PSD3 설명: EU 결제 및 오픈뱅킹의 주요 변경 사항
EU의 전자 결제 규모는 매년 약 240조 유로에 달합니다. 이러한 모든 결제를 규율하는 규칙이 새롭게 개정되고 있습니다.
PSD3, 즉 제3차 결제 서비스 지침은 PSD2를 완전히 대체합니다. 기존 규칙을 단순히 업데이트하는 것이 아니라, PSD2를 EU 시장 전반에 걸쳐 일관성 없게 만들었던 국가별 차이를 없애는 직접 적용 가능한 결제 서비스 규정(PSR)을 함께 도입했습니다. 강화된 사기 방지, 표준화된 오픈뱅킹 API, 그리고 전자화폐 토큰 및 암호화폐 결제 서비스에 대한 명확한 규제가 주요 변경 사항입니다.
2025년 11월에 잠정적인 정치적 합의가 이루어졌습니다. EU 관보에 게재될 예정이며, 2026년 2분기에 발표될 것으로 예상됩니다. 전면 시행은 2028년경에 이루어질 예정입니다. 이 두 날짜 사이의 간격이 중요합니다. 잠정적인 정치적 합의(PSR)는 관보 게재 후 20일 후에 시행되는데, 이는 회원국들이 해당 지침을 국내법으로 전환하는 작업을 완료하기 훨씬 전입니다.
PSD3란 무엇인가요?
EU는 2007년부터 지침에 따라 결제 시장을 운영해 왔습니다. PSD1은 기본 틀을 마련했고, 2015년에는 PSD2가 발표되어 강력한 고객 인증과 오픈뱅킹을 통한 제3자 접근을 추가했습니다. PSD3는 세 번째 세대 지침으로, 이전 두 지침보다 더 큰 구조적 변화를 담고 있습니다.
이전 지침들과 달리 PSD3는 단독으로 시행되지 않습니다. 모든 EU 회원국에 직접 적용되는 결제 서비스 규정(PSR)이 함께 제공되므로, 각국에서 별도의 국내법으로 전환할 필요가 없습니다. PSD2에서는 독일과 프랑스가 동일한 지침을 서로 다른 방식으로 시행했기 때문에 핀테크 기업은 각 시장을 개별적으로 이해해야 했습니다. 하지만 PSR이 도입되면서 이러한 차이점은 사라지고, 모든 국가에서 동일한 규정이 적용됩니다.
구조적으로 중요한 두 가지 변화가 더 있습니다.
- 전자화폐 기관을 별도로 규제하던 전자화폐 지침(EMD2)이 PSD3에 통합됩니다. 이에 따라 전자화폐 기관은 하나의 체계 아래 결제 기관의 하위 범주로 분류됩니다.
- 전자화폐 토큰, 즉 결제 목적으로 사용되는 암호화폐 스테이블코인이 EU 결제 서비스 규정의 적용 대상이 된 것은 이번이 처음입니다.
PSD3와 PSD2의 차이점은 무엇일까요?
PSD2와 PSD3 사이에는 6개 영역에서 중요한 업데이트가 있었습니다.
| 영역 | PSD2 | PSD3 |
|---|---|---|
| 법률 문서 | 지침(국가별 이행안) | 지침 + PSR(EU 통일 규정) |
| EMI 프레임워크 | 별도의 EMD2 지침 | 결제기관 체계에 통합됨 |
| SCA 요구사항 | 엄격한 요소 범주 | 독립성 원칙; 더 큰 유연성 |
| 오픈뱅킹 API | 자발적 형식, 일관성 없음 | 표준화된 사양, 의무 보고 |
| 앱 사기 책임 | 고객이 대부분의 위험을 부담합니다. | PSP는 중대한 과실이 입증되지 않는 한 책임을 져야 합니다. |
| 암호화폐/전자화폐 토큰 | 보장되지 않음 | PSR에 따른 범위에 명시적으로 포함됨 |
지침만 있던 체제에서 지침과 규정을 결합한 체제로의 전환은 생각보다 훨씬 중요합니다. 독일, 프랑스, 네덜란드에서 사업을 운영하는 한 핀테크 기업은 이전에는 동일한 법률이 각기 다른 방식으로 국내법으로 전환된 세 가지 버전을 적용받아야 했습니다. 하지만 PSD3/PSR에서는 모든 회원국에서 동일한 행위 규칙이 적용됩니다.
