백서: 안전한 결제 확인

편집기

마크 핀던(Marc Findon), 녹녹 연구소(Nok Nok Labs)
조나단 그로사르(Jonathan Grossar), 마스터카드
프랭크 마이클 캄, Giesecke+Devrient
헤나 카푸르, 비자
수 쿠멘, 아메리칸 익스프레스
그레고어 르뢰(Gregoire Leleux), 월드라인
알랭 마르탱, 탈레스
스티안 스베덴보리(Stian Svedenborg), BankID BankAxept

1. 소개

글로벌 전자 상거래는 호황을 누리고 있으며 2024년 말까지 $6T 이상에 도달할 것으로 예상됩니다¹. 온라인으로 제품을 판매할 수 있는 능력은 판매자가 현지 시장을 넘어 상품과 서비스를 판매할 수 있는 좋은 기회를 제공했습니다. 그러나 사기가 증가합니다. 실제로 2023년에 글로벌 전자 상거래 사기는 대략 $48B¹에 달할 것으로 추정되며, 미국이 42%, EU가 약 26%를 차지합니다.

1.1 원격 상거래의 현재 과제

전자 상거래 사기에는 여러 유형이 있지만 가장 널리 퍼진 유형은 거래 사기입니다. 거래 사기는 도난당한 카드 및/또는 도난당한 자격 증명을 사용하여 판매자 사이트에서 거래가 이루어질 때 발생합니다. 도난당한 자격 증명은 액세스 및 사용 방법을 알고 있는 사람들이 다크 웹에서 쉽게 사용할 수 있습니다.

이러한 우려를 해결하기 위해 결제 자격 증명의 토큰화 및 카드 소지자 인증을 포함하여 원격 상거래의 전반적인 보안을 강화하기 위한 조치가 도입되었습니다. 일부 국가에서는 인도 또는 유럽과 같이 규정에 따라 두 가지 조치 중 하나 또는 둘 다의 채택을 의무화하고 있습니다(두 번째 결제 서비스 지침 PSD2). 이러한 규정은 안전한 원격 거래를 보장하기 위한 것입니다. 그러나 판매자와 은행 인터페이스와 같은 다른 인터페이스 간의 전환이 필요할 수 있으므로 결제 흐름에 복잡성을 추가합니다.

안타깝게도 추가 인증은 마찰을 일으켜 장바구니를 포기할 수 있습니다. 장바구니 포기의 주요 이유에는 판매자 웹 사이트에 대한 불신 또는 복잡한 결제 흐름이 포함됩니다. 고객은 결제 실패로 인한 마찰, 별도의 장치에서 일회용 비밀번호(OTP)에 응답해야 하는 필요성 또는 뱅킹 애플리케이션에 로그인해야 하는 필요성과 같은 마찰을 추가하지 않는 간단한 결제 프로세스를 선호합니다.

1.2 FIDO의 지원 방식

FIDO(Fast Identity Online) Alliance 표준을 통해 활성화된 생체 인증을 사용하면 인증 프로세스 중에 더 나은 사용자 경험을 제공할 수 있으므로 트랜잭션 포기 위험을 줄일 수 있습니다.

FIDO는 피싱 방지 인증 메커니즘을 가능하게 하는 표준을 수립했으며, 네이티브 애플리케이션과 가장 인기 있는 브라우저에서 액세스할 수 있으므로 소비자가 사용하는 채널 전반에서 안전하고 일관된 경험을 제공할 수 있습니다. FIDO는 FIDO 표준을 기반으로 하는 FIDO 자격 증명으로 ‘패스키’를 지칭하며, 소비자가 암호 없는 인증을 위해 사용합니다.

W3C(World Wide Web 컨소시엄)는 SPC(Secure Payment Confirmation)를 개발했습니다. SPC는 FIDO 인증을 사용하여 결제 거래에 인증할 때 소비자 경험을 개선하고 현지 규정(예: 유럽의 PSD2 및 동적 연결)을 간편하게 준수하도록 설계된 웹 API입니다.

1.3 범위

이 백서의 목적은 다음과 같습니다.

• SPC(Secure Payment Confirmation)와 FIDO를 사용하여 결제 트랜잭션을 인증할 때 제공되는 이점을 정의합니다.

¹ https://www.forbes.com/advisor/business/ecommerce 통계/#:~:text=%20global%20e%2Dcommerce%20market은%20companies%20세%20taking%있습니다.

