제공되는 다양성을 줄이는 데 성공했습니다.
일부 은행에서는 계좌번호를 암호화하여 변환하여 PIN을 얻는 패턴을 따르지 않고 무작위로 선택한 PIN을 사용(또는 고객이 선택할 수 있도록 허용)한 다음 이를 암호화하여 기억하도록 합니다. 고객이 추측하기 쉬운 PIN을 선택할 수 있다는 점 외에도 이 접근 방식에는 몇 가지 기술적인 함정이 있습니다.
일부 은행은 암호화된 PIN 값을 파일에 보관합니다. 이는 프로그래머가 자신의 PIN의 암호화된 값을 얻을 수 있고 동일한 PIN을 사용하는 다른 모든 계정을 데이터베이스에서 검색할 수 있음을 의미합니다.
영국의 한 대형 은행에서는 카드의 자기 띠에 암호화된 PIN 코드를 쓰기도 했습니다. 범죄 집단이 자신의 카드 자기 띠에 있는 계좌 번호를 교체한 다음 이를 자신의 PIN과 함께 사용하여 계정을 훔칠 수 있다는 사실을 깨닫는 데 15년이 걸렸습니다.
이러한 이유로 VISA 시스템은 은행이 암호화하기 전에 고객의 계좌 번호와 PIN을 결합할 것을 권장합니다. 하지만 모든 은행이 이렇게 하는 것은 아닙니다.
지금까지의 보다 정교한 공격은 단순한 구현 및 운영 절차 오류와 관련이 있었습니다. 전문 보안 연구원들은 이러한 실수를 흥미롭지 않은 것으로 보는 경향이 있으므로 보다 미묘한 기술적 결함을 기반으로 한 공격에 중점을 두었습니다. 은행에도 여러 가지 보안 취약점이 있습니다.
은행 시스템에 대한 하이테크 공격은 드물지만 ITSEC(EU 정보 보안 기술 평가 기준)와 같은 정부 이니셔티브는 알려진 기술에 대해 인증된 일련의 제품을 개발하는 것을 목표로 하기 때문에 대중의 관점에서 볼 때 관심이 있습니다. 오류. 이 프로그램의 기본 제안은 관련 제품의 구현 및 프로세스 절차에 본질적으로 오류가 없으며 공격에는 정부 보안 기관 직원과 유사한 기술 교육이 필요하다는 것입니다. 분명히 이 접근 방식은 민간 시스템보다 군사 시스템에 더 적합합니다.
더욱 정교한 공격이 어떻게 수행되는지 이해하려면 은행 보안을 더 자세히 살펴볼 필요가 있습니다.
보안 모듈 관련 문제
모든 보안 제품의 품질이 동일하지는 않으며, 좋은 제품과 평범한 제품을 구별할 수 있는 숙련된 전문가를 보유한 은행은 거의 없습니다.
실제로 암호화 제품, 특히 기존 IBM 3848 보안 모듈이나 현재 은행 기관에 권장되는 모듈에는 몇 가지 문제가 있습니다.
은행에 하드웨어로 구현된 보안 모듈이 없는 경우 PIN 코드 암호화 기능이 소프트웨어로 구현되어 그에 상응하는 바람직하지 않은 결과가 발생합니다. 보안 모듈 소프트웨어에는 제조업체 엔지니어가 소프트웨어 제품을 디버깅하기 위한 중단점이 있을 수 있습니다. 이 사실은 은행 중 하나가 이를 네트워크에 포함하기로 결정했고 제조업체의 시스템 엔지니어가 필요한 게이트웨이의 작동을 보장할 수 없었을 때 주목을 받았습니다. 작업을 완료하기 위해 그는 이러한 트릭 중 하나를 사용하여 시스템에서 PIN을 추출했습니다. 이러한 중단점이 있으면 보안 모듈 관리를 위한 안정적인 절차를 만드는 것이 불가능합니다.
일부 보안 모듈 제조업체 자체가 이러한 공격을 조장합니다. 예를 들어, 하루 중 시간을 기준으로 작동 키를 생성하는 방법이 사용되며 결과적으로 예상되는 56개 대신 실제로 20개의 키 비트만 사용됩니다. 따라서 확률 이론에 따르면 생성된 1000개의 키마다 다음과 같습니다. 두 개는 일치합니다.
이로 인해 공격자가 은행 통신을 조작하여 한 터미널의 거래가 다른 터미널의 거래로 대체되는 미묘한 남용이 가능해집니다.
한 은행의 프로그래머는 클라이언트 키를 암호화 프로그램에 입력하는 것과 관련된 문제에도 신경 쓰지 않았습니다. 그들은 단순히 시스템이 시작될 때 항상 0으로 재설정되는 메모리 영역에 키 값에 대한 포인터를 설치했습니다. 결과 이 결정그것은 진짜와 테스트 시스템동일한 키 저장 영역을 사용했습니다. 은행 기술자들은 테스트 장비에서 고객 PIN 코드를 얻을 수 있다는 것을 깨달았습니다. 그 중 몇몇은 도난당한 은행 카드에 대한 PIN 코드를 선택하기 위해 지역 범죄자에게 연락했습니다. 은행의 보안 관리자가 무슨 일이 일어났는지 밝혔을 때 그는 교통사고로 사망했습니다(그리고 지역 경찰은 관련 자료를 모두 "잃어버렸습니다"). 은행은 고객에게 새 카드를 보내는 데 신경을 쓰지 않았습니다.
