결제 처리 산업에 중대한 영향··· 'PSD2' 안내서

CSO
유럽에서 오는 9월 온라인 결제를 대상으로 새롭게 개정된 PSD2(Payment Services Directive 2)라는 새로운 보안 요구사항이 발효될 예정이다. 그러나 이에 따른 영향은 유럽에 그치지 않을 전망이다. 

PSD2는 결제 처리 산업에 2가지 중대한 변화를 가져온다. PSD2는 다중 인증(MFA)을 통해 온라인 거래의 보안을 강화하는 요건을 부과한다. 또 은행을 비롯한 금융기관들은 제3자 결제 서비스 공급업체에 (계좌 소유주가 동의할 경우)고객 은행 계좌에 액세스할 권한을 부여해야 한다.
 
ⓒ Image Credit : Getty Images Bank


SCA(Strong Consumer Authentication) 요건이란 무엇일까?
PSD2에 따르면, 결제 계좌를 보유한 금융기관은 유럽 지역 소비자의 카드 결제 거래 등 온라인 거래에 이중 인증(2FA)을 적용해야 한다. 더 강력한 인증을 위해 비밀번호와 PIN 같이 사용자가 알고 있는 것, 지문이나 얼굴 인식 같은 생체 인식 식별자나 스마트폰 앱이 생성하는 코드 같이 사용자가 갖고 있는 것을 결합하는 방식이다. 이를 통해 모든 거래에서 고객과 거래 금액을 연결시키는 고유의 인증 코드가 만들어진다.

그렇지만 몇몇 예외가 적용된다. 예를 들어, 30유로 미만의 거래와 구독서비스 같이 지불 받는 사람과 금액이 항상 동일한 반복 거래는 이러한 요건이 적용되지 않는다. 또 소비자가 특정 상점들을 화이트리스트 처리할 수 있다.

이보다 금액이 더 큰 경우에도 수취 은행이나 서비스가 부정행위 발생 비율을 다른 위험 분석 도구를 통해 낮게 유지할 경우 예외가 적용된다. 구체적으로 부정행위 발생 비율이 각각 0.13%, 0.06%, 0.01% 미만일 때 요건이 적용되지 않는 금액 상한선은 각각 100유로, 250유로, 500유로이다. 

그러나 컨설팅 회사인 에이트 그룹(Aite Group)과 부정행위 방지 회사인 아이오베이션(Iovation)이 최근 발표한 PSD2가 가져올 영향에 대한 보고서에 따르면, 대부분 수취기관에서 평균적인 부정행위 발생 비율은 0.13%가 넘는다. 따라서 요건이 적용되지 않는 아주 낮은 부정행위 발생 비율을 달성할 수 있을지 여부는 불투명하다.

SCA 요건은 기술적으로 카드 발급사와 수취 은행이 모두 유럽경제지역(European Economic Area, EEA)에 소재한 경우에만 적용된다. 그러나 에이트와 아이오베이션의 공동 보고서에 따르면, 유럽 카드 발급사는 관행적으로 상점의 소재지와 상관없이 동일한 규칙을 부과 및 적용하고 있다.

물리적 카드 복제를 더 어렵게 만든 (EMV 표준 기반) 칩 장착 카드가 도입된 이후 10년 동안 CNP(Card-Not-Present) 관련 부정행위가 크게 증가했다 이에 대응하기 위해 이번 요건이 도입됐다. 유럽중앙은행(ECB) 통계에 따르면, CNP 부정행위는 2016년까지 매년 꾸준히 증가했다. 유로로 결제되는 카드 부정행위 손실 총계가 가운데 약 73%를 차지한다.

IT 보안 회사들은 지난 몇 년간 온라인 상점을 침해, 사용자가 결제 페이지에서 입력하는 결제 카드의 상세 정보를 훔치는 악성 스크립트를 주입하는 공격을 하는 사이버범죄 집단의 수가 증가했다고 지적하고 있다. 이른바 웹 스키밍으로 불리는 공격이다. 이는 범죄자들이 CNP 사기에 더 많이 집중하고 있음을 알려준다.

