네트워크 토큰화: 안전한 결제, 높은 승인률

카드 번호는 결제 정보 보안에 매우 취약합니다. 16자리 기본 계좌 번호는 가맹점마다 변경되지 않고, 시간이 지남에 따라 천천히 변질되며, 수십 개의 데이터베이스에 저장되는데, 이 중 어느 하나라도 해킹당할 위험이 있습니다. 결제 업계는 이러한 문제점을 오래전부터 알고 있었지만, 실질적인 해결책이 대규모로 마련되기 시작한 것은 비교적 최근의 일입니다.

네트워크 토큰화가 바로 그 해결책입니다. 비자, 마스터카드, 아메리칸 익스프레스는 저장된 카드 번호를 특정 가맹점에서만 사용 가능하고 거래당 한 번만 생성되는 암호화 코드를 가진 네트워크 토큰이라는 대체 값으로 대체합니다. 토큰은 도용해도 다른 곳에서는 가치가 없습니다. 비자의 통계에 따르면 네트워크 토큰을 사용하는 가맹점의 경우 평균 사기 발생률이 26% 감소하고, 카드 미소지 거래 승인률이 4.6% 향상되었습니다.

이 글에서는 작동 방식, 게이트웨이 토큰화와의 비교(실질적으로 재정적인 측면에서 차이가 있음), 그리고 실제 구현 모습에 대해 다룹니다.

네트워크 토큰화란 무엇인가요?

카드의 기본 계좌 번호(PAN)는 고정된 16자리 식별자입니다. 이 번호는 가맹점이나 거래에 관계없이 변경되지 않으며, 은행에서 실물 카드를 재발급할 때까지 수십 개의 서로 다른 데이터베이스에 동일한 값이 저장됩니다. 바로 이 점이 문제입니다. 고정되어 있고 광범위하게 저장되는 자격 증명은 해킹의 쉬운 표적이 됩니다.

비자, 마스터카드, 아메리칸 익스프레스와 같은 카드 네트워크는 네트워크 토큰화를 통해 이 문제를 해결합니다. 카드 PAN(카드 식별 번호)을 무작위 숫자 값인 네트워크 토큰으로 대체하는데, 이 토큰은 카드 네트워크 인프라 내부에서만 실제 카드와 연결됩니다. 토큰은 가맹점별로 고유합니다. 한 가맹점에서 가로챈 토큰은 다른 가맹점에서 재사용하거나 카드를 복제하는 데 사용할 수 없습니다.

게이트웨이 토큰화(PCI 토큰화라고도 함)는 다른 방식으로 작동합니다. 결제 서비스 제공업체 또는 게이트웨이는 자체 토큰을 생성하여 자체 저장소에 보관합니다. 게이트웨이 토큰은 해당 생태계 내에서만 작동합니다. 네트워크 토큰은 카드 네트워크 자체에서 생성되며 발급사가 인식하는 신뢰 신호를 담고 있어 승인률을 높여줍니다.

네트워크 토큰화 작동 방식

제품 수명 주기는 프로비저닝, 트랜잭션 처리 및 수명 주기 관리의 세 단계로 진행됩니다.

충전 준비는 첫 충전 전에 이루어집니다.

1. 판매자 또는 결제 제공업체는 카드 데이터를 토큰 요청 서비스 제공업체(TPSP)(일반적으로 카드 네트워크와 직접 통합된 PSP 또는 게이트웨이)에 제출합니다.
2. TPSP는 해당 카드 네트워크(Visa Token Service, Mastercard Digital Enablement Service 등)로 요청을 전달합니다.
3. 카드 네트워크는 발급 은행을 통해 카드를 확인합니다. 승인되면 해당 가맹점 및 기기 컨텍스트에 연결된 네트워크 토큰을 생성합니다.
4. 토큰은 TPSP로 반환되어 저장됩니다. 원시 PAN은 더 이상 필요하지 않습니다.

거래 처리 과정 은 다음과 같습니다.

1. 고객이 지불합니다.
2. 판매자는 네트워크 토큰을 결제 처리업체로 보냅니다.
3. 결제 처리기는 카드 네트워크에 암호화 코드를 요청합니다. 이 암호화 코드는 특정 거래에 연결된 15분 동안 유효한 일회용 코드입니다.
4. 토큰과 암호화된 정보는 승인을 위해 발행 은행으로 전송됩니다.
5. 발급자는 네트워크를 통해 검증된 자격 증명을 확인하고 거래를 처리합니다.

라이프사이클 관리는 백그라운드에서 조용히 실행됩니다. 카드가 만료, 분실 또는 부정 사용으로 인해 재발급되면 카드 네트워크는 토큰 매핑을 업데이트합니다. 가맹점에 저장된 토큰은 고객의 별도 조치 없이 계속 작동합니다.

네트워크 토큰과 게이트웨이 토큰의 주요 차이점

대부분의 가맹점은 이미 PSP(결제 서비스 제공업체)를 통해 토큰화된 카드 데이터를 저장하고 있습니다. 게이트웨이 토큰은 하나의 결제 환경 내에서 해당 데이터를 보호하지만, 네트워크 토큰이 갖지 못하는 한계에 직면합니다.