보안 모듈의 주요 목적 중 하나는 컴퓨터에 액세스하는 프로그래머와 직원이 주요 은행 정보를 얻는 것을 방지하는 것입니다. 그러나 보안 모듈의 전자 부품이 제공하는 비밀성은 암호화 침투 시도를 견디지 못하는 경우가 많습니다.
보안 모듈에는 내부 사용을 위한 자체 마스터 키가 있으며 이러한 키는 특정 위치에 유지되어야 합니다. 키의 백업 복사본은 PROM과 같이 쉽게 읽을 수 있는 형식으로 유지되는 경우가 많으며, 예를 들어 영역 및 터미널 키 집합에 대한 제어가 하나의 보안 모듈에서 다른 보안 모듈로 전송되는 경우 키를 때때로 읽을 수 있습니다. 또 다른. 이러한 경우 은행은 이 작업을 수행하는 과정에서 전적으로 전문가의 판단에 따릅니다.
디자인 기술과 관련된 문제
ATM 설계 기술에 대해 간략하게 살펴보겠습니다. 이전 모델에서는 암호화 프로그램 코드가 모듈 자체가 아닌 제어 장치의 잘못된 위치에 있었습니다. 제어 장치는 특정 영역의 모듈에 근접하게 배치되어야 했습니다. 그러나 현재 많은 수의 ATM이 은행 건물 근처에 위치하지 않습니다. 영국의 한 대학에서는 ATM이 캠퍼스에 있었고 암호화되지 않은 계좌 번호와 PIN 코드를 다음으로 보냈습니다. 전화선도시에서 몇 마일 떨어진 지점의 통제실로. 전화선 도청 장치를 사용하려고 애쓰는 사람은 누구나 수천 장의 카드를 위조할 수 있습니다.
최고의 제품 중 하나를 구매하더라도 잘못된 구현이나 잘못된 기술 절차로 인해 은행에 문제가 발생할 수 있는 옵션이 많이 있습니다. 대부분의 보안 모듈은 각 트랜잭션에 대해 다양한 반환 코드를 반환합니다. 그 중 '키 패리티 오류'와 같은 일부 오류는 프로그래머가 실제로 사용되는 모듈을 실험하고 있다는 경고를 표시합니다. 그러나 이러한 경고를 가로채고 그에 따라 조치를 취하는 데 필요한 장치 드라이버를 작성하는 데 신경을 쓰는 은행은 거의 없습니다.
은행이 '관련 서비스 제공'업체와 ATM 시스템 전체 또는 일부에 대한 하도급 계약을 맺고 해당 업체에 PIN 코드를 전송하는 사례도 있다.
두 개 이상의 은행 간에 PIN 코드가 공유되는 경우도 있었습니다. 모든 은행 직원이 신뢰할 수 있는 것으로 간주되더라도 외부 회사에서는 은행별 보안 정책을 유지하지 못할 수도 있습니다. 이러한 회사의 직원은 항상 적절한 심사를 받지는 않으며, 급여가 적고, 참견하고, 무모할 가능성이 높으며, 이로 인해 사기가 잉태되고 실행될 수 있습니다.
설명된 관리 실수 중 상당수는 프로젝트의 심리적 부분이 개발되지 않았기 때문에 발생합니다. 은행 지점과 컴퓨터 센터는 하루 업무를 완료할 때 표준 절차를 따라야 하지만 목적이 명확한 통제 절차만 엄격하게 준수할 가능성이 높습니다. 예를 들어, 관리자와 회계사 사이에 지점 금고의 열쇠를 공유하는 것은 잘 알려져 있습니다. 이는 가족이 인질로 잡히지 않도록 두 사람 모두를 보호합니다. 암호화 키는 사용자에게 친숙한 형식으로 패키징되지 않는 경우가 많으므로 올바르게 사용될 가능성이 없습니다. 부분적인 대답은 실제로 키와 유사한 장치(핵무기 퓨즈의 암호화 키를 모델로 함)일 수 있습니다.
운영 절차 개선에 관해 많은 내용이 기록될 수 있지만 암호화 키를 남용할 수 있는 기술적 능력을 가진 사람의 손에 넘어가는 것을 방지하는 것이 목표라면 매뉴얼과 교육 과정에 명시적인 목표가 있어야 합니다. "모호함에 의한 보안" 원칙은 종종 득보다 실이 더 많습니다.
키 배포
키 분배는 은행 지점에 특별한 문제를 야기합니다. 아시다시피 이론에 따르면 두 명의 은행가가 각각 자신의 키 구성 요소를 입력해야 해당 조합이 터미널의 마스터 키를 제공할 수 있습니다. 터미널 마스터 키에 암호화된 PIN 코드는 유지 관리 후 첫 번째 거래 시 ATM으로 전송됩니다.
ATM 기술자가 두 가지 주요 구성 요소를 모두 받으면 PIN과 위조 카드를 해독할 수 있습니다. 실제로 열쇠를 갖고 있는 지점 관리자는 서비스가 제공되는 동안 ATM 옆에 서 있기를 원하지 않기 때문에 기꺼이 열쇠를 엔지니어에게 넘겨줍니다. 더욱이 터미널 키를 입력한다는 것은 키보드를 사용하는 것을 의미하는데, 나이 많은 관리자들은 이를 자신의 존엄성 아래로 여깁니다.
