Adyen 3D Secure: 3DS2 인증 작동 방식

3D Secure는 카드 결제와 승인 사이에 있는 인증 계층입니다. Adyen 3DS는 이 표준의 가장 널리 사용되는 구현체 중 하나로, Adyen의 결제 플랫폼에 내장되어 있으며 유럽, 북미 및 아시아 전역에서 매년 수십억 건의 거래를 처리합니다.

Adyen이 3D Secure를 어떻게 처리하는지는 카드 결제를 통합하는 모든 개발자와 사기 방지와 결제 전환율 사이의 균형을 맞추려는 모든 판매자에게 중요한 문제입니다. 이 두 가지는 직접적인 상충 관계에 있습니다. 인증 절차가 강화될수록 사기는 줄어들지만, 결제 과정이 더 복잡해지고, 이러한 복잡함은 매출 감소로 이어집니다. 특히 미국과 브라질의 지역별 데이터는 이러한 문제를 대부분의 판매자가 예상하는 것보다 훨씬 심각하게 보여줍니다.

Adyen 3D Secure란 무엇인가요?

누군가가 비자 카드로 온라인 결제를 할 때, 비자는 구매자에게 본인임을 증명하도록 요구할 수 있습니다. 이를 위한 메커니즘이 바로 3D Secure입니다. 3D Secure는 카드 네트워크(비자는 Verified by Visa, 마스터카드는 SecureCode라고 부릅니다)에서 카드 미제시 거래를 위해 특별히 개발한 인증 프로토콜입니다. Adyen 3DS는 Adyen이 자사 결제 플랫폼 전반에 걸쳐 구현하는 방식입니다.

두 가지 버전이 있습니다. 1세대인 3DS1은 구매자를 카드 발급사의 인증 페이지로 바로 보내 결제 과정을 완전히 망가뜨렸습니다. 그 결과 전환율이 떨어졌고, 판매자들은 이를 매우 싫어했습니다. 대부분의 판매자는 가능한 한 3DS1 사용을 중단했습니다.

3D Secure 2는 더욱 스마트한 접근 방식을 도입했습니다. 리디렉션 대신 화면 해상도, 시간대, IP 주소, 세션 기록 등 기기 및 브라우저 데이터를 백그라운드에서 조용히 수집하여 발급 은행에 전송합니다. 은행의 위험 분석 엔진은 150개 이상의 데이터 포인트를 평가할 수 있습니다. 이처럼 풍부한 정보를 바탕으로 은행은 대부분의 경우 구매자가 3D Secure가 실행되었다는 사실조차 알지 못한 채 거래를 조용히 승인할 수 있습니다.

EU 및 EEA 가맹점은 선택의 여지가 많지 않습니다. PSD2의 강력한 고객 인증(SCA) 규정에 따라 30유로 이상의 카드 결제에는 3D Secure 2가 의무화되었습니다. 카드 거래가 포함된 모든 결제 방식이 이 규정의 적용을 받습니다. EU 이외 지역에서는 3D Secure 2가 제공하는 사기 피해 보호 기능 때문에 사용을 강력히 권장하지만, 법적 의무 사항은 아닙니다.

Adyen 3DS2 인증 방식은 어떻게 작동하나요?

3DS2 워크플로는 데이터 수집, 인증 및 권한 부여의 세 단계로 진행됩니다. 모든 과정이 순조롭게 진행될 경우 몇 초 만에 완료됩니다.

1. 구매자가 결제를 시작합니다 . 판매자의 결제 페이지에서 카드 정보를 입력합니다.
2. Adyen은 기기 데이터를 수집합니다 . 작은 JavaScript 구성 요소(3DS2 지문)가 백그라운드에서 실행되어 화면 해상도, 시간대, 언어, 기기 유형, IP 주소와 같은 브라우저 및 기기 신호를 수집합니다.
3. Adyen은 인증 요청을 보냅니다 . 기기 지문과 거래 데이터가 패키징되어 카드 네트워크를 통해 카드 발급사로 전송됩니다.
4. 발급사는 요청을 평가합니다 . 발급사의 위험 평가 엔진은 150개 이상의 데이터 포인트를 카드 소지자의 행동 이력 및 사기 징후와 비교하여 분석합니다.
5. 발급자가 결정합니다: 마찰 없는 인증 또는 검증 인증 — 위험도가 낮으면 발급자는 자동으로 인증(무산소 인증)을 수행하고, 위험 신호가 감지되면 발급자는 검증 인증을 요청합니다.
6. 인증 절차는 트리거될 경우 실행되며 , 구매자는 일회용 비밀번호, 생체 정보 또는 은행 앱 확인과 같은 추가 인증을 완료해야 합니다.
7. 인증 결과 반환 — Adyen은 인증 결과(인증됨, 인증되지 않음 또는 시도됨)를 수신합니다.
8. Adyen은 인증 결과를 첨부하여 승인을 제출하고 , 결제는 카드 네트워크를 통한 승인 절차로 넘어갑니다.
9. 책임 전환 적용 — 인증에 성공하면 사기 관련 차지백 책임은 판매자에서 발급 은행으로 전환됩니다.