게이트웨이 토큰은 보안 제어 수단입니다. 네트워크 토큰은 보안 제어 수단인 동시에 수익 증대에도 기여합니다.

가맹점을 위한 네트워크 토큰화의 이점

해당 데이터는 사업 타당성 분석을 구축하기에 충분히 구체적입니다.

• 사기 발생률이 26% 감소했습니다. 비자가 네트워크 토큰을 사용하는 가맹점을 대상으로 실시한 연구에 따르면 평균 사기 발생률이 이처럼 감소한 것으로 나타났습니다. 가로챈 토큰은 다른 가맹점에서 재사용할 수 없으며, 가맹점 전용으로 설계되었습니다.
• 승인률 상승. 비자는 카드 미소지 거래의 경우, 기존 PAN 제출 방식 대비 전 세계적으로 승인률이 4.6% 상승했다고 밝혔습니다. 마스터카드는 이를 2.1%로 보고 있습니다. 매달 수백만 건의 거래가 발생하는 것을 고려하면, 이는 상당한 수익 회복으로 이어집니다.
• 자동 카드 업데이트. 카드가 만료되거나 교체되면 네트워크 토큰이 자동으로 업데이트됩니다. 이를 통해 가맹점은 단순히 새 카드를 발급받았지만 결제 정보를 업데이트하지 않은 고객으로 인해 구독 갱신이 실패하는 문제를 더 이상 겪지 않게 됩니다.
• 차지백 책임 전환. 네트워크 토큰과 암호화를 사용하여 완료된 거래의 경우, 차지백 책임이 판매자에서 발급 은행으로 전환됩니다. 분쟁 발생 건수가 줄어들고 운영 부담이 감소합니다.
• 더 낮은 수수료. 비자의 토큰화 거래 수수료율은 토큰화되지 않은 거래 수수료율보다 최대 10bp 낮습니다. 월 매출 1억 달러 규모의 가맹점의 경우, 이러한 차액으로 매달 최대 10만 달러를 절약할 수 있습니다.
• PCI DSS 적용 범위 축소. 가맹점 환경에 원시 PAN이 저장되지 않으므로 PCI 감사 요건의 적용을 받는 시스템 수가 줄어듭니다. 이는 규정 준수 비용과 검토 대상 프로세스 수를 감소시킵니다.

ClearSale의 연구 결과는 다음과 같은 맥락을 제시합니다. 카드 소지자의 39%는 한 번의 잘못된 거절 이후 해당 가맹점에서 더 이상 쇼핑하지 않습니다. 미국 가맹점은 실제 사기 금액 1달러당 3.75달러의 손실을 입습니다(Statista). 이 두 수치는 모두 결제 승인률을 높이고 부당한 손실을 줄이는 모든 최적화 작업의 필요성을 강조합니다.

사용 사례: 네트워크 토큰이 가장 필요한 사람은 누구인가?

네트워크 토큰화는 카드 정보가 결제 시 한 번만 사용되는 것이 아니라 저장되어 반복적으로 사용되는 상황에서 가장 큰 효과를 발휘합니다.

• 구독 및 SaaS 비즈니스에서 반복 결제는 갱신 시 유효성을 유지하기 위해 저장된 자격 증명이 필요합니다. 카드 만료는 고객이 의도치 않게 이탈하는 원인이 됩니다. 고객이 구독을 취소한 것이 아니라 결제가 실패한 것입니다. 네트워크 토큰은 카드가 재발급될 때 자동으로 업데이트되어 자격 증명을 최신 상태로 유지합니다.
• 카드 정보를 저장하는 전자상거래 판매자. CNP(카드 미인식) 거래는 사기 위험이 가장 높습니다. 원클릭 결제를 위해 카드 데이터를 저장하는 판매자는 자격 증명 도용의 주요 표적이 됩니다. 네트워크 토큰을 사용하면 판매자 환경에서 카드 정보 저장(PAN)을 완전히 제거할 수 있습니다.
• 마켓플레이스와 플랫폼. 사용자를 대신하여 결제 수단을 보유하는 다면 플랫폼은 휴대성이라는 이점을 얻습니다. 즉, 기본 카드가 변경되더라도, 결제 처리 업체를 바꾸더라도 토큰은 계속 유효합니다.
• 여행 및 숙박 업계에서 호텔, 항공사, 예약 플랫폼은 최초 예약 후에도 숙박 후 추가 비용, 좌석 업그레이드, 일정 변경 등에 대해 카드 결제를 청구하는 경우가 많습니다. 자동 토큰 업데이트는 결제 실패가 예약 분쟁으로 이어지는 것을 방지합니다.
• 게임 및 디지털 콘텐츠. 인앱 구매 및 지갑 충전은 거래 빈도가 높은 저장된 카드를 사용하여 처리됩니다. 네트워크 토큰은 사기 위험을 높이지 않으면서 재인증 절차를 간소화합니다.

네트워크 토큰화를 구현하는 방법

대부분의 가맹점은 비자나 마스터카드와 직접 연동하지 않습니다. 카드 네트워크는 토큰 요청 서비스 제공업체(TPSP)를 통해 가맹점에 연결되며, 대부분의 주요 결제 서비스 제공업체(PSP)는 이미 이러한 TPSP 연동 기능을 내장하고 있습니다.