키를 잘못 관리하는 것은 일반적인 관행입니다. 유지 관리 직원의 엔지니어에게 마스터 키가 있는 두 개의 초소형 회로가 모두 제공되는 알려진 사례가 있습니다. 이론적으로는 이중 제어 절차가 존재했지만 마지막 키가 사용되었고 무엇을 해야할지 아무도 모르기 때문에 보안 담당자가 칩을 넘겨주었습니다. 엔지니어는 카드를 위조하는 것 이상의 일을 할 수 있습니다. 그는 열쇠를 가지고 떠나 모든 은행 ATM 운영을 중단할 수도 있었습니다.
키가 보호된 파일보다 열린 파일에 더 자주 저장된다는 점은 흥미롭지 않습니다. 이는 ATM 키뿐만 아니라 수십억 달러 규모의 거래를 처리하는 SWIFT와 같은 은행 간 결제 시스템용 키에도 적용됩니다. 터미널 키, 존 키 등의 초기화 키는 한 번만 사용하고 파기하는 것이 현명할 것입니다.
암호분석 위협
암호 분석가는 아마도 은행 시스템에 가장 적은 위협을 가할 수 있지만 완전히 무시할 수는 없습니다. 일부 은행(대규모 및 잘 알려진 은행 포함)은 DES 이전 몇 년 동안 만들어진 자체 암호화 알고리즘을 여전히 사용하고 있습니다. 한 데이터 네트워크에서는 데이터 블록이 상수를 추가하여 간단히 "스크램블"되었습니다. 이 방법은 40개 이상의 은행에서 네트워크를 사용했음에도 불구하고 5년 동안 비판을 받지 않았습니다. 더욱이 이들 은행의 보험, 감사, 보안 전문가들은 모두 시스템 사양을 읽은 것으로 보인다.
"존경할 만한" 알고리즘을 사용하더라도 부적절한 매개변수로 구현될 수 있습니다. 예를 들어, 일부 은행에서는 필요한 보안 수준을 제공하기 위해 키 길이가 500비트 이상이어야 함에도 불구하고 100~400비트 범위의 키 길이로 RSA 알고리즘을 구현했습니다.
특정 은행에서 사용하는 키를 찾을 때까지 가능한 모든 암호화 키를 시도하면서 무차별 대입을 통해 키를 찾을 수도 있습니다.
영역 키를 사용하여 작업 키를 암호화하기 위해 국제 네트워크에서 사용되는 프로토콜을 사용하면 이러한 방식으로 영역 키를 쉽게 공격할 수 있습니다. 존 키를 한 번만 오픈하면 은행이 네트워크를 통해 주고받는 모든 PlN 코드를 복호화할 수 있다. Canadian Bank 전문가의 최근 연구에 따르면 DES에 대한 이러한 종류의 공격에는 영역 키당 약 £30,000의 비용이 소요되는 것으로 나타났습니다. 결과적으로, 조직 범죄의 자원은 그러한 범죄에 매우 충분하며, 그러한 범죄는 충분히 부유한 개인에 의해 수행될 수 있습니다.
아마도 키를 찾는 데 필요한 특수 컴퓨터는 현재 혼란스러운 국가를 포함하여 일부 국가의 정보 기관에서 만들어졌을 것입니다. 결과적으로, 이 장비의 관리자가 개인적인 이익을 위해 장비를 사용할 위험이 있습니다.
크고 작은 모든 시스템에는 소프트웨어 버그가 포함되어 있으며 사람의 실수가 발생할 수 있습니다. 은행 시스템도 예외는 아니며, 산업 생산 분야에서 일해 본 사람이라면 누구나 이를 깨닫습니다. 지점 결제 시스템은 수십 년에 걸쳐 발전해 온 많은 상호 작용 모듈로 인해 규모가 더 커지고 복잡해지는 경향이 있습니다. 일부 거래는 필연적으로 잘못 실행될 수 있습니다. 인출이 중복되거나 계정이 잘못 변경될 수 있습니다.
이러한 상황은 은행 계좌를 조정하기 위해 특별 직원을 두고 있는 대기업의 금융 관리자에게는 새로운 것이 아닙니다. 잘못된 청구가 나타나면 해당 직원은 검토를 위해 관련 문서를 요청하고, 문서가 누락된 경우 은행에서 잘못된 지불 금액을 환불받습니다.
그러나 ATM 고객에게는 분쟁 결제 금액을 상환할 수 있는 옵션이 없습니다. 미국 이외의 대부분의 은행가는 단순히 시스템에 버그가 없다고 말합니다.
이러한 정책은 특정한 법적, 행정적 위험을 초래합니다. 첫째, 사기 행위가 숨겨져 있기 때문에 남용의 가능성이 있습니다. 둘째, 이는 의뢰인에게 너무 복잡한 증거로 이어지며, 이는 미국 법원에서 절차를 단순화한 이유였습니다. 셋째, 적발될 가능성이 없다는 사실을 바탕으로 은행 직원이 절도를 하도록 간접적으로 조장하는 것과 관련된 도덕적 해이가 있습니다. 넷째, 이는 고객 청구에 대한 중앙 집중식 기록이 부족하여 사기 사건에 대해 적절하게 조직화된 통제가 불가능하기 때문에 이념적 결함입니다.
