SCA 및 3DS2 설명: PSD2 결제 인증
유럽 고객에게 온라인으로 제품을 판매하려면 원하든 원하지 않든 SCA(강력한 고객 인증)와 3D Secure 2를 준수해야 합니다. 강력한 고객 인증은 PSD2(개인정보 보호정책 지침)에 따른 법적 필수 요건이며, 대부분의 판매자는 3D Secure 2를 통해 이를 충족합니다. 이 가이드에서는 SCA 3D Secure 2의 실제 적용 방법, 예외적인 상황, 그리고 잘못 적용했을 때 발생하는 비용에 대해 자세히 다룹니다.
SCA란 무엇인가요? 강력한 고객 인증(Strong Customer Authentication, SCA)의 정의
강력한 고객 인증(Strong Customer Authentication)은 EU의 결제 서비스 지침 2(PSD2)에 따른 검증 요건입니다. 이는 고객이 전자 결제를 시작하고 카드 발급 은행과 가맹점의 결제 대행 은행 모두 유럽 경제 지역(EEA) 내에 있는 경우에 적용됩니다.
규칙 자체는 요소에 관한 것입니다. 안전한 인증은 세 가지 요소 중 최소 두 가지를 사용해야 하며, 이 두 가지는 서로 다른 범주에 속해야 합니다.
- 지식 — 카드 소지자가 알고 있는 정보: 비밀번호, PIN 번호 또는 보안 질문
- 소유물 — 카드 소지자가 가지고 있는 것: 휴대폰, 하드웨어 토큰 또는 스마트 카드
- 고유성 — 카드 소지자의 특징: 지문, 얼굴 인식, 음성 인식
이러한 요소들은 서로 독립적이어야 합니다. 즉, 하나가 손상되더라도 다른 하나는 노출되지 않아야 합니다. 또한, 각 요소는 특정 거래 금액 및 수취인과 동적으로 연결되어야 합니다. 모든 구매에 적용되는 고정 비밀번호는 이러한 조건을 충족하지 않습니다.
적용 범위: SCA는 고객이 직접 진행하는 온라인 카드 구매에 적용됩니다. 판매자가 진행하는 거래(최초 승인 후 반복 결제), 우편 주문 또는 전화 주문, 그리고 판매자나 카드 소지자의 은행이 EEA(유럽 경제 지역) 외부에 있는 거래에는 적용되지 않습니다. 마지막 범주는 '단일 경로 거래'라고 하며, 전 세계에 걸쳐 다양한 고객 기반을 가진 판매자에게 해당됩니다.
3DS2란 무엇이며 SCA와는 어떤 관련이 있나요?
이 이름은 다음과 같이 설명할 수 있습니다. 3D는 세 가지 도메인을 나타냅니다. 카드 소지자의 카드를 발급한 발급 은행, 가맹점의 결제를 처리하는 매입 은행, 그리고 이 둘 사이에 있는 카드 네트워크입니다. 버전 2는 비자가 1999년에 "Verified by Visa"라는 이름으로 출시한 기존 프로토콜과 구별하기 위한 것입니다. 비자, 마스터카드, 아메리칸 익스프레스 및 기타 결제 시스템이 공동 소유한 EMVCo는 3D Secure 2 표준을 개발하고 현재 유지 관리하고 있습니다.
SCA와 어떤 관련이 있나요? PSD2는 카드 결제에 2단계 인증을 요구합니다. 3D Secure 2는 가맹점에서 카드 미제시 거래에 대한 인증을 실제로 수행하는 데 사용하는 메커니즘입니다. 기술적으로는 오픈뱅킹 흐름이나 은행 앱 리디렉션도 SCA 요건을 충족할 수 있지만, 실제로는 3D Secure 2가 대부분의 온라인 카드 결제를 처리합니다.
비자와 마스터카드는 2022년 10월 유럽 거래에서 3DS1 지원을 중단했습니다. 그 이후로 3DS1을 통한 카드 결제는 구식일 뿐만 아니라 규정 준수에도 어긋나게 되었습니다. 한때 선택 사항이었던 것이 필수 사항이 되었고, 결제 처리 업체들이 수년 동안 권장해 온 3D Secure 2 업그레이드가 유일한 해결책이 되었습니다.
