2019.09.17

결제 처리 산업에 중대한 영향··· 'PSD2' 안내서

Lucian Constantin | CSO
유럽에서 오는 9월 온라인 결제를 대상으로 새롭게 개정된 PSD2(Payment Services Directive 2)라는 새로운 보안 요구사항이 발효될 예정이다. 그러나 이에 따른 영향은 유럽에 그치지 않을 전망이다. 

PSD2는 결제 처리 산업에 2가지 중대한 변화를 가져온다. PSD2는 다중 인증(MFA)을 통해 온라인 거래의 보안을 강화하는 요건을 부과한다. 또 은행을 비롯한 금융기관들은 제3자 결제 서비스 공급업체에 (계좌 소유주가 동의할 경우)고객 은행 계좌에 액세스할 권한을 부여해야 한다.
 
ⓒ Image Credit : Getty Images Bank


SCA(Strong Consumer Authentication) 요건이란 무엇일까?
PSD2에 따르면, 결제 계좌를 보유한 금융기관은 유럽 지역 소비자의 카드 결제 거래 등 온라인 거래에 이중 인증(2FA)을 적용해야 한다. 더 강력한 인증을 위해 비밀번호와 PIN 같이 사용자가 알고 있는 것, 지문이나 얼굴 인식 같은 생체 인식 식별자나 스마트폰 앱이 생성하는 코드 같이 사용자가 갖고 있는 것을 결합하는 방식이다. 이를 통해 모든 거래에서 고객과 거래 금액을 연결시키는 고유의 인증 코드가 만들어진다.

그렇지만 몇몇 예외가 적용된다. 예를 들어, 30유로 미만의 거래와 구독서비스 같이 지불 받는 사람과 금액이 항상 동일한 반복 거래는 이러한 요건이 적용되지 않는다. 또 소비자가 특정 상점들을 화이트리스트 처리할 수 있다.

이보다 금액이 더 큰 경우에도 수취 은행이나 서비스가 부정행위 발생 비율을 다른 위험 분석 도구를 통해 낮게 유지할 경우 예외가 적용된다. 구체적으로 부정행위 발생 비율이 각각 0.13%, 0.06%, 0.01% 미만일 때 요건이 적용되지 않는 금액 상한선은 각각 100유로, 250유로, 500유로이다. 

그러나 컨설팅 회사인 에이트 그룹(Aite Group)과 부정행위 방지 회사인 아이오베이션(Iovation)이 최근 발표한 PSD2가 가져올 영향에 대한 보고서에 따르면, 대부분 수취기관에서 평균적인 부정행위 발생 비율은 0.13%가 넘는다. 따라서 요건이 적용되지 않는 아주 낮은 부정행위 발생 비율을 달성할 수 있을지 여부는 불투명하다.

SCA 요건은 기술적으로 카드 발급사와 수취 은행이 모두 유럽경제지역(European Economic Area, EEA)에 소재한 경우에만 적용된다. 그러나 에이트와 아이오베이션의 공동 보고서에 따르면, 유럽 카드 발급사는 관행적으로 상점의 소재지와 상관없이 동일한 규칙을 부과 및 적용하고 있다.

물리적 카드 복제를 더 어렵게 만든 (EMV 표준 기반) 칩 장착 카드가 도입된 이후 10년 동안 CNP(Card-Not-Present) 관련 부정행위가 크게 증가했다 이에 대응하기 위해 이번 요건이 도입됐다. 유럽중앙은행(ECB) 통계에 따르면, CNP 부정행위는 2016년까지 매년 꾸준히 증가했다. 유로로 결제되는 카드 부정행위 손실 총계가 가운데 약 73%를 차지한다.

IT 보안 회사들은 지난 몇 년간 온라인 상점을 침해, 사용자가 결제 페이지에서 입력하는 결제 카드의 상세 정보를 훔치는 악성 스크립트를 주입하는 공격을 하는 사이버범죄 집단의 수가 증가했다고 지적하고 있다. 이른바 웹 스키밍으로 불리는 공격이다. 이는 범죄자들이 CNP 사기에 더 많이 집중하고 있음을 알려준다.