ATM 손실과 관련된 비즈니스 활동에 대한 영향은 정확하게 추정하기 어렵습니다. 영국에서는 1992년 6월 재무부 경제장관(은행 규제 담당 장관)이 이러한 오류가 매일 발생하는 300만 건 중 적어도 2건의 거래에 영향을 미친다고 밝혔습니다. 그러나 최근 소송 압력으로 인해 이 수치는 처음에는 잘못된 거래 250,000개 중 1개, 그 다음에는 100,000개 중 1개, 최종적으로는 34,000개 중 1개로 수정되었습니다.
불만을 제기한 고객은 일반적으로 은행 직원에 의해 거절당하고 대부분의 사람들은 단순히 자신의 계좌에서 일회성 인출이 이루어졌음을 알 수 없기 때문에 가장 좋은 추측은 잘못된 거래 10,000건 중 약 1건이 발생한다는 것입니다. 50년 동안 일주일에 한 번 ATM을 사용하면 고객 4명 중 1명이 평생 동안 ATM 사용에 문제를 겪을 것으로 예상됩니다.
암호화 시스템 설계자는 시스템 오류가 이론적으로 어떻게 발생할 수 있는지보다는 실제로 어떻게 발생하는지에 대한 정보가 부족하기 때문에 불리한 입장에 있습니다. 이 단점 피드백잘못된 위협 모델을 사용하게 됩니다. 설계자는 일반적으로 오류를 일으키는 원인에 초점을 맞추기보다는 시스템에서 오류를 일으킬 수 있는 요소에 노력을 집중합니다. 많은 제품이 너무 복잡하고 까다로워 제대로 사용되는 경우가 거의 없습니다. 결과적으로 대부분의 오류는 시스템의 구현 및 유지 관리와 관련이 있습니다. 구체적인 결과는 ATM 사기가 급증하여 금전적 손실을 초래할 뿐만 아니라 정의가 오판되고 은행 시스템에 대한 신뢰도가 하락하는 결과를 가져왔습니다.
암호화 방법 구현의 한 예는 EXCELLENCE 디지털 서명을 사용하는 암호화 정보 보호 시스템입니다.
EXCELLENCE 소프트웨어 암호화 시스템은 암호화 암호화, 디지털 서명 및 인증 기능을 사용하여 IBM 호환 개인용 컴퓨터 간에 처리, 저장 및 전송되는 정보를 보호하도록 설계되었습니다.
시스템은 국가 표준인 암호화 - GOST 28147-89를 준수하는 암호화 알고리즘을 구현합니다. 디지털 서명은 RSA 알고리즘을 기반으로 합니다.
엄격한 인증 및 키 인증을 갖춘 키 시스템은 국제적으로 널리 사용되는 X.509 프로토콜과 개방형 RSA 키 배포 원칙을 기반으로 구축되었습니다.
시스템에는 파일 수준에서 정보를 처리하기 위한 암호화 기능이 포함되어 있습니다.
키 작업을 위한 암호화 기능:
각 네트워크 가입자는 자신만의 개인 키와 공개 키를 가지고 있습니다. 각 사용자의 비밀 키는 개인 키 플로피 디스크나 개별 전자 카드에 기록됩니다. 가입자 키의 비밀성은 그를 위해 암호화된 정보를 보호하고 그의 디지털 서명을 위조할 수 없도록 보장합니다.
시스템은 두 가지 유형의 주요 정보 매체를 지원합니다.
각 네트워크 가입자는 무단 수정으로부터 보호되는 모든 시스템 가입자의 공개 키와 이름이 포함된 파일 디렉터리를 가지고 있습니다. 각 가입자는 자신의 개인 키를 비밀로 유지해야 할 의무가 있습니다.
기능적으로 EXCELLENCE 시스템은 소프트웨어 모듈 excell_s.exe의 형태로 구현되며 MS DOS 3.30 이상의 운영 체제에서 실행됩니다. 함수 실행을 위한 매개변수는 다음 형식으로 전달됩니다. 명령줄도스. 추가적으로 그래픽 인터페이스도 제공됩니다. 이 프로그램은 Intel386/486/Pentium 프로세서에서 32비트 작업을 자동으로 인식하고 지원합니다.
다른 사람에게 삽입하기 위해 소프트웨어 시스템다음 모드에서 RAM의 데이터 작업을 위한 기본 암호화 기능을 포함하는 EXCELLENCE 시스템의 변형이 구현되었습니다. 메모리 - 메모리; 메모리 - 파일; 파일 - 메모리.
21세기 초반의 예측
정보 보안 문제를 해결하기 위해 효과적인 조치를 취하는 은행 경영진의 비중은 40~80%로 높아져야 합니다. 주요 문제는 서비스(전직 포함) 인력(40%~95%)이 될 것이며, 주요 위협 유형은 무단 접근(UNA)과 바이러스(최대 100%의 은행이 바이러스 공격을 받게 될 것)가 될 것이다. ).
정보 보안을 보장하기 위한 가장 중요한 조치는 정보 보안 서비스의 최고의 전문성이 될 것입니다. 이를 위해 은행은 이익의 최대 30%를 정보 보안에 지출해야 합니다.