실질적인 방법:

1. 네트워크 토큰화를 기본적으로 지원하는 PSP 또는 게이트웨이를 선택하세요. Stripe, Adyen, Checkout.com, Braintree는 모두 카드 정보가 저장될 때 네트워크 토큰을 자동으로 생성합니다. 별도의 통합 작업은 필요하지 않습니다.
2. 결제 설정에서 해당 기능을 활성화하세요. 네트워크 토큰화를 기본적으로 지원하는 결제 서비스 제공업체(PSP)의 경우, 네트워크 토큰화 활성화는 일반적으로 코드 변경이 아닌 설정 플래그 설정으로 이루어집니다. 제공업체의 문서를 확인해 보세요. 이미 활성화되어 있을 수도 있습니다.
3. 기존에 저장된 카드 정보를 소급하여 토큰화하세요. PAN(개인 식별 번호)을 대량으로 보유 하고 계신가요? 결제 서비스 제공업체(PSP)는 일괄 프로비저닝을 통해 PAN 정보를 일괄 제출하여 고객 계정에 아무런 영향을 주지 않고 PAN 기반에서 토큰 기반으로 전환할 수 있습니다.
4. 결제 흐름에서 토큰과 암호화 코드를 전달하세요. PSP는 거래 건당 암호화 코드를 생성합니다. 연동 시스템은 결제를 시작할 때 원시 PAN 대신 토큰 참조를 전송합니다.
5. 라이프사이클 관리가 실행 중인지 확인하십시오. 결제 서비스 제공업체(PSP)에서 자동 계정 업데이트 및 토큰 라이프사이클 관리가 활성화되어 있는지 확인하십시오. 이는 고객 개입 없이 카드 재발급을 처리하는 부분입니다.

한 가지 시나리오를 미리 계획해 두는 것이 좋습니다. 여러 PSP를 사용하거나 프로세서 간 토큰 이식성이 필요한 경우, 이를 명시적으로 처리해야 합니다. 옵션으로는 독립형 토큰 저장소 제공업체 또는 게이트웨이 간 자격 증명 마이그레이션을 지원하는 PSP를 사용하는 것이 있습니다.

네트워크 토큰화 및 PCI DSS 준수

네트워크 토큰화는 PCI DSS 적용 범위를 축소하지만, PCI 의무를 완전히 없애는 것은 아닙니다.

실질적인 이점은 다음과 같습니다. 저장된 네트워크 토큰은 카드 번호가 아니므로 PCI DSS에 따라 카드 소유자 데이터로 분류되지 않습니다. 토큰만 사용하고 원본 PAN(카드 소유자 식별 번호)을 전혀 보지 않는 시스템은 PCI 적용 범위에서 완전히 제외될 수 있습니다. 이는 연간 평가가 필요한 시스템, 인력 및 비즈니스 프로세스의 수를 줄여 비용과 위험을 모두 감소시킵니다.

책임 소재의 전환은 이러한 점을 더욱 강화합니다. 암호화된 토큰으로 완료된 거래의 경우, 발급자는 자격 증명이 네트워크에서 검증되었음을 알고 결제를 승인합니다. 발급자가 승인한 거래에서 사기가 발생하면 책임은 판매자가 아닌 발급자에게 있습니다. 이는 차지백 작동 방식의 구조적 변화입니다.

한계점은 네트워크 토큰화가 프로비저닝 단계를 보호하지 못한다는 것입니다. 원시 PAN이 TPSP에 처음 전송될 때 해당 전송은 보안되어야 하며, 그 순간 PAN을 처리하는 모든 시스템은 PCI 범위 내에 남아 있게 됩니다. 목표는 이러한 노출을 최소화하는 것입니다. 즉, PAN이 가능한 한 빨리 환경 외부로 전송되고 스택의 다른 어떤 곳에서도 나타나지 않도록 하는 것입니다.

PCI 규정 준수를 위해서는 여전히 암호화, 접근 제어 및 네트워크 분할이 필요합니다. 토큰화는 강력한 제어 수단이지만, 전체 프로그램을 대체하는 것은 아닙니다.

카드 결제 서비스를 운영하는 가맹점들은 네트워크 토큰화가 더 이상 선택적인 업그레이드가 아닌 기본 인프라로 자리 잡았음을 알게 될 것입니다. 승인률 향상, 사기 감소, 자동 카드 수명 주기 관리, 그리고 수수료 절감 효과는 상당한 거래량에서 빠르게 누적됩니다.

카드 결제 시스템을 완전히 벗어나고자 하는 기업에게 Plisio 와 같은 암호화폐 결제 게이트웨이는 이러한 문제점이 없는 대안을 제공합니다. 블록체인 기반 결제는 카드 정보를 저장하지 않고, PAN(개인 식별 번호)을 제공하지 않으며, 거래 과정에 카드 발급사가 개입하지 않습니다. 이는 보안을 중시하는 기업에게 근본적으로 다른 보안 모델을 제시합니다.

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.