PSD2는 미국 시장에 어떤 영향을 미칠까?
에이트와 아이오베이션에 따르면, 유럽에서 SCA 요건이 발효되고 나면 미국 등 유사하게 강력한 보호 시스템을 갖추지 못한 다른 지역에서 CNP 부정행위 사고가 더 많이 발생할 위험이 있다. 

과거 유럽에서 칩과 PIN 카드 인증 방식이 도입되었을 때에도, CP(Card-present) 부정행위에서 이러한 추세가 있었다. 좋은 소식은 미국 결제 산업이 물리적 카드를 대상으로 EMV를 도입했을 때보다 더 빠른 속도로 온라인 거래에 더 강력한 인증 체계를 도입할 확률이 높다는 것이다.

유럽 규제 당국이 새로운 법과 규정을 준비하고 있던 동안, 결제 업계는 EMVCo를 통해 준비해왔다. EMVCo는 금융 기관과 결제 카드 네트워크가 새로운 인증 표준인 3DS2(3-D Secure Version 2)를 개발하고 있는 컨소시엄이다. 이 컨소시엄은 유럽은 물론 전세계에 이 표준을 도입시킨다는 목표를 추구하고 있다.

3DS2는 생체인증(바이오메트릭)과 1회용 비밀번호를 지원, PSD2의 인증 요건을 충족한다. 또 애플 페이 같은 모바일 장치 인증 솔루션과 통합되며, 온라인 상점들이 앞선 버전인 3DS1(3-D Secure Version 1)에서 직면했던 많은 문제들을 해결해준다.

미국에서는 EMV 도입에 많은 시간이 소요됐으며, 아직 도입이 완료된 상태가 아니다. 상점들이 칩이 장착된 카드를 지원하는 새로운 PoS 터미널을 구입해야 했으며, 이러한 터미널이 로열티 프로그램과 다른 대안적 결제 방법 같은 맞춤화 부분들을 지원하도록 만들어야 했기 때문이다. 그러나 3DS2는 다르다. 하드웨어가 아닌, 소프트웨어 변경만 요구되기 때문이다.

결제 관련 기업과 금융권 기업에 컨설팅 서비스를 제공하고 있는 매사추세츠 소재 MAG(Mercator Advisory Group)의 팀 슬론 결제 혁신 담당 VP에 따르면, 상점과 더불어 금융기관도 많은 노력을 쏟아야 할 전망이다. 금융기관의 경우 모든 카드 네트워크가 공유하는 3DS2 디렉토리를 인식하는 API(Application Programming Interface)를 배포해야 한다.

슬론은 “올해, 아마존 같은 거대 다국적 기업이 유럽에서 이를 도입할 것이다. 그리고 미국까지 확대 도입을 할 것으로 예상한다. 이론적으로 봤을 때, 3DS2는 EMV와 다르게 3년 이내에 미국 내에 배포될 전망이다”라고 설명했다.

슬론은 온라인 상점들이 유럽 지역 요건을 준수하기 위해 결제 인프라를 3DS2로 바꾸기 시작하면서 미국 은행들도 이를 지원하게 될 것이라고 내다봤다. 이렇게 하지 않을 경우, 은행들이 부정 거래에 대해 책임을 져야 하기 때문이다. 즉, EU는 새로운 명령이 3DS2 도입을 견인하지만, 미국은 이러한 책임 측면의 변화가 3DS2 도입을 견인할 것으로 예상된다.

상점들이 과거 3DS1에서 직면했던 문제들을 얼마나 잘 극복할지 여부가 미국 내 3DS2 도입의 성패를 좌우할 것으로 관측된다. 3DS1의 경우, 상점들은 은행이 정보를 수집할 수 있도록 카드 보유자를 은행으로 넘겨야 한다. 이 과정에 고객들은 3DS1 이용을 포기하게 된다.

슬론은 “미국의 대부분 상점들은 신뢰도가 너무 낮다는 이유로 3DS 사용을 포기했다. 소비자가 3DS를 사용하려면, 먼저 개별적으로 가입을 해야 한다. 그런데 이를 위해 시간과 노력을 투자한 사람이 많지 않았다. 그 결과, 이를 설치해 사용하는 소비자의 수가 아주 적다”라고 지적했다.