3D Secure의 역사: 3DS1부터 3DS2까지
3DS1은 2000년대 초에 출시되었습니다. 인증 방식은 카드 발급 은행에서 호스팅하는 리디렉션 팝업이었습니다. 카드 소지자는 새 브라우저 창을 보고 자주 잊어버리는 고정 비밀번호를 입력한 후, 인증을 완료하거나 이탈했습니다. 이 단계에서의 이탈은 모든 업종의 판매자에게 상당한 문제였습니다.
| 특징 | 3DS1 | 3DS2 |
|---|---|---|
| 인증 UI | 리디렉션 팝업 / 새 창 | 내장 iframe 또는 네이티브 SDK |
| 발급자에게 전송된 데이터 | 약 15개의 데이터 포인트 | 100개 이상의 데이터 포인트(기기, 행동, 기록) |
| 모바일 지원 | 단점 - 네이티브 SDK 없음 | 완전한 네이티브 iOS 및 Android SDK |
| 마찰 없는 흐름 | 이용 불가 | 예, 대부분의 거래에서 그렇습니다. |
| 도전 방식 | 고정 비밀번호 | OTP, 푸시 알림, 생체 인식 |
| 책임 이전 | 예 | 예 (보장 범위 확대) |
| EU 지위 | 2022년 10월부터 더 이상 사용되지 않습니다. | 필수적인 |
3DS2는 3DS1로 인해 발생한 전환 오류를 해결하기 위해 설계되었습니다. 프로토콜은 거래 흐름 시작 시 발급 기관에 100개 이상의 위험 신호를 전송함으로써 은행이 고객에게 아무런 조치도 요구하지 않고 대부분의 거래를 승인할 수 있도록 충분한 데이터를 제공합니다. 인증 절차가 필요한 경우에도 카드 소지자가 3년 전에 설정한 비밀번호가 아닌 SMS 인증 코드나 생체 인식 정보를 사용합니다.
3DS2 인증 작동 방식: 단계별 설명
모든 3DS2 거래는 두 가지 경로 중 하나를 통해 처리됩니다. 발급 은행은 수신한 위험 데이터를 기반으로 어떤 경로를 선택할지 결정합니다. 대부분의 경우 고객은 인증 과정이 진행되었다는 사실조차 인지하지 못합니다.
마찰 없는 흐름(거래의 70~90%):
- 고객은 결제 시 카드 정보를 입력합니다.
- 판매자의 결제 게이트웨이 또는 3DS 서버는 기기 지문, IP 위치 정보, 브라우저 특성, 거래 내역, 행동 신호 등 100개 이상의 데이터를 수집합니다.
- 이러한 정보는 인증 요청(AReq) 형태로 카드 네트워크의 디렉터리 서버로 전송된 후, 발급 은행의 접근 제어 서버(ACS)로 전달됩니다.
- ACS는 자동화된 위험 평가를 실행하며, 일반적으로 1초 이내에 완료됩니다.
- 거래 위험도가 낮다고 판단되면 ACS는 고객의 별도 조치 없이 간편하게 승인을 내립니다.
- 거래가 완료되면 부채는 발행 은행으로 이전됩니다.
이의 제기 흐름(거래의 10~30%):
- 1~3단계는 동일합니다. 데이터 수집 및 AReq 제출이 포함됩니다.
- ACS는 해당 거래를 고위험 거래로 분류합니다. (새로운 기기 사용, 비정상적인 금액, 새로운 배송 주소 또는 해당 가맹점 유형의 높은 사기 발생률 등)
- 고객은 SMS 일회용 비밀번호, 은행 앱의 푸시 알림 또는 생체 인증과 같은 두 번째 인증 요소를 입력하라는 메시지를 받게 됩니다.
- 고객이 과제를 완료했습니다
- 발행자에게 책임이 이전되는 조건으로 거래가 승인되었습니다.
3DS2를 이전 버전과 차별화하는 가장 큰 특징은 바로 원활한 처리 과정입니다. 대부분의 고객은 별도의 조치 없이 인증된 거래를 완료합니다. 필요한 경우, 은행 송금 승인 시 사용하는 것과 동일한 푸시 알림을 통해 익숙한 방식으로 안내됩니다.