위에 나열된 모든 조치에도 불구하고 정보 보안 문제에 대한 절대적인 해결책은 불가능합니다. 동시에, 은행의 정보보안 시스템의 효율성은 전적으로 이에 투자된 금액과 정보보안 서비스의 전문성에 의해 결정되며, 은행의 정보보안 시스템을 위반할 가능성은 전적으로 비용에 의해 결정됩니다. 보안 시스템과 사기꾼의 자격을 극복합니다. (해외 관행에서는 보안 시스템을 극복하는 데 드는 비용이 보호되는 정보 가치의 25%를 초과하지 않는 경우 보안 시스템을 "해킹"하는 것이 합리적이라고 믿어집니다.)
4장에서는 전자금융시스템 보호 접근방식의 특징을 살펴보았다. 이러한 시스템의 특별한 특징은 특별한 형태의 전자 데이터 교환, 즉 전자 지불이며, 이 없이는 현대 은행이 존재할 수 없습니다.
전자 데이터 교환(EDE)은 컴퓨터 간 비즈니스, 상업 및 금융 전자 문서를 교환하는 것입니다. 예를 들어 주문, 지불 지침, 계약 제안, 송장, 영수증 등이 있습니다.
EOD는 무역 거래 준비, 계약 체결 및 배송 이행의 모든 단계에서 거래 파트너(고객, 공급업체, 리셀러 등) 간의 신속한 상호 작용을 보장합니다. 계약금 지급 및 자금 이체 단계에서 EDI는 금융 문서의 전자 교환으로 이어질 수 있습니다. 이는 거래 및 결제 거래를 위한 효과적인 환경을 조성합니다.
* 거래 파트너에게 상품 및 서비스 제안을 숙지시키고, 필요한 상품/서비스를 선택하고, 상업적 조건(비용 및 배송 시간, 거래 할인, 보증 및 서비스 의무)을 실시간으로 명확히 하는 것이 가능합니다.
* 실시간으로 상품/서비스를 주문하거나 계약 제안을 요청하는 경우
* 상품 배송, 이메일을 통한 첨부 문서(송장, 송장, 구성 요소 목록 등) 수령에 대한 운영 제어
* 상품/서비스 배송 완료 확인, 청구서 발행 및 결제
* 은행 신용 및 지불 거래 실행. OED의 장점은 다음과 같습니다.
* 종이 없는 기술로 전환하여 운영 비용을 절감합니다. 전문가들은 종이 문서를 처리하고 유지하는 데 드는 비용이 상거래 및 상품 배송 총 비용의 3~8%로 추산됩니다. 예를 들어, 미국 자동차 산업에서는 EED 사용으로 인한 이익이 제조된 자동차당 200달러 이상인 것으로 추산됩니다.
* 결제 속도와 자금 회전율을 높입니다.
* 계산의 편의성을 높였습니다.
EED 개발에는 두 가지 주요 전략이 있습니다.
1. EOD는 파트너와의 긴밀한 상호 작용을 가능하게 하는 경쟁 우위로 사용됩니다. 이 전략은 대규모 조직에서 채택되었으며 확장된 기업 접근 방식이라고 합니다.
2. EDI는 상호 작용의 효율성을 높이기 위해 일부 특정 산업 프로젝트 또는 상업 및 기타 조직 협회의 이니셔티브에서 사용됩니다.
미국과 서유럽의 은행은 이미 EDI 확산에 있어 은행의 핵심 역할과 비즈니스 및 개인 파트너와의 긴밀한 상호 작용을 통해 얻을 수 있는 상당한 이점을 인식하고 있습니다. OED는 은행이 고객, 특히 이전에는 높은 비용으로 인해 서비스를 이용할 수 없었던 소규모 고객에게 서비스를 제공하도록 돕습니다.
EDI가 널리 보급되는 데 가장 큰 장애물은 통신 채널을 통해 문서를 교환할 때 문서가 다양하게 표시된다는 것입니다. 이러한 장애물을 극복하기 위해 다양한 조직에서는 다양한 산업 분야의 EED 시스템에 문서를 제출하기 위한 표준을 개발했습니다.
QDTI - 일반 무역 교류(유럽, 국제 무역);
MDSND - 전국 자동 청산소 협회(미국, 전국 자동 청산소 협회);
TDCC - 교통 데이터 조정 위원회;
VICS - 자발적 산업간 커뮤니케이션 표준(미국, 자발적 산업간 커뮤니케이션 표준);
WINS - 창고 정보 네트워크 표준 정보 네트워크상품 창고).
1993년 10월, 국제 그룹 UN/ECE는 EDIFACT 표준의 첫 번째 버전을 발표했습니다. 개발된 구문 규칙 및 상용 데이터 요소 세트는 두 가지 ISO 표준의 형태로 공식화되었습니다.
ISO 7372 - 무역 데이터 요소 디렉토리;
ISO 9735 - EDIFACT - 애플리케이션 수준 구문 규칙.
EOD의 특별한 경우는 고객과 은행 간, 은행과 기타 금융 및 상업 기관 간 금융 문서 교환을 의미하는 전자 결제입니다.