• 이러한 이점을 제공할 수 있는 현재 SPC 결제 사용 사례를 나열하고 소비자 여정을 설명합니다. • SPC 지원 상태 및 보안 및 사용자 경험을 더욱 개선하기 위해 웹 표준에 추가할 수 있는 개선 사항 목록을 제공합니다.

2. SPC(Secure Payment Confirmation) 혜택

보안 결제 확인(SPC)은 WebAuthn 표준의 확장 버전으로, 다음과 같은 이점을 제공하는 것을 목표로 합니다.

• 모든 가맹점과 은행에서 일관된 브라우저 기본 사용자 경험
• FIDO 인증자가 서명한 트랜잭션 세부 정보를 포함한 인증의 암호화 증거(FIDO 주장)
• 교차 출처 인증 – 예를 들어, 은행을 Relying Party로 사용하여 패스키를 생성하더라도 판매자는 은행에서 받은 입력 매개 변수를 사용하여 환경 내에서 패스키로 카드 소유자 인증을 호출할 수 있으므로 패스키로 인증하기 위해 소비자를 은행으로 리디렉션할 필요가 없습니다.

2.1 브라우저 네이티브 사용자 경험

SPC는 가맹점 식별자, 카드 로고, 카드 번호의 마지막 4자리 숫자 및 거래 금액과 같은 세부 정보를 보여주는 표준화된 결제 컨텍스트 화면을 도입합니다. 소비자는 표시된 거래 정보에 명시적으로 동의한 다음 인증하도록 초대됩니다. 따라서 SPC는 거래 내역에 대한 소비자의 동의를 수집하는 메커니즘으로 경험될 수 있습니다.

표준 WebAuthn과 마찬가지로 결제 컨텍스트 화면은 사용자의 브라우저에 의해 제어되므로 일반적인 자바스크립트 프레젠테이션 공격이 비효율적입니다. 이 화면은 악성 웹 콘텐츠가 사용자에게 거래 세부 정보를 표시하는 것을 변경하거나 모호하게 할 수 없도록 하기 때문에 보안이 강화됩니다 – 브라우저 디스플레이는 항상 트리거 웹 사이트의 웹 콘텐츠 위에 렌더링됩니다. 그림 1은 크롬에서의 SPC 경험의 예를 보여줍니다.

그림 1: 크롬에서의 SPC 경험 예

2.2 FIDO Assertion 생성

SPC를 사용하면 가맹점 식별자 및 거래 금액과 같은 소비자에게 표시되는 거래 관련 정보가 FIDO 인증자에게 안전하게 전송되고 동일한 인증자(거래 데이터 서명)에 의해 서명됩니다.

인증자에 의해 생성된 FIDO 어설션은 가맹점 식별자 및 거래 금액이 인증자 자체에 의해 서명되기 때문에 유럽의 PSD2에 따른 동적 연결 요구 사항과 마찬가지로 일부 규정 준수를 강화합니다. 섹션 2.1에 설명된 브라우저 기본 사용자 환경과 결합하면 신뢰 당사자는 사용자가 트랜잭션 세부 정보가 표시되고 동의했음을 확신할 수 있습니다.

2.3 교차 출처 인증

SPC 없이 FIDO를 사용하는 경우 신뢰 당사자를 사용하여 암호 키를 만드는 소비자는 해당 암호 키로 인증하려면 항상 신뢰 당사자의 도메인에 있어야 합니다. 원격 상거래 결제 사용 사례에서 이는 소비자가 일반적으로 판매자 도메인을 떠나 인증을 위해 은행 도메인으로 리디렉션되어야 함을 의미합니다.

SPC를 사용하면 신뢰 당사자가 권한을 부여한 모든 엔터티가 해당 신뢰 당사자에 대해 만들어진 암호 키를 사용하여 사용자 인증을 시작할 수 있습니다. 예를 들어, 판매자는 은행의 패스키로 카드 소지자를 인증할 수 있도록 은행의 승인을 받을 수 있습니다.

신뢰 당사자가 엔터티에 SPC를 호출할 수 있는 권한을 부여하는 메커니즘은 다를 수 있습니다. 예를 들어, 은행은 EMV 3DS 상호 작용 중에 또는 결제 체계와의 다른 통합을 통해 판매자와 FIDO 자격 증명을 공유할 수 있습니다. 그러면 판매자는 SPC를 사용하여 결제 확인 및 인증 프로세스를 시작할 수 있으며, 이는 해당 패스키가 은행에서 생성된 경우에도 마찬가지입니다. 궁극적으로 은행은 인증을 검증할 책임을 집니다.