SCA 면제 사항 및 적용 시점
모든 거래에 SCA(강력한 고객 인증)가 필요한 것은 아닙니다. PSD2는 이중 인증 없이 결제가 진행될 수 있도록 예외 사항을 정의하고 있습니다. 예외 신청이 승인되는 것과는 다릅니다. 발급 은행이 승인 여부를 결정합니다. 거부될 경우, 거래는 일시적인 거절로 처리되며, 판매자는 SCA를 활성화하여 다시 신청해야 합니다.
| 면제 유형 | 상태 | 한계 |
|---|---|---|
| 소액 거래 | 거래 금액이 30유로 미만인 경우 | 최대 5건의 연속 거래 또는 마지막 SCA 이후 누적 금액 €100 |
| 거래 위험 분석(TRA) | 인수기관 또는 발행기관의 사기 발생률이 기준치 미만 | 100유로 거래 시 사기 발생률 0.13% 이하 / 250유로 거래 시 사기 발생률 0.06% 이하 / 500유로 거래 시 사기 발생률 0.01% 이하 |
| 반복 거래(고정 금액) | 최초 SCA 이후 동일 금액, 동일 수취인 | 제한 없음 |
| 판매자가 시작한 거래 | 구독료 청구, 할부 | SCA는 첫 번째 거래에만 필요합니다. |
| 신뢰받는 수혜자 | 카드 소지자가 은행에 해당 가맹점을 화이트리스트에 추가했습니다. | 가맹점별, 카드 소지자 제어 가능 |
| 안전한 기업 결제 | 기업 간(B2B) 전용 결제 시스템 | 규제기관 승인 시스템만 해당 |
면제 신청 주체에 따라 책임이 결정됩니다. 매입사가 TRA 면제를 요청하고 발급사가 이를 승인하면, 문제가 발생할 경우 매입사(그리고 결과적으로 가맹점)가 사기 행위에 대한 책임을 지게 됩니다. 발급사가 독자적으로 면제를 신청한 경우에는 발급사가 책임을 집니다. TRA 면제를 통해 상당한 거래를 처리하는 가맹점은 각 거래가 어떤 경로를 통해 처리되었는지 추적해야 합니다.
SCA와 3DS2가 상인에게 미치는 영향은 무엇일까요?
sca 3ds2를 제대로 구현해야 하는 사업적 이점은 규제 준수를 훨씬 뛰어넘습니다.
- 책임 전환 : 3DS2 인증이 완료되면 사기 환불 책임이 판매자에서 카드 발급 은행으로 이전됩니다. 인증이 이루어지지 않으면 판매자가 카드 사기에 대한 책임을 직접 부담하게 됩니다. EU에서는 SCA(강력한 고객 인증)가 의무화되지 않은 지역에서 카드 사기 발생률이 17배 더 높습니다.
- 승인률 : 3DS2는 인증되지 않은 결제에 비해 승인률을 향상시키는 경우가 많습니다. 카드 발급사는 카드 번호와 CVV 대신 100개의 데이터 포인트를 확보하면 더욱 확신을 가지고 승인을 진행합니다.
- 결제 전환 : 복잡한 흐름은 단계를 추가하지만, 마찰 없는 3DS2는 거의 마찰을 추가하지 않습니다. 잘 구현된 3DS2는 일반적으로 3DS1에 비해 전환율에 긍정적 또는 부정적인 영향을 미칩니다.
- 데이터 품질 : AReq 페이로드의 품질은 원활한 거래 처리 비율을 결정합니다. 필수 입력 필드만 전송하는 판매자는 선택 입력 필드(기기 지문, 과거 거래 내역, 배송지 주소 사용 기간 등)까지 입력하는 판매자보다 승인 거부율이 더 높습니다.
- 지리적 요인 : SCA(강력한 고객 인증) 규정은 EEA 회원국, 영국(브렉시트 이후 자체적인 SCA 시행 일정), 그리고 기타 시장별로 다릅니다. 글로벌 결제 시스템은 요청 단계에서 이러한 차이를 정확하게 구분해야 합니다.
온라인 판매자를 위한 SCA 준수 체크리스트
SCA 3DS2 설정을 제대로 하려면 게이트웨이에서 3DS2를 활성화하는 것 이상의 작업이 필요합니다. 지속적인 노력 또한 중요합니다.
- PSP 또는 결제 게이트웨이가 3DS2를 지원하는지 확인하십시오. 대부분의 주요 결제 처리 업체(Stripe, Adyen, Worldpay, Braintree)는 이를 자동으로 처리합니다. 지역별 또는 구형 결제 처리 업체는 3DS1을 사용하거나 부분적으로만 구현했을 수 있습니다.
- AReq 데이터 페이로드를 검토하세요. 결제 제공업체와 협력하여 필수 최소 항목뿐 아니라 100개 이상의 선택적 데이터 필드를 모두 전송하고 있는지 확인하세요. 추가 필드가 많을수록 발급사의 승인 절차가 더욱 간편해집니다.