3DS1과 3D Secure 2의 핵심적인 차이점은 2단계에 있습니다. 3DS1에서는 발급사가 활용할 수 있는 데이터가 거의 없었기 때문에 승인 거부가 빈번했습니다. 3D Secure 2에서는 더욱 풍부해진 기기 지문 정보를 통해 발급사가 결제 수단(카드)에 관계없이 훨씬 더 많은 거래를 승인할 수 있습니다.

아디엔에서의 마찰 없는 흐름과 도전적인 흐름 비교

카드 발급 시 문제 발생 여부는 Adyen이나 가맹점이 아닌 카드 발급사가 결정합니다. 다만, Adyen의 데이터 수집 품질은 발급사가 문제 발생 없이 결제를 진행할 수 있는 빈도에 직접적인 영향을 미칩니다. 기기 지문 인식 데이터의 품질이 높을수록 문제 발생 단계로 넘어가는 발급사의 수가 줄어듭니다.

일본은 3DS 거래의 원활한 처리라는 긍정적인 결과를 보여줍니다. 약 60%의 거래가 문제없이 완료되고, 전체 전환율은 93%를 유지합니다. 반면 브라질은 정반대입니다. 광범위한 이의 제기로 인해 전환율이 55%나 하락했습니다. Stripe의 3DS 도입 패턴 연구에 따르면 미국은 이의 제기로 인해 평균 43%의 전환율 하락을 경험하고 있습니다.

사기 방지 기능은 어떤 인증 방식이 완료되든 동일하게 적용됩니다. 마찰 없는 인증과 챌린지 인증 모두 책임 전환을 유발합니다. 3DS 인증이 성공적으로 완료된 후 발생하는 사기 관련 차지백은 카드 발급사의 재정적 책임이며, 가맹점의 책임이 아닙니다.

Adyen Dynamic 3D 보안 규칙

대부분의 3DS 구현 방식은 모든 거래에 대해 매번 인증을 적용합니다. 하지만 Adyen의 동적 3D 보안 규칙 엔진을 사용하면 판매자는 더욱 세밀하게 인증을 설정할 수 있습니다.

Dynamic 3DS를 사용하면 판매자는 위험 신호, 예외 사항 및 거래 특성을 기반으로 3DS를 선택적으로 적용하는 규칙 기반 라우팅을 구성할 수 있습니다. 목표는 위험도가 높은 거래에 대해서는 인증을 극대화하고, 위험도가 낮은 거래에 대해서는 예외 사항을 활용하여 마찰을 줄이는 것입니다.

Adyen의 Dynamic 3DS 구성에서 사용할 수 있는 주요 규칙 유형:

• 면제 규정 — 법적으로 허용되는 경우, 위험도가 낮은 거래는 SCA 면제(거래 위험 분석, 30유로 미만의 소액 면제, 신뢰할 수 있는 가맹점 목록)를 통해 처리하여 3DS 절차를 완전히 생략합니다.
• 소프트 거절 처리 — 발급사가 3DS 인증 없이 거절한 거래를 자동으로 재라우팅하여 두 번째 시도에서 3DS 인증을 트리거합니다.
• 거래 속도 규칙 — 특정 기간 내 카드 또는 기기에서 발생하는 거래 빈도를 기준으로 3DS를 적용합니다.
• 금액 임계값 설정 — 지정된 거래 금액 이상일 경우 3DS(전자 결제 시스템)를 작동시키고, 소액 구매는 예외로 둡니다.
• 국가별 규칙 — 구매자의 국가에 따라 다른 인증 로직을 적용하여 지역별 강력한 고객 인증(SCA) 의무 사항 및 카드 발급사의 행동을 고려합니다.
• 카드 유형 규칙 — 법인 카드 또는 프리미엄 카드는 3DS를 통해 처리하고, 일반 소비자 직불 카드는 예외 흐름을 통해 처리합니다.

Dynamic 3DS를 지능적으로 구성하는 판매자는 일반적인 3DS 적용 방식에 비해 챌린지 플로우 노출을 크게 줄이면서도 고위험 부문에 대한 완벽한 사기 방지 기능을 유지할 수 있습니다.