IBAN 인증 및 앱 사기 책임
PSD3의 가장 중요한 상업적 조항 두 가지는 사기, 특히 고객이 범죄 계좌로 자발적으로 자금을 송금하도록 유도하는 승인된 푸시 결제(APP) 사기를 방지하는 것을 목표로 합니다.
첫 번째 메커니즘은 IBAN 이름 대조 입니다. 결제 서비스 제공업체는 신용 이체를 실행하기 전에 수취인의 이름이 IBAN과 일치하는지 확인해야 합니다. 이 확인 절차는 몇 초 내에 완료되어야 하며 소비자에게 무료로 제공됩니다. 이는 2020년 도입 이후 APP 사기를 크게 줄인 영국의 수취인 확인(CoP) 시스템과 유사합니다. 이 요건은 PSD3 발효 후 24개월이 지난 시점, 즉 2028년경에 발효될 예정입니다.
책임 전환은 두 번째 메커니즘입니다. PSD2에서는 APP 사기 사건에서 피해자가 동의하지 않았다는 사실을 입증해야 하는 입증 책임이 일반적으로 피해자에게 있었습니다. PSD3는 이를 뒤집습니다.
- 고객이 승인되지 않았거나 사기로 유도된 거래를 신고했습니다.
- PSP는 환불 요청을 처리하는 데 영업일 기준 14일이 소요됩니다.
- PSP는 고객이 사기 행위를 저질렀거나 중대한 과실이 있었음을 입증하지 못하는 한 전액 환불해야 합니다.
- IBAN 확인을 포함한 적절한 사기 방지 조치를 시행하지 못한 결제 서비스 제공업체(PSP)는 손실에 대한 기본 책임을 져야 합니다.
- 지불자 조작 사례: PSP가 이름/IBAN 불일치를 알리지 않은 경우, 다른 요인과 관계없이 손실을 부담해야 합니다.
PSD2에서 명시적으로 규정한 사기 책임 조항을 무시했던 기관들은 이제 의무적으로 재정적 책임을 져야 합니다. 이는 단순한 규정 준수 절차가 아니라, 사기 방지 인프라에 투자하도록 하는 직접적인 유인책입니다.
오픈뱅킹 및 API 표준
PSD2의 개방형 뱅킹 목표는 현실적인 난관에 부딪혔습니다. 은행들이 API를 각자 원하는 방식으로 구현했기 때문입니다. 은행 데이터를 기반으로 서비스를 구축하는 핀테크 기업인 제3자 제공업체(TPP)들은 EU 시장 전반에 걸쳐 호환되지 않는 수십 가지 구현 방식에 직면했습니다. 예를 들어, 프랑스의 한 핀테크 기업은 독일 은행 데이터에 접근할 때 스페인에서 사용하는 인터페이스와는 완전히 다른 인터페이스를 사용해야 했습니다.
PSD3는 의무적인 표준화를 통해 이 문제를 해결합니다.
- 계좌 서비스 제공업체(ASPSP)는 EU 표준 규격을 충족하는 전용 인터페이스를 제공해야 합니다.
- 은행은 API 가동 시간, 지연 시간 및 오류율에 대한 분기별 성능 보고서를 발표해야 합니다.
- 기본 API에 장애가 발생할 경우, TPP(제3자 제공업체)는 은행의 표준 고객 인터페이스에 대한 대체 접근 권한을 얻게 됩니다.
- 고객 동의 대시보드가 의무화됩니다. 사용자는 어떤 제3자가 자신의 계정에 접근할 수 있는지 확인하고 실시간으로 권한을 취소할 수 있습니다.
- 전용 인터페이스는 "스크린 스크래핑"과 같은 대체 방법을 배제할 수 있을 만큼 충분히 안정적이어야 합니다.
은행의 경우, 이는 이전에는 자발적이었고 대체로 무시되었던 API 품질에 대한 실질적인 책임을 의미합니다. 핀테크 기업의 경우, 이는 EU 시장 전반에 걸쳐 일관되고 감사 가능한 접근성을 의미합니다.