PSD2는 미국 시장에 어떤 영향을 미칠까?
에이트와 아이오베이션에 따르면, 유럽에서 SCA 요건이 발효되고 나면 미국 등 유사하게 강력한 보호 시스템을 갖추지 못한 다른 지역에서 CNP 부정행위 사고가 더 많이 발생할 위험이 있다. 

과거 유럽에서 칩과 PIN 카드 인증 방식이 도입되었을 때에도, CP(Card-present) 부정행위에서 이러한 추세가 있었다. 좋은 소식은 미국 결제 산업이 물리적 카드를 대상으로 EMV를 도입했을 때보다 더 빠른 속도로 온라인 거래에 더 강력한 인증 체계를 도입할 확률이 높다는 것이다.

유럽 규제 당국이 새로운 법과 규정을 준비하고 있던 동안, 결제 업계는 EMVCo를 통해 준비해왔다. EMVCo는 금융 기관과 결제 카드 네트워크가 새로운 인증 표준인 3DS2(3-D Secure Version 2)를 개발하고 있는 컨소시엄이다. 이 컨소시엄은 유럽은 물론 전세계에 이 표준을 도입시킨다는 목표를 추구하고 있다.

3DS2는 생체인증(바이오메트릭)과 1회용 비밀번호를 지원, PSD2의 인증 요건을 충족한다. 또 애플 페이 같은 모바일 장치 인증 솔루션과 통합되며, 온라인 상점들이 앞선 버전인 3DS1(3-D Secure Version 1)에서 직면했던 많은 문제들을 해결해준다.

미국에서는 EMV 도입에 많은 시간이 소요됐으며, 아직 도입이 완료된 상태가 아니다. 상점들이 칩이 장착된 카드를 지원하는 새로운 PoS 터미널을 구입해야 했으며, 이러한 터미널이 로열티 프로그램과 다른 대안적 결제 방법 같은 맞춤화 부분들을 지원하도록 만들어야 했기 때문이다. 그러나 3DS2는 다르다. 하드웨어가 아닌, 소프트웨어 변경만 요구되기 때문이다.

결제 관련 기업과 금융권 기업에 컨설팅 서비스를 제공하고 있는 매사추세츠 소재 MAG(Mercator Advisory Group)의 팀 슬론 결제 혁신 담당 VP에 따르면, 상점과 더불어 금융기관도 많은 노력을 쏟아야 할 전망이다. 금융기관의 경우 모든 카드 네트워크가 공유하는 3DS2 디렉토리를 인식하는 API(Application Programming Interface)를 배포해야 한다.

슬론은 “올해, 아마존 같은 거대 다국적 기업이 유럽에서 이를 도입할 것이다. 그리고 미국까지 확대 도입을 할 것으로 예상한다. 이론적으로 봤을 때, 3DS2는 EMV와 다르게 3년 이내에 미국 내에 배포될 전망이다”라고 설명했다.

슬론은 온라인 상점들이 유럽 지역 요건을 준수하기 위해 결제 인프라를 3DS2로 바꾸기 시작하면서 미국 은행들도 이를 지원하게 될 것이라고 내다봤다. 이렇게 하지 않을 경우, 은행들이 부정 거래에 대해 책임을 져야 하기 때문이다. 즉, EU는 새로운 명령이 3DS2 도입을 견인하지만, 미국은 이러한 책임 측면의 변화가 3DS2 도입을 견인할 것으로 예상된다.

상점들이 과거 3DS1에서 직면했던 문제들을 얼마나 잘 극복할지 여부가 미국 내 3DS2 도입의 성패를 좌우할 것으로 관측된다. 3DS1의 경우, 상점들은 은행이 정보를 수집할 수 있도록 카드 보유자를 은행으로 넘겨야 한다. 이 과정에 고객들은 3DS1 이용을 포기하게 된다.