Adyen 3DS 통합 방법

가맹점이 Adyen을 통해 3DS를 통합하는 방법은 결제 통합 방식에 따라 다릅니다. Adyen은 세 가지 주요 방식을 지원합니다.

• 세션(권장) — Adyen의 사전 구축된 통합 기능은 추가 구성 없이 3DS를 기본적으로 처리합니다. 세션 흐름은 기기 지문을 자동으로 수집하고 원활한 라우팅/위험 라우팅을 투명하게 관리합니다. 대부분의 판매자에게 가장 간편한 경로입니다.
• Drop-in은 Adyen에서 호스팅하는 UI 구성 요소로, 판매자의 결제 페이지에 내장되어 3DS 흐름(확인 팝업 및 결과 처리 포함)을 처리합니다. 전체 API 통합보다 설정이 간소하고 세션보다 맞춤 설정이 더 용이합니다.
• API 통합을 통해 3DS 흐름을 완벽하게 제어할 수 있습니다. 판매자 코드는 지문 수집, 인증 요청, 결과 분석 및 승인 제출을 처리합니다. 고도로 맞춤화된 결제 시스템이나 앱 인터페이스 내에 네이티브 3DS2가 필요한 모바일 앱에 필수적입니다.

대부분의 전자상거래 판매자에게는 세션 또는 드롭인 방식이 통합 노력과 3DS 규정 준수 측면에서 최적의 균형을 제공합니다. 네이티브 API 통합은 일반적으로 전담 결제 엔지니어링 팀을 보유한 대기업에서 사용합니다.

Adyen 관련 세부 사항 하나: 모바일 앱에서 네이티브 3DS2를 사용하려면 지문 인식 구성 요소와 인증 UI가 포함된 Adyen의 iOS 및 Android SDK가 필요합니다. 세션 또는 드롭인을 사용하는 웹 통합은 이 과정을 자동으로 처리합니다.

3D 보안 변환 영향: 지역 데이터

"3DS가 전환율을 저해한다"는 제목은 부분적으로는 사실이지만, 실제 영향은 시장별 요인, 즉 쇼핑객들이 은행 인증 절차에 얼마나 익숙한지, 모바일 뱅킹 사용자 경험이 얼마나 원활한지에 거의 전적으로 달려 있습니다.

사기 감소 효과는 더욱 분명합니다. 3DS 인증은 사기 분쟁을 최대 80%까지 줄여주며, 유럽에서는 이를 통해 연간 약 9억 유로의 사기 손실을 예방하는 것으로 추산됩니다. 이는 가맹점 측의 절감 효과입니다. 차지백은 거래 금액 외에도 운영 비용, 신용 점수 하락에 따른 불이익, 그리고 경우에 따라서는 결제 처리 업체와의 관계 위험까지 발생시키는 등 상당한 비용을 초래합니다.

전환 역설은 3DS 적용 여부와 인증 절차의 원활함이라는 두 가지 요소를 분리하면 해결됩니다. 모바일 뱅킹 앱이 우수하고 쇼핑 경험이 풍부한 고객은 인증 과정에서 발생하는 마찰을 잘 흡수합니다. 반면, 고객이 SMS를 통한 OTP 인증을 사용하거나 은행 앱의 안정성이 떨어지는 시장에서는 결제 이탈률이 높습니다.

3DS와 암호화폐 결제

3D Secure는 카드 결제에만 적용됩니다. 암호화폐 거래는 카드 네트워크를 거치지 않으므로 3D Secure 인증 절차가 필요하지 않습니다.

이는 양날의 검과 같습니다. 암호화폐 결제 게이트웨이는 3DS 책임 전환에 의존할 수 없습니다. 사기 위험을 전가할 발행 은행이 없기 때문입니다. 보안은 거래 모니터링, 지갑 검증, 게이트웨이 수준에서의 실시간 위험 점수 산정 등 다른 메커니즘에 달려 있습니다.

반면, 3DS 관련 불편함이 전혀 없습니다. 백그라운드에서 실행되는 기기 지문인식도 없고, 발급사 인증 절차도 없으며, OTP를 기다릴 필요도 없습니다. 결제는 지갑 주소를 스캔하거나 지갑 앱에서 확인하는 것만큼 간단합니다. 미국이나 브라질에서 인증 절차로 인해 전환율이 떨어지는 것을 목격한 판매자들에게 이러한 간편함은 실질적인 가치로 작용할 것입니다.

기존 카드 결제와 함께 암호화폐를 결제 옵션으로 제공하려는 판매자를 위해 Plisio는 판매자 시스템에 3DS 규정 준수 관련 복잡성을 추가하지 않고도 암호화폐 결제를 처리할 수 있는 암호화폐 결제 게이트웨이를 제공합니다.

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.