전자 결제 개념의 핵심은 통신 회선을 통해 전송된 메시지가 적절하게 실행되고 전송되어 하나 이상의 은행 업무를 수행하는 기초가 된다는 것입니다. 원칙적으로 이러한 작업을 수행하는 데에는 종이 문서가 필요하지 않습니다(발행될 수도 있음). 즉, 통신 회선을 통해 전송된 메시지에는 발송인이 자신의 계좌, 특히 수령 은행(교환 센터일 수 있음)의 환거래 계좌에서 일부 작업을 수행했으며 수취인이 다음 작업을 수행해야 한다는 정보가 포함됩니다. 메시지에 지정된 작업. 이러한 메시지를 기반으로 돈을 보내거나 받을 수 있고, 대출을 개설하고, 구매 또는 서비스 비용을 지불하고, 기타 작업을 수행할 수 있습니다. 은행 거래. 이러한 메시지를 전자화폐라고 하며, 이러한 메시지의 전송 또는 수신을 기반으로 하는 은행업무 실행을 전자결제라고 합니다. 당연히 전자 결제를 수행하는 전체 과정에는 다음이 필요합니다. 안정적인 보호. 그렇지 않으면 은행과 고객은 심각한 문제에 직면하게 될 것입니다.
전자결제는 은행간 결제, 무역결제, 개인결제 등에 사용됩니다.
은행 간 및 무역 결제는 조직(법인) 간에 이루어지므로 조직을 기업이라고 부르기도 합니다. 개인 고객과 관련된 결제를 개인 결제라고 합니다.
은행 시스템에서 발생하는 대부분의 주요 도난은 전자 결제 시스템과 직간접적으로 관련되어 있습니다.
다양한 국가의 수많은 금융 기관과 고객을 대상으로 하는 전자 결제 시스템, 특히 글로벌 결제 시스템을 구축하는 데에는 많은 장애물이 있습니다. 주요 내용은 다음과 같습니다.
1. 운영 및 서비스에 대한 통일된 표준이 부족하여 통합 은행 시스템 구축이 상당히 복잡해졌습니다. 각 대형 은행은 자체 EOD 네트워크를 구축하려고 노력하고 있으며, 이로 인해 운영 및 유지 관리 비용이 증가합니다. 중복된 시스템으로 인해 사용이 어려워지고 상호 간섭이 발생하며 고객 능력이 제한됩니다.
2. 통화 공급의 이동성 증가는 금융 투기 가능성의 증가로 이어지며 "유랑 자본"의 흐름을 확대합니다. 이 돈은 단기간에 시장 상황을 바꾸고 불안정하게 만들 수 있습니다.
3. 금융 결제 시 기술 도구 및 소프트웨어 오류의 실패 및 실패로 인해 특히 은행 관계(일종 "오류 전파"). 동시에 정보처리를 직접적으로 관리하는 시스템 운영자와 관리자의 역할과 책임도 크게 늘어나고 있다.
전자 결제 시스템의 고객이 되기를 원하는 조직이나 자체 시스템을 구성하려는 조직은 이 점을 알아야 합니다.
전자지불시스템이 안정적으로 운영되기 위해서는 잘 보호되어야 합니다.
무역 정산은 다양한 무역 조직 간에 이루어집니다. 은행은 지불 기관의 계좌에서 수취 기관의 계좌로 돈을 이체할 때 중개자로서 이러한 결제에 참여합니다.
가맹점 결제는 전자 결제 프로그램의 전반적인 성공에 매우 중요합니다. 다양한 기업의 금융 거래 규모는 일반적으로 전체 은행 거래 규모의 상당 부분을 차지합니다.
거래 정산 유형은 조직마다 크게 다르지만 결제가 수행될 때 항상 결제 메시지와 보조(통계, 보고서, 알림)라는 두 가지 유형의 정보가 처리됩니다. 금융 기관의 경우 가장 큰 관심은 물론 결제 메시지의 정보(계좌 번호, 금액, 잔액 등)입니다. 무역 조직의 경우 두 가지 유형의 정보가 모두 똑같이 중요합니다. 첫 번째 정보는 재무 상태에 대한 단서를 제공하고 두 번째 정보는 의사 결정 및 정책 개발에 도움이 됩니다.
가장 일반적인 거래 결제 유형은 다음과 같습니다.
* 직접 입금.
이러한 유형의 결제의 의미는 조직이 미리 준비된 자기 매체 또는 특수 메시지를 사용하여 직원이나 고객에게 특정 유형의 결제를 자동으로 수행하도록 은행에 지시한다는 것입니다. 지급 조건(자금 출처, 금액 등)은 사전에 합의됩니다. 주로 정기지급(각종 보험금 지급, 대출금 상환, 급여 등)에 사용됩니다. 제도적으로는 예를 들어 수표를 이용한 결제보다 직접 입금이 더 편리합니다.
1989년 이래로 직접 입금을 이용하는 직원 수는 전체 직원의 25%로 두 배 증가했습니다. 오늘날 700만 명 이상의 미국인이 직접 입금을 통해 급여를 받습니다. 은행의 경우 직접 입금을 통해 다음과 같은 이점을 얻을 수 있습니다.
종이 문서 처리와 관련된 작업량을 줄이고 결과적으로 상당한 금액을 절약합니다.
결제 금액의 100%를 입금해야 하므로 입금 횟수를 늘립니다.
은행 외에도 소유주와 근로자 모두 혜택을 받습니다. 편의성은 높이고 비용은 절감됩니다.
