김연동 AES 암호화 방식(GCM) 적용 가능 여부 문의
안녕하세요.
현재 LG U+ 결제 연동 과정에서 요청 payload를 AES 방식으로 암호화하여 전송하고 있으며,
기존 AES/CBC/PKCS5Padding 방식을 사용하고 있습니다.
사내 보안 점검(AppScan) 결과, AES/GCM/NoPadding 방식 사용을 권고받아
암호화 모듈 변경을 검토 중입니다.
아래 API 및 MID 환경에서 AES/GCM 방식 적용이 가능한지 확인 요청드립니다.
API URL: https://upaynowapi.tosspayments.com/2/v1/
MID: AESTURA365
현재 방식: AES/CBC/PKCS5Padding
전환 검토 방식: AES/GCM/NoPadding
전송 데이터: JSON 요청 파라미터 전체 암호화 후 Base64 인코딩
확인 요청 사항:
해당 API가 AES/GCM 암호화 방식을 지원하는지
지원한다면
권장 IV(Nonce) 길이
TagLength (기본 128bit 사용 가능 여부)
암호문 전송 구조(IV + Cipher + Tag) 규격
만약 GCM을 지원하지 않는다면
CBC 방식 유지 시 필요한 보완 방법 또는 예외 처리 가능 여부
보안 기준 준수를 위해 정확한 암호화 방식 확인이 필요한 상황입니다.
확인 부탁드립니다.
감사합니다.
현재 LG U+ 결제 연동 과정에서 요청 payload를 AES 방식으로 암호화하여 전송하고 있으며,
기존 AES/CBC/PKCS5Padding 방식을 사용하고 있습니다.
사내 보안 점검(AppScan) 결과, AES/GCM/NoPadding 방식 사용을 권고받아
암호화 모듈 변경을 검토 중입니다.
아래 API 및 MID 환경에서 AES/GCM 방식 적용이 가능한지 확인 요청드립니다.
API URL: https://upaynowapi.tosspayments.com/2/v1/
MID: AESTURA365
현재 방식: AES/CBC/PKCS5Padding
전환 검토 방식: AES/GCM/NoPadding
전송 데이터: JSON 요청 파라미터 전체 암호화 후 Base64 인코딩
확인 요청 사항:
해당 API가 AES/GCM 암호화 방식을 지원하는지
지원한다면
권장 IV(Nonce) 길이
TagLength (기본 128bit 사용 가능 여부)
암호문 전송 구조(IV + Cipher + Tag) 규격
만약 GCM을 지원하지 않는다면
CBC 방식 유지 시 필요한 보완 방법 또는 예외 처리 가능 여부
보안 기준 준수를 위해 정확한 암호화 방식 확인이 필요한 상황입니다.
확인 부탁드립니다.
감사합니다.