PSD3에 따른 강력한 고객 인증
PSD2의 강력한 고객 인증(SCA) 규칙은 최소 두 가지 범주에서 추출한 두 가지 인증 요소를 요구했습니다. 즉, 사용자가 알고 있는 것(PIN, 비밀번호), 사용자가 소유하고 있는 것(기기, 카드), 또는 사용자의 신체적 특징(생체 인식) 중에서 선택해야 했습니다. PSD3는 두 가지 인증 요소 요구 사항은 유지하되, 범주 선택 규칙은 삭제했습니다.
새로운 기준은 '독립성'이지, 범주 분리가 아닙니다. 두 가지 요소 모두 한 가지를 위반하더라도 다른 하나가 자동으로 위반되지 않는 한 규정을 준수하는 것으로 간주됩니다. 이는 실질적인 보안 강화 효과가 미미한 범주 규칙을 충족하기 위해 어색한 사용자 경험(UX)을 감수해야 했던 결제 서비스 제공업체들에게 진정한 디자인적 승리입니다.
판매자 주도 거래는 가장 실질적인 변화를 가져옵니다. PSD2에서는 최초 SCA 설정 후 반복 결제가 모호한 영역에 속했습니다. 관련 규정이 구독 결제를 고려하여 설계되지 않았기 때문입니다. PSD3에서는 이 문제를 해결했습니다. 결제 승인 시 SCA를 적용하면 지속적인 관계를 유지할 수 있습니다. 이후 자동 결제에는 재인증이 필요하지 않습니다.
토큰화에 대한 설명도 명확해졌습니다. 이제 SCA는 카드 소지자가 토큰 설정에 적극적으로 참여할 때만 작동합니다. 토큰이 생성되면 해당 토큰을 사용하는 거래는 매번 결제할 때마다 새로운 인증이 필요하지 않습니다.
동적 연결 기능은 PSD2에서 계승되었으며, 인증 코드는 여전히 특정 거래 금액 및 수취인과 연결됩니다. 또한 PSR은 SCA 면제에 대한 보다 명확한 지침을 제공하여 기존 지침만으로는 적용 방식에 있어 시장별 편차가 적도록 할 것입니다.
PSD3, 암호화폐 결제 및 전자화폐 토큰
대부분의 PSD3 가이드에서는 이 부분을 아예 생략하거나 단 한 문장으로만 다룹니다. PSD3와 암호화폐의 연관성은 부차적인 것이 아니라 구조적인 것이며, EU 내에서 암호화폐 결제를 처리하는 모든 사업에 영향을 미칩니다.
진입점은 전자화폐 토큰입니다. 2024년에 발효된 EU의 암호화폐 자산 규정인 MiCA에 따라, 단일 법정화폐에 고정된 스테이블코인은 결제 목적으로 사용될 때 전자화폐 토큰으로 분류됩니다. 예를 들어, USDC는 유로화 표시 송장을 결제하는 데 사용됩니다. PSD3는 이러한 토큰을 결제 서비스 체계에 직접 통합합니다.
EU에서 암호화폐 결제 서비스 제공업체를 위한 규제 환경:
| 엔티티 유형 | 규정이 적용됩니다 |
|---|---|
| 전통적인 결제 기관 | PSD3 + PSR |
| 전자화폐 기관 | PSD3(EMD2 프레임워크 통합) |
| 전자화폐 토큰을 사용하는 암호화폐 PSP | MiCA + PSD3/PSR (간소화된 신청) |
| BNPL 제공업체 | PSD3 + 자본 적정성 규정 |
| 암호화폐 지갑 제공업체 | PSD3 디지털 지갑 프레임워크 |
이중 규제 문제는 대부분의 컴플라이언스 팀이 그 복잡성을 과소평가하는 부분입니다. MiCA 승인을 받은 암호화 자산 서비스 제공업체(CASP)가 전자화폐 토큰을 발행한다고 해서 자동으로 별도의 PSD3 승인을 받아야 하는 것은 아닙니다. 하지만 송금, 수취, 처리와 같은 결제 서비스도 제공하는 경우에는 간소화된 PSD3 신청 절차가 적용됩니다. 두 규제 체계는 기본적으로 서로를 포괄하지 않습니다.
BNPL(선구매 후결제)은 새롭게 규제 대상이 된 또 다른 범주입니다. EU 시장 전반에서 규제 사각지대에 놓여 있던 서비스 제공업체들이 이제 공식적인 결제기관 인가 요건과 자본 적정성 규정을 준수해야 합니다. 이로 인해 해당 업계의 규제 준수 비용이 크게 증가했습니다.