2019.09.17

결제 처리 산업에 중대한 영향··· 'PSD2' 안내서

Lucian Constantin | CSO
유럽에서 오는 9월 온라인 결제를 대상으로 새롭게 개정된 PSD2(Payment Services Directive 2)라는 새로운 보안 요구사항이 발효될 예정이다. 그러나 이에 따른 영향은 유럽에 그치지 않을 전망이다. 

PSD2는 결제 처리 산업에 2가지 중대한 변화를 가져온다. PSD2는 다중 인증(MFA)을 통해 온라인 거래의 보안을 강화하는 요건을 부과한다. 또 은행을 비롯한 금융기관들은 제3자 결제 서비스 공급업체에 (계좌 소유주가 동의할 경우)고객 은행 계좌에 액세스할 권한을 부여해야 한다.
 
ⓒ Image Credit : Getty Images Bank


SCA(Strong Consumer Authentication) 요건이란 무엇일까?
PSD2에 따르면, 결제 계좌를 보유한 금융기관은 유럽 지역 소비자의 카드 결제 거래 등 온라인 거래에 이중 인증(2FA)을 적용해야 한다. 더 강력한 인증을 위해 비밀번호와 PIN 같이 사용자가 알고 있는 것, 지문이나 얼굴 인식 같은 생체 인식 식별자나 스마트폰 앱이 생성하는 코드 같이 사용자가 갖고 있는 것을 결합하는 방식이다. 이를 통해 모든 거래에서 고객과 거래 금액을 연결시키는 고유의 인증 코드가 만들어진다.

그렇지만 몇몇 예외가 적용된다. 예를 들어, 30유로 미만의 거래와 구독서비스 같이 지불 받는 사람과 금액이 항상 동일한 반복 거래는 이러한 요건이 적용되지 않는다. 또 소비자가 특정 상점들을 화이트리스트 처리할 수 있다.

이보다 금액이 더 큰 경우에도 수취 은행이나 서비스가 부정행위 발생 비율을 다른 위험 분석 도구를 통해 낮게 유지할 경우 예외가 적용된다. 구체적으로 부정행위 발생 비율이 각각 0.13%, 0.06%, 0.01% 미만일 때 요건이 적용되지 않는 금액 상한선은 각각 100유로, 250유로, 500유로이다. 

그러나 컨설팅 회사인 에이트 그룹(Aite Group)과 부정행위 방지 회사인 아이오베이션(Iovation)이 최근 발표한 PSD2가 가져올 영향에 대한 보고서에 따르면, 대부분 수취기관에서 평균적인 부정행위 발생 비율은 0.13%가 넘는다. 따라서 요건이 적용되지 않는 아주 낮은 부정행위 발생 비율을 달성할 수 있을지 여부는 불투명하다.

SCA 요건은 기술적으로 카드 발급사와 수취 은행이 모두 유럽경제지역(European Economic Area, EEA)에 소재한 경우에만 적용된다. 그러나 에이트와 아이오베이션의 공동 보고서에 따르면, 유럽 카드 발급사는 관행적으로 상점의 소재지와 상관없이 동일한 규칙을 부과 및 적용하고 있다.

물리적 카드 복제를 더 어렵게 만든 (EMV 표준 기반) 칩 장착 카드가 도입된 이후 10년 동안 CNP(Card-Not-Present) 관련 부정행위가 크게 증가했다 이에 대응하기 위해 이번 요건이 도입됐다. 유럽중앙은행(ECB) 통계에 따르면, CNP 부정행위는 2016년까지 매년 꾸준히 증가했다. 유로로 결제되는 카드 부정행위 손실 총계가 가운데 약 73%를 차지한다.

IT 보안 회사들은 지난 몇 년간 온라인 상점을 침해, 사용자가 결제 페이지에서 입력하는 결제 카드의 상세 정보를 훔치는 악성 스크립트를 주입하는 공격을 하는 사이버범죄 집단의 수가 증가했다고 지적하고 있다. 이른바 웹 스키밍으로 불리는 공격이다. 이는 범죄자들이 CNP 사기에 더 많이 집중하고 있음을 알려준다.