* OED를 사용한 계산.
여기에 있는 데이터는 송장, 송장, 구성 요소 시트 등입니다.
EDI를 구현하려면 다음과 같은 기본 서비스 세트가 필요합니다.
X.400 표준에 따른 이메일
파일 전송;
지점간 통신;
데이터베이스에 대한 온라인 액세스
사서함;
정보 표현 표준의 변화.
EDI를 사용하는 현재 기존 무역 결제 시스템의 예는 다음과 같습니다.
National Bank와 Royal Bank(캐나다)는 IBM Information Network를 사용하여 고객 및 파트너와 연결됩니다.
1986년에 설립된 Bank of Scotland Transcontinental Automated Payment Service(TAPS)는 특송 은행 및 자동 어음교환소를 통해 Bank of Scotland를 15개국의 고객 및 파트너와 연결합니다.
전자 은행 간 결제는 주로 두 가지 유형으로 구성됩니다.
* 중개은행(어음교환은행)의 강력한 전산시스템과 본 은행에서 결제에 참여하는 은행의 환거래계좌를 이용하여 결제결제를 진행합니다. 이 시스템은 후속 잔액 이체와 함께 법인의 상호 금전적 청구 및 의무의 상쇄를 기반으로 합니다. 청산은 주식 및 상품 거래소에서도 널리 사용되며 거래 참가자의 상호 청구 정산은 청산소 또는 특수 전자 청산 시스템을 통해 수행됩니다.
은행 간 청산 결제는 특별 어음 교환소, 상업 은행, 한 은행의 지점과 지점 간, 본사를 통해 수행됩니다. 많은 국가에서 어음교환소 기능은 중앙은행이 수행합니다. ACH(자동 교환소)는 금융 기관 간 자금 교환을 위한 서비스를 제공합니다. 결제 거래는 주로 차변이나 대변으로 제한됩니다. AKP 시스템의 회원은 AKP 협회의 회원인 금융 기관입니다. 협회는 특정 지역 내 전자 결제 구현을 위한 규칙, 절차 및 표준을 개발하기 위해 구성되었습니다. ACP는 자금 및 관련 정보를 이동하는 메커니즘에 지나지 않습니다. 그들은 스스로 결제 서비스를 수행하지 않습니다. ACP는 종이 금융 문서 처리 시스템을 보완하기 위해 만들어졌습니다. 최초의 자동 변속기는 1972년 캘리포니아에서 등장했으며 현재 미국에서는 48개의 자동 변속기가 작동되고 있습니다. 1978년에 NACHA(National Automated Clearing House Association)가 창설되어 48개의 ACH 네트워크를 모두 협력 기반으로 통합했습니다.
운영의 규모와 성격은 지속적으로 확대되고 있습니다. ACP는 사업 정산 및 전자 데이터 교환 거래를 수행하기 시작했습니다. 다양한 은행과 기업의 노력 끝에 3년간의 노력 끝에 대변과 차변을 자동으로 처리하는 CTP(Corporate Trade Payment) 시스템이 탄생했습니다. 전문가들은 자동변속기 기능 확대 추세는 앞으로도 계속될 것으로 내다봤다.
* 두 은행이 loro nostro 계좌를 사용하여 서로 직접 통신하는 직접 결제(조직적 또는 지원 역할을 하는 제3자의 참여 포함). 당연히 상호 거래 규모는 이러한 결제 시스템을 구성하는 데 드는 비용을 정당화할 수 있을 만큼 커야 합니다. 일반적으로 이러한 시스템은 여러 은행을 통합하며 각 쌍은 중개자를 우회하여 서로 직접 통신할 수 있습니다. 그러나 이 경우 상호 작용하는 은행의 보호(키 배포, 관리, 기능 제어 및 이벤트 등록)를 처리하는 제어 센터가 필요합니다.
여러 은행이나 지점을 연결하는 소규모 시스템부터 수천 명의 참가자를 연결하는 거대한 국제 시스템에 이르기까지 전 세계에는 이러한 시스템이 상당히 많이 있습니다. 이 클래스의 가장 유명한 시스템은 SWIFT입니다.
최근 세 번째 유형의 전자 결제, 즉 전자 수표 잘림이 등장했습니다. 그 본질은 종이 수표가 제시된 금융 기관으로 보내는 경로를 중지하는 것입니다. 필요한 경우 전자 아날로그는 특별한 메시지의 형태로 더 멀리 "이동"합니다. 전자 수표의 전달 및 상환은 ACH를 사용하여 수행됩니다.
1990년에 NACHA는 국가 시범 프로그램인 "전자 수표 절단(Electronic Check Truncation)"의 첫 번째 테스트 단계를 발표했습니다. 그 목표는 엄청난 양의 종이 수표를 처리하는 데 드는 비용을 줄이는 것입니다.
전자결제 시스템을 이용한 송금에는 다음과 같은 단계가 포함됩니다. (특정 조건 및 시스템 자체에 따라 순서가 달라질 수 있습니다.)
1. 첫 번째 은행 시스템의 특정 계좌에서 필요한 금액만큼 차감됩니다.
2. 1차 은행의 환거래계좌도 같은 금액만큼 증가합니다.