2.4 다른 표준과의 상호 운용성

SPC는 EMVCo 글로벌 및 상호 운용 가능한 표준인 EMV 3-D Secure 및 SRC(Secure Remote Commerce)와 같은 다른 산업 표준과 함께 사용할 수 있습니다.

3. SPC 활용 사례

SPC는 게스트 결제 또는 가맹점에 등록된 결제 수단을 사용한 결제와 같은 다양한 원격 상거래 결제 시나리오에서 결제를 간소화하는 데 사용할 수 있습니다.

이러한 각 지급 시나리오에서 신뢰 당사자는 지급 수단(은행)의 발급자이거나 은행을 대신하는 지급 네트워크일 수 있습니다.

이 장에 제공된 흐름은 설명을 위한 것이며 관련 법률 및 규정을 준수할 수 있습니다.

3.1 은행을 Relying Party로 사용하는 SPC

암호 키 생성은 체크 아웃 프로세스 외부 또는 체크 아웃 프로세스 중에 시작할 수 있습니다.

• Within the banking interface: 
  • 예를 들어, 소비자가 뱅킹 애플리케이션 내에 있고 은행에 패스키를 등록하는 경우, 패스키는 하나 이상의 결제 카드와 소비자 장치에 연결됩니다
• Within the merchant interface: 
  • 예를 들어, 소비자가 EMV 3DS 흐름 중에 은행에 의해 인증되고 향후 결제 속도를 높이기 위해 은행에 패스키를 생성하라는 메시지가 표시되는 경우(이 경우 패스키는 거래에 사용된 결제 카드(및 은행의 구현에 따라 추가 결제 카드)에 연결됩니다. 소비자가 사용하는 장치뿐만 아니라

그림 2는 가맹점 결제 중 가맹점이 EMV 3DS를 사용하고 소비자가 은행에서 인증을 받는 패스키 생성 순서(7단계)를 보여줍니다.

그림 2: 체크 아웃 중 Passkey 만들기

패스키 생성이 완료되면 은행 또는 결제 체계와 합의한 메커니즘을 통해 은행으로부터 패스키 정보(FIDO 식별자 및 공개 키 포함)를 받은 모든 판매자는 SPC를 사용할 수 있습니다. 이러한 메커니즘에는 EMV 3DS 또는 지불 방식과의 다른 통합이 포함될 수 있습니다. 예를 들어, EMV 3DS(즉, 버전 2.3²)를 구현하는 판매자는 다음 단계를 통해 SPC의 이점을 누릴 수 있습니다.

1. 가맹점이 소비자를 인증하기 위해 EMV 3DS를 시작할 때 은행은 카드 소지자의 활성 인증이 필요한지 여부를 결정합니다. 카드 소지자의 활성 인증을 수행하기로 결정한 경우 은행은 먼저 거래에 사용된 카드와 연결된 하나 이상의 패스키를 검색하고 소비자가 등록된 동일한 디바이스에 있는지 확인한 다음 패스키 정보를 판매자에게 반환할 수 있습니다.

2. 판매자는 패스키 정보, 카드/은행/네트워크 로고, 판매자 식별자 및 거래 금액과 같은 요청의 몇 가지 매개변수를 포함하여 SPC 지원 브라우저에 SPC 웹 API를 호출합니다.

3. 브라우저가 소비자가 사용하는 장치에서 이러한 암호 중 하나와 일치하는 항목을 찾을 수 있는 경우 브라우저는 로고, 판매자 식별자 및 거래 금액을 소비자에게 표시하고 암호 키로 인증을 요청합니다.

4. 인증 결과는 가맹점에게 반환되며, 가맹점은 EMV 3DS 프로토콜을 통한 검증을 위해 해당 결과를 은행과 공유합니다.

그림 3은 이전에 등록된 패스키와 함께 SPC 및 EMV 3DS를 사용하는 인증 흐름의 예를 보여줍니다.

그림 3: SPC 및 EMV 3DS를 사용한 인증 절차

3.2 지불 체계를 Relying Party로 사용하는 SPC

일부 결제 시나리오에서는 결제 체계가 은행을 대신하여 신뢰할 수 있는 당사자가 되어 은행이 FIDO 인프라를 배포할 필요성을 제거함으로써 패스키 채택을 더 빠르게 확장할 수 있습니다.