- 거래 유형을 매핑하세요. 판매자 주도 결제(설정 후 구독), 우편 주문/전화 주문 또는 단일 회선 결제를 식별하세요. 이러한 결제는 3DS2를 거치지 않으므로 해당 시스템으로 라우팅해서는 안 되므로 올바르게 표시하세요.
- 챌린지 흐름의 UX를 테스트하세요. 단계별 챌린지가 발생하면 명확하고 모바일 친화적인 환경을 제공해야 합니다. 복잡한 OTP 화면은 전환율 저하로 이어집니다. 출시 전에 다양한 기기와 브라우저에서 테스트하세요.
- 마찰 없는 결제율과 문제 발생률을 모니터링하세요. 마찰 없는 결제율 하락은 데이터 페이로드 품질 저하, 발급사의 위험 모델 변경 또는 가맹점 카테고리 사기 발생률이 TRA 임계값을 초과하는 등의 문제를 나타냅니다.
- 면제 신청 결과를 추적하세요. 어떤 면제를 신청했는지, 어떤 면제가 승인되었는지, 그리고 어떤 면제가 '간접 거절'로 처리되었는지 확인하세요. 소액 면제 신청이 간접 거절되는 경우, 누적 한도인 100유로에 도달했지만 재설정되지 않은 경우가 많습니다.
- PSD3 타임라인을 주시하세요. 유럽 위원회의 PSD3 제안은 현재 입법 절차를 진행 중이며, 회원국의 시행은 2026년에서 2027년 사이로 예상됩니다. PSD3는 SCA를 대체하는 것이 아니라 확장하는 것으로, 인증 요건이 간소화되는 것이 아니라 더욱 세분화됩니다.
많은 판매자들이 SCA 3DS2에 대해 잘 모르는 점이 하나 있는데, 바로 이 프레임워크 전체가 PSD2에 따라 규제되는 전자 결제 거래, 즉 은행과 카드 네트워크를 통해 오가는 법정 화폐 거래에만 적용된다는 것입니다. 암호화폐 결제는 이 범위에서 완전히 제외됩니다.
고객이 비트코인, 이더리움 또는 스테이블코인으로 결제할 경우, 거래는 카드 네트워크나 은행을 거치지 않습니다. 카드 발급사가 ACS(액세스 제어 시스템)를 운영하지 않으며, AReq(액세스 요청 요청), 디렉터리 서버, 챌린지 플로우 등을 관리할 필요가 없습니다. 이러한 결제 방식은 규제 범위 밖에 있기 때문에 SCA(강력한 고객 인증) 규칙이 적용되지 않습니다.
판매자 입장에서는 이러한 점이 구체적으로 드러납니다. 암호화폐 결제에는 3DS2 인증 단계도, OTP 요청도, 보안 검증 절차도 없습니다. 고객은 자신의 지갑에서 결제하고 자금이 입금됩니다. 또한, 암호화폐 거래는 취소할 수 없기 때문에 환불 요청도 불가능하며, 사기 책임 메커니즘 자체가 사라집니다.
카드 인증 체계를 완전히 벗어난 결제 옵션을 추가하려는 판매자를 위해 Plisio는 SCA(강력한 고객 인증) 부담이나 차지백 위험, 발급 은행의 위험 모델에 대한 의존성 없이 20개 이상의 암호화폐를 지원합니다.
SCA와 3DS2가 귀사의 결제 시스템에 미치는 영향은 무엇일까요?
SCA는 더 이상 간단해지지 않습니다. PSD3는 인증 요구 사항을 더욱 강화할 것이며, 영국은 브렉시트 이후 자체적인 SCA 시행 체계를 운영할 예정입니다. 판매자에게 중요한 것은 SCA 3ds2 구현이 실제로 얼마나 잘 작동하는지이지, 구현 여부가 아닙니다.
제대로 구현된다면 이 프레임워크는 관련된 모든 사람에게 이익이 됩니다. 판매자는 사기성 차지백에 대한 책임 보호를 받습니다. 카드 발급사는 3D Secure 2의 확장된 데이터 페이로드를 통해 더욱 풍부한 신호를 얻고 더 많은 거래를 안심하고 승인할 수 있습니다. 고객은 결제 과정에 전혀 지장을 주지 않는 안전한 인증을 받습니다. 하지만 문제가 발생하는 판매자는 게이트웨이 최소 요구 사항만 충족하고 마찰 없는 결제 처리율, AReq 페이로드 품질 또는 예외 적중률을 다시 확인하지 않은 판매자입니다.