슬론은 “미국의 대부분 상점들은 신뢰도가 너무 낮다는 이유로 3DS 사용을 포기했다. 소비자가 3DS를 사용하려면, 먼저 개별적으로 가입을 해야 한다. 그런데 이를 위해 시간과 노력을 투자한 사람이 많지 않았다. 그 결과, 이를 설치해 사용하는 소비자의 수가 아주 적다”라고 지적했다.


3DS2의 경우, 은행이 카드를 발행 받은 사람을 자동으로 이 서비스에 가입시킨다. 따라서 별도의 가입 절차가 없다. 또한 새로운 표준은 상점들로 하여금 거래에 대해 더 많은 정보를 수집할 수 있도록 허용하고, 일반적인 결제 채널을 통해 이러한 데이터 포인트를 카드 발행사에 전달하며, 카드 발행사는 이 거래에 대해 ‘챌린지(인증 및 확인 요구)’를 할지 여부를 결정할 수 있다. 

카드 발행사는 상점과 상관없이 거래에 대해 이의를 제기할 수 있다. SMS를 통해 코드를 전송하거나, 사용자 스마트폰에 설치된 지문 기반 인증을 지원하는 은행 앱을 통해서다.

슬론은 “상점이 아닌 은행이 소비자에게 챌린지를 한다. 따라서 훨씬 더 원활한 방식이다. 물론 문제가 있다면 도입이 지연될 수 있다. 그러나 개인적으로 카드 네트워크가 이를 성사시키기 위해 최선을 다할 것으로 판단한다”라고 말했다.

에이트와 아이오베이션은 보고서에서 새로운 SCA 요건 때문에 유럽에서 기존부터 강화되어 있던 인증의 수를 2배로 증가시켜, 이런 프로세스를 적절히 관리하지 않는 상점들에 손실을 발생시킬 위험이 있다고 경고했다.

제3자가 은행 계좌에 액세스
또한 유럽 규제 당국은 유럽에 경쟁적인 결제 서비스 시장을 구현하고, 신규 진입 회사가 시장에서 혁신을 할 수 있도록 만드는 데 목표를 두고 있다. 이에 PSD2는 고객의 결제 계좌를 관리하는 은행, 금융 기관들이 고객이 동의할 경우, 제3자 서비스에 고객 계좌에 액세스할 수 있는 권한을 부여하도록 요구한다.

즉, 제3자 결제 서비스 공급업체는 잔액을 확인하고, 계좌 보유자를 대신해 결제를 시작하고, 거래 정보 등 계좌 데이터에 액세스할 수 있게 될 전망이다. 

고객들이 은행 포털에서 인증을 하는 방식 등 몇몇 방식으로 액세스 권한을 부여할 수 있다. 그러나 에이트와 아이오베이션은 은행이 제공하는 API를 사용하는 방식이 가장 많이 활용될 것으로 내다봤다. 그러나 문제는 (여러 업계 단체가 개발을 해 제안을 하기는 했지만) 이런 API에 대한 보급화 된 표준이 없다는 것이다.

에이트는 보고서에서 “은행들은 이런 표준들을 이용하거나, 독자적으로 RTS에 부합하는 API를 개발할 수 있다. 여러 표준이 존재하기 때문에, TPP(서드파티 공급업체)는 유럽에서 여러 다양한 API를 지원해야만 한다. 영국의 사례에서 알 수 있듯, 동일한 표준이라도 은행마다 구현 방식이 다를 수 있어 문제가 더 복잡해진다”라고 지적했다.

과거 다른 산업의 사례를 참조하면, 이런 ‘단편화’와 복잡성은 오류를 초래한다. 그리고 이런 오류가 보안 취약점과 보안 침해를 초래할 위험이 존재한다. 이러한 액세스가 혁신을 촉진하고, 새로운 서비스 및 애플리케이션으로 이어질 수 있지만, 소비자들은 자신의 데이터와 개인 계좌를 많은 제3자들이 액세스할 수 있도록 만들 때 각별히 주의를 기울여야 한다.