암호화폐 결제 인프라를 구축하는 기업에게 있어, Plisio는 이러한 규제 환경을 헤쳐나가는 암호화폐 결제 게이트웨이의 좋은 예입니다. PSD3 및 MiCA에 따라 EU 결제 규정 준수 체계가 발전함에 따라, Plisio를 통해 판매자는 암호화폐 결제를 수용할 수 있습니다.
PSD3는 누구에게 적용되나요?
PSD3 및 PSR은 법인 설립지와 관계없이 EU 내에서 결제 서비스를 제공하는 모든 사업체에 적용됩니다. 적용 범위는 다음과 같습니다.
- 결제 서비스를 제공하는 신용 기관 (은행)
- 결제기관 - 핀테크 기업, 네오뱅크, 송금업체 등 비은행 결제서비스 제공업체
- 전자화폐 기관 - 현재 결제기관 체계에 통합됨
- BNPL 제공업체 - 새롭게 적용 대상에 포함되며, 인가 및 자본 요건을 충족해야 합니다.
- 암호화폐 자산 서비스 제공업체의 결제 서비스 제공은 MiCA와 PSD3에 따라 이중 규제를 받습니다.
- 제3자 제공업체 (TPP) - 계좌 정보 서비스 제공업체(AISP) 및 결제 개시 서비스 제공업체(PISP)
플랫폼과 마켓플레이스는 가장 큰 변화에 직면해 있습니다. PSD2(결제시스템 배포 기준) 하에서는 많은 플랫폼이 "상업 대리인 면제" 조항을 통해 결제 서비스 승인 의무를 회피할 수 있었습니다. 이들은 자신들이 결제 처리자가 아닌 구매자와 판매자 모두의 대리인 역할을 한다고 주장했습니다. 그러나 PSD3(결제시스템 배포 기준)에서는 이 면제 조항이 대폭 강화되었습니다. 이 면제 조항에 의존해 온 대부분의 플랫폼은 이제 공식적인 결제 서비스 제공업체(PSP) 승인, 자본 요건 충족, 그리고 지속적인 규제 감독을 받아야 합니다. 이는 해당 면제 조항을 기반으로 사업 구조를 구축해 온 마켓플레이스 사업자들에게 상당한 운영상의 변화를 의미합니다.
영국 소재 기업: PSD3는 EU 법률에만 해당됩니다. 브렉시트 이후 영국은 자체적인 금융감독청(FCA) 체계를 운영합니다. 영국의 선구매 후결제(BNPL) 규정(FCA, 2026년 7월 시행)과 수취인 확인 시스템은 유사한 방향으로 나아가고 있지만, 양국 관할권에서 사업을 운영하는 기업은 완전히 다른 규정을 준수해야 합니다.
PSD3 시행 일정: 언제부터 효력이 발생하나요?
PSD3는 단일 전환이 아닌 단계적으로 도입됩니다.
- 2023년 6월 28일 — 유럽 위원회는 PSD3 및 PSR 제안서를 발표했습니다.
- 2025년 11월 27일 — 유럽 의회와 이사회 간 잠정 정치 합의 도출
- 2026년 2분기(예상) - EU 관보 게재; PSR은 20일 후 발효
- 발효 후 18개월 - 회원국이 PSD3 지침을 국내법으로 전환해야 하는 기한
- 시행 후 24개월이 지나면 IBAN/수취인 이름 확인 요건이 의무화됩니다(약 2028년).
- 입국 후 24~30개월 — 기존 PSD2 승인은 그대로 유지되며, 30개월까지 연장 가능합니다.
- 2028년 2분기~3분기(예상) — PSD3/PSR 전면 시행; PSD2 및 EMD2 완전 대체
18개월의 이행 유예 기간은 대기 기간이 아닙니다. PSR의 행동 규칙은 발표일로부터 20일째 되는 날부터 EU 전역에 적용됩니다. MiCA 조정 규칙에 따른 SCA 구현, 사기 방지, API 인프라 및 암호화폐 라이선스를 포괄하는 PSR에 대한 격차 분석은 지금 바로 진행되어야 합니다.