3. 수행 중인 작업에 대한 정보(계좌 식별자, 금액, 날짜, 조건 등)가 포함된 메시지가 첫 번째 은행에서 두 번째 은행으로 전송됩니다. 이 경우 전송된 메시지는 위조로부터 적절하게 보호되어야 합니다(암호화, 디지털 서명 및 제어 필드 제공 등).
4. 두 번째 은행의 첫 번째 은행 거래 계좌에서 필요한 금액이 인출됩니다.
5. 두 번째 은행의 특정 계좌에 필요한 금액만큼 증가합니다.
6. 두 번째 은행은 첫 번째 은행에 계좌 조정 사항에 대한 통지를 보냅니다. 또한 이 메시지는 결제 메시지를 보호하는 것과 유사한 방식으로 변조로부터 보호되어야 합니다.
7. 교환 프로토콜은 충돌을 방지하기 위해 가입자와 제3자(네트워크 제어 센터에서) 모두에 대해 기록됩니다.
메시지 전송 과정에 중개자가 있을 수 있습니다(청산 센터, 정보 전송 중개 은행 등). 이러한 계산의 가장 큰 어려움은 파트너에 대한 신뢰입니다. 즉, 각 가입자는 자신의 통신원이 필요한 모든 조치를 수행할 것인지 확인해야 합니다.
전자지급의 활용을 확대하기 위해 금융서류의 전자제시 표준화를 추진하고 있습니다. 70년대에 두 조직 내에서 시작되었습니다.
1) ANSI(American National Standard Institute)는 ANSI X9.2-1080, (금융 기관 간 직불 및 신용 카드 메시지 교환을 위한 교환 메시지 사양)을 발표했습니다. 1988년에 ISO는 유사한 표준을 채택하여 ISO 8583(은행 카드 발송 메시지 교환 메시지 사양 - 금융 거래 내용)이라고 불렀습니다.
2) SWIFT(세계은행간금융통신협회)는 은행간 메시지에 대한 일련의 표준을 개발했습니다.
ISO 8583 표준에 따라 금융 문서에는 메시지 또는 전자 문서(전자 신용 카드, X.400 형식의 메시지 또는 EDIFACT 구문의 문서)의 특정 필드에 있는 여러 데이터 요소(세부 정보)가 포함되어 있습니다. 각 데이터 요소(ED)에는 고유한 번호가 할당됩니다. 데이터 요소는 필수(즉, 이 유형의 모든 메시지에 포함됨)이거나 선택 사항(일부 메시지에는 없을 수 있음)일 수 있습니다.
비트 스케일은 메시지의 구성(메시지에 존재하는 ED)을 결정합니다. 비트 스케일의 특정 숫자가 1로 설정되면 해당 ED가 메시지에 존재한다는 의미입니다. 이러한 메시지 인코딩 방법 덕분에 메시지의 전체 길이가 줄어들고, 많은 ED가 포함된 메시지를 표시할 때 유연성이 확보되며, 새로운 ED와 메시지 유형을 표준 구조의 전자 문서에 포함할 수 있는 기능이 제공됩니다.
전자은행 간 결제에는 여러 가지 방법이 있습니다. 그 중 수표결제(서비스 후 결제)와 신용장 결제(기대 서비스에 대한 결제) 두 가지를 고려해 보겠습니다. 지불 요청이나 지불 주문을 통한 지불과 같은 다른 방법에도 비슷한 구성이 있습니다.
수표 지불은 지불인의 신분증이 포함된 종이 또는 기타 문서를 기반으로 합니다. 이 문서는 수표에 명시된 금액을 소유자 계좌에서 소지인 계좌로 이체하기 위한 기초가 됩니다. 수표 결제에는 다음 단계가 포함됩니다.
수표를 받음
은행에 수표를 제출합니다.
수표 소유자의 계좌에서 발행인의 계좌로 이체를 요청합니다.
송금;
지불 통지.
이러한 결제의 주요 단점은 쉽게 위조될 수 있는 보조 문서(수표)가 필요하고 결제를 완료하는 데 상당한 시간(최대 며칠)이 소요된다는 점입니다.
따라서 최근에는 신용장에 의한 지급 방식이 더욱 보편화되었습니다. 여기에는 다음 단계가 포함됩니다.
대출 제공에 관해 고객이 은행에 통지
대출 제공 및 자금 이체에 관해 수취인의 은행에 통지
수취인에게 대출 수령에 대해 알립니다.
이 시스템을 사용하면 매우 짧은 시간에 결제를 완료할 수 있습니다. 대출 통지는 (전자)우편, 플로피 디스크, 자기 테이프를 통해 보낼 수 있습니다.
위에서 설명한 각 지불 유형에는 고유한 장점과 단점이 있습니다. 수표는 소액 결제뿐만 아니라 불규칙한 결제에도 가장 편리합니다. 이 경우 지불 지연은 그다지 심각하지 않으며 신용 사용은 부적절합니다. 신용장을 이용한 결제는 일반적으로 정기 결제 및 상당한 금액에 사용됩니다. 이러한 경우, 청산 지연이 없기 때문에 자금 회전 기간이 단축되어 많은 시간과 비용을 절약할 수 있습니다. 이 두 가지 방법의 공통적인 단점은 신뢰할 수 있는 전자 결제 시스템을 구성하는 데 비용을 지출해야 한다는 것입니다.