PSD2는 미국 시장에 어떤 영향을 미칠까?
에이트와 아이오베이션에 따르면, 유럽에서 SCA 요건이 발효되고 나면 미국 등 유사하게 강력한 보호 시스템을 갖추지 못한 다른 지역에서 CNP 부정행위 사고가 더 많이 발생할 위험이 있다. 

과거 유럽에서 칩과 PIN 카드 인증 방식이 도입되었을 때에도, CP(Card-present) 부정행위에서 이러한 추세가 있었다. 좋은 소식은 미국 결제 산업이 물리적 카드를 대상으로 EMV를 도입했을 때보다 더 빠른 속도로 온라인 거래에 더 강력한 인증 체계를 도입할 확률이 높다는 것이다.

유럽 규제 당국이 새로운 법과 규정을 준비하고 있던 동안, 결제 업계는 EMVCo를 통해 준비해왔다. EMVCo는 금융 기관과 결제 카드 네트워크가 새로운 인증 표준인 3DS2(3-D Secure Version 2)를 개발하고 있는 컨소시엄이다. 이 컨소시엄은 유럽은 물론 전세계에 이 표준을 도입시킨다는 목표를 추구하고 있다.

3DS2는 생체인증(바이오메트릭)과 1회용 비밀번호를 지원, PSD2의 인증 요건을 충족한다. 또 애플 페이 같은 모바일 장치 인증 솔루션과 통합되며, 온라인 상점들이 앞선 버전인 3DS1(3-D Secure Version 1)에서 직면했던 많은 문제들을 해결해준다.

미국에서는 EMV 도입에 많은 시간이 소요됐으며, 아직 도입이 완료된 상태가 아니다. 상점들이 칩이 장착된 카드를 지원하는 새로운 PoS 터미널을 구입해야 했으며, 이러한 터미널이 로열티 프로그램과 다른 대안적 결제 방법 같은 맞춤화 부분들을 지원하도록 만들어야 했기 때문이다. 그러나 3DS2는 다르다. 하드웨어가 아닌, 소프트웨어 변경만 요구되기 때문이다.

결제 관련 기업과 금융권 기업에 컨설팅 서비스를 제공하고 있는 매사추세츠 소재 MAG(Mercator Advisory Group)의 팀 슬론 결제 혁신 담당 VP에 따르면, 상점과 더불어 금융기관도 많은 노력을 쏟아야 할 전망이다. 금융기관의 경우 모든 카드 네트워크가 공유하는 3DS2 디렉토리를 인식하는 API(Application Programming Interface)를 배포해야 한다.

슬론은 “올해, 아마존 같은 거대 다국적 기업이 유럽에서 이를 도입할 것이다. 그리고 미국까지 확대 도입을 할 것으로 예상한다. 이론적으로 봤을 때, 3DS2는 EMV와 다르게 3년 이내에 미국 내에 배포될 전망이다”라고 설명했다.

슬론은 온라인 상점들이 유럽 지역 요건을 준수하기 위해 결제 인프라를 3DS2로 바꾸기 시작하면서 미국 은행들도 이를 지원하게 될 것이라고 내다봤다. 이렇게 하지 않을 경우, 은행들이 부정 거래에 대해 책임을 져야 하기 때문이다. 즉, EU는 새로운 명령이 3DS2 도입을 견인하지만, 미국은 이러한 책임 측면의 변화가 3DS2 도입을 견인할 것으로 예상된다.

상점들이 과거 3DS1에서 직면했던 문제들을 얼마나 잘 극복할지 여부가 미국 내 3DS2 도입의 성패를 좌우할 것으로 관측된다. 3DS1의 경우, 상점들은 은행이 정보를 수집할 수 있도록 카드 보유자를 은행으로 넘겨야 한다. 이 과정에 고객들은 3DS1 이용을 포기하게 된다.

슬론은 “미국의 대부분 상점들은 신뢰도가 너무 낮다는 이유로 3DS 사용을 포기했다. 소비자가 3DS를 사용하려면, 먼저 개별적으로 가입을 해야 한다. 그런데 이를 위해 시간과 노력을 투자한 사람이 많지 않았다. 그 결과, 이를 설치해 사용하는 소비자의 수가 아주 적다”라고 지적했다.


X