분산환경에서의 결제 및 인증 구조
Decentralized Payment & Identity Structure
1. 목적
- 분산환경하의 결제서비스 공급자(Payment Service Provider)를 포함한 다수의 공급자들(Providers)이 자유롭게 결제및 인증 구조에 참여할 수 있는 표준화된 데이터 송수신 구조 확립
2. 데모
- iPhone Payment Demo : http://www.youtube.com/watch?v=HgUkpHiHH2w
- LG OZ Phone : http://www.youtube.com/watch?v=aPFSvEVEnLw
특정 Payment Provider를 통한 Payment Demo임.
이미 모바일 Full browsing단말 등 웹표준 환경에서 결제가 가능함을 보여주는 동영상
3. 웹표준 환경에서의 결제 동작구조
3.1 기존의 IE 의존 구조
3.2 웹표준 환경에서의 동작구조
3.3 전통적 방식의 HTML Presentation
* Server에서 HTML Page를 완성하여 Client로 전송하면 Client에서는 그대로 보여줌.
3.4 JSON Response에서의 HTML Presentation
* Server에서는 데이터만을 JSON format으로 변경하여 Client로 전송
* Client에서는 데이터를 재가공하여 화면 표시
* 서버는 경량의 데이터만을 Handling
3.5 DOM Request - JSON Response 구조
4 법적이슈
4.1 전자금융거래법 시행세칙 29조 2항 3호
"이용자 PC에서의 정보유출을 방지하기 위해 이용자의 접속시 우선적으로 이용자 PC에 개인용 침입탐지시스템, 키보드해킹방지 프로그램 등의 보안프로그램을 설치할 것 (다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램 해제가능)"
==> 이용자의 선택권 명시
==> 금감원의 공식답변 "이용자 선택권 부여여부를 전자금융업자가 결정할 수 있다" 임.
==> 페이게이트는 전자금융거래법상의 전자금융업자
==> 페이게이트는 개인보안프로그램 이용에 대한 이용자 선택권을 활성화함.
* 이용자는 전자금융업자가 제공하는 개인보안 프로그램들을 그대로 이용하거나
* 본인이 별도 유료 구매한 개인보안 프로그램을 이용하고 전자금융업자가 제공하는 프로그램을 이용하지 않을 수 있음.
4.2 키보드 보안
- 스크린 키보드 방식으로 키보드 보안을 이용자에게 제공
- 이용자는 키보드 보안방식을 이용할지 여부를 결정
4.3 공인인증서
- 전자금융거래법 시행세칙 제31조의 공인인증 사용예외 규정에 부합되는 경우 공인인증서 미사용.
4.4 공인인증서 미사용시 거래안정성 확보방안
- 신용카드 금액인증 + 프로파일 DB
5. 공급자 (Provider)
5.1 분산환경에서의 다양한 공급자들
- 쇼핑몰 서비스 공급자
- 신용카드 결제서비스 공급자
- 휴대폰 결제서비스 공급자
- 계좌이체 결제서비스 공급자
- 공인인증 인증서비스 공급자
- i-PIN 인증서비스 공급자
- OpenID 인증 서비스 공급자
- 배송서비스 공급자
- 문자발송서비스 공급자
5.2 이용자와 공급자
- 유저가 쇼핑몰(Shopping Service Provider)에 접근하는 경우
- 공급자는 유저에 대항 웹표준 UI만을 신경쓰면 됨.
- 공급자는 자신과 전용으로 연결되어 있는 각각의 서비스 제공자와 별도 연결.
==> 각 공급자간의 표준 데이터 송수신 방법 부재
5.3 이용자와 다수의 공급자
- 각 공급자가 이용자와 직접 통신이 필요한 경우들이 다수 존재함.- 결제서비스 제공자는 주요 결제정보(카드번호 등)를 이용자로부터 직접 받아야함.
- 인증서비스 제공자는 주요 인증정보(주민번호 등)을 이용자로부터 직접 받아야함.
- 공급자간에 상호 교류가 필요한 경우가 아주 많음.
==> 공급자간의 데이터는 XML 메세지 표준을 이용
5.4 다수 공급자간의 Use Case Diagram
5.5 기준이 되는 표준 기술들
5.5.1 DOM
- W3C 표준- DOM Request는 Google AdSense, Yahoo API등 광범위하게 사용되는 비동기 통신 방법임.
5.5.2 XML Messaging
- XML Schema, XML Signature, XML Encryption으로 W3C 권고사항.- Application Layer에서 데이터 암복호화에 대한 구조적 접근 가능하게 함.
- 다수의 XML 암호화 관련 제품들이 소개되고 있음.
- Luna XML : XML Messaging 처리 HSM
- OpenOCES : XML Messaging 처리 서버 및 클라이언트 오픈소스 프로젝트
- OpenSigner : XML Messaging처리하는 자바 및 공인인증서 기반 오픈소스 프로젝트
5.5.3 JSON
- XML data와 상호 변환 호환성 제공- www.json.org
5.5.4 SAML
- Security Assertion Markup Language- http://en.wikipedia.org/wiki/SAML
- http://blog.sdnkorea.com/blog/501 : SAML을 이용한 SSO 구현