인증 요건을 명확히 한 EBA(European Banking Authority)
2019년 6월, EBA는 명령의 SCA 요건을 부합하는 인증 요소에 대한 의견서를 발행했다. 이는 지식(인지)과 소유, 고유 관련 요소를 결합해 사용하는 다중 인증 방식이다.

예를 들어, 지문과 홍채 스캐닝, 음성 및 혈관 인식, 손과 얼굴 구조, 키스트로크 다이내믹스, 심장 박동과 신체 움직임 패턴, 장치를 쥔 각도 등이 고유 요소로 수용된다. 그렇지만 EMV의 3DS나 기억된 스와이핑 패턴 등, 통신 프로토콜을 매개체로 전송되는 정보는 고유 요소로 간주되지 않는다.

소유 관련 요소의 경우, 1회용 비밀번호, QQ 코드 스캔을 통해 인증된 브라우저, 앱, 카드, 장치, 하드웨어 및 소프트웨어 토큰을 기반으로 하는 디지털 서명, 장치 바인딩이 인정된다. 장치에 앱이 존재하는 것, 또는 카드에 인쇄된 요소나 정보 등은 소유로 인정되지 않는다.

지식 관련 요소는 비밀번호, PIN, 패스프레이즈, 기억된 스와이핑 경로 등이다. 거래가 개시되기 전 존재하는 상태이며, 사용자가 알고 있는 것들이다. 그러나 이메일 주소나 사용자 이름, 카드에 인쇄된 정보, 장치에서 생성된, 또는 수령한, 또는 인쇄된 OTP 토큰은 인정되지 않는다. 

부정행위 방지 회사인 아이오베이션은 블로그 게시글에서 “EBA는 또 3DS는 고유 요소로 인정되지 않으며, SCA 요건에 부합하지 않는다는 점을 명확히 했다. 이미 SDS를 준비하고 있는 사람들은 낙담할 필요가 없다. EBA는 사용자의 편의를 돕고, 데이터 공유를 매개체로 하는 부정행위를 줄이고, 거래 위험 분석 요건을 준수하는 데 도움을 받고, SCA 면제를 획득하는 데 도움을 주는 통신 프로토콜 사용을 장려하고 있다”라고 설명했다.

결제 서비스 공급업체에게 더 많은 시간이 주어질 가능성
SCA 요건 준수 마감 기한이 2019년 9월 14일이기는 하지만, EBA는 새로운 규정을 시행하는 책임을 갖고 있는 각국의 당국들이 PSP 및 (상점 등)관련 이해당사자와의 협력, 발급자가 SCA에 부합하는 인증 방식을 도입하도록 제한된 추가 시간을 부여할 수 있다고 말하고 있다.

그러나 예외적으로만 허용된다. 마이그레이션(변화 도입) 계획을 수립하고, 국가 당국과 이에 대해 합의했으며, 계획을 신속하게 이행할 수 있는 역량을 갖춘 PSP만 해당된다.

8월, 영국 FCA(Financial Conduct Authority)는 18개월이라는 기간을 토대로 SCA를 단계적으로 시행하기로 합의했다고 발표했다. FCA는 이러한 계획에 부합하는 필요한 조치를 취했음을 입증하는 증거를 제시할 수 있는 조직에는 규제 조치를 취하지 않을 것이라고 설명했다.

EBA는 EU 결제 시장의 복잡성 때문에, 결제 시장의 다른 관련 이해당사자가 준비가 되지 않은 경우, 9월 14일이라는 SCA 마감 기한이 PSD2의 직접 적용 대상이 아닌 많은 전자 상거래 업체에 부정적인 영향을 초래할 수 있다는 점을 인정하고 있다. ciokr@idg.co.kr