암호 키 생성은 체크 아웃 프로세스 외부 또는 체크 아웃 프로세스 중에 시작할 수 있습니다.

• 결제 외부: 예를 들어, 소비자가 뱅킹 애플리케이션 내에 있고 은행이 소비자에게 더 빠르고 안전한 거래를 위한 패스키를 생성하도록 초대하는 경우, 패스키는 결제 스킴을 신뢰 당사자로 사용하여 생성할 수 있으며, 결제 스킴에 의해 하나 이상의 결제 카드 및 소비자 장치에 연결됩니다. 또는
• 결제 전, 결제 중 또는 결제 후: 예를 들어, 소비자는 결제 체계의 결제 방법을 지원하는 가맹점에서 더 빠르고 안전한 거래를 위해 패스키를 생성하라는 메시지가 표시될 수 있습니다. 패스키는 은행에서 소비자의 신원을 확인한 후 결제 체계에 의해 하나 이상의 결제 카드와 소비자 장치에 연결됩니다. 그림 4는 이 시퀀스를 보여 줍니다.

Figure 4 체크 아웃 중 Passkey 생성

패스키 생성이 완료되면 결제 체계에 의해 촉진되는 인증을 사용하는 모든 판매자는 SPC의 혜택을 받을 수 있습니다.

• 판매자는 결제 스킴을 통해 거래에 사용된 카드에 패스키를 사용할 수 있는지 확인하고 결제 스킴에서 패스키 정보를 검색합니다.
• 판매자는 판매자 식별자 및 거래 금액과 함께 SPC 웹 API를 호출합니다.
• 브라우저가 소비자가 사용하는 장치에서 이러한 암호 중 하나와 일치하는 항목을 찾을 수 있는 경우 브라우저는 판매자 식별자 및 소비자에 대한 거래 금액, 카드/은행/네트워크 로고를 표시한 다음 암호 키를 사용하여 인증을 요청합니다.
• 인증 결과는 결과를 검증하는 지급 체계로 반환됩니다. 지불 체계는 은행이 거래를 검토하고 승인할 수 있도록 승인 메시지 중에 이러한 결과를 은행과 공유합니다. 그림 5는 이 시퀀스를 보여 줍니다.

그림 5: SPC를 사용한 인증 절차
(왼쪽에서 오른쪽으로)
1. & 2. 판매자의 매장에서 결제
3. Passkey 찾고, 거래 세부 정보를 표시하고, 동의를 수집합니다.
4. 장치 인증자는 카드 소지자에게 제스처를 요청합니다.
5. 제스처 확인
6. 판매자가 완료한 거래

3.3 SPC 혜택 요약

SPC가 제공하는 이점은 다음과 같습니다.

• 교차 출처 인증 – Relying Party 가 승인한 모든 판매자는 신뢰 당사자가 아닌 경우에도 거래 중에 FIDO 어설션 생성을 요청할 수 있습니다. 이렇게 하면 소비자 인증을 수행하기 위해 신뢰 당사자에 대한 리디렉션이 필요하지 않으므로 더 나은 사용자 환경이 제공됩니다.
• Consistent user experience with increased trust – With SPC, the consumer has a consistent user  experience across all merchants and independently of who plays the role of relying party. In each  case, the consumer will see a window displayed by the browser, that includes payment details, the  logos of their card / bank / payment scheme, increasing the trust in using FIDO authentication for  their payments. 
  • 보안 강화 – SPC를 사용하면 FIDO 어설션에 가맹점 식별자 및 거래 금액과 같은 결제 세부 정보가 암호화 생성에 포함되므로 은행이나 결제 체계에서 감지하지 않고 거래에서 이러한 세부 정보를 수정하기 어렵습니다. 이는 또한 동적 연결과 관련된 PSD2 규정과 같은 현지 규정 준수를 단순화합니다.

4. SPC 지원 현황 및 향후 개선 사항

4.1 가용성

Secure Payment Confirmation은 현재 W3C 후보 권고안으로 발표되었으며, EMVCo 사양에 이를 인증 방법으로 포함하기 위한 작업이 진행 중입니다.

작성 당시 Secure Payment Confirmation API의 가용성은 다음으로 제한됩니다.

• Google Chrome 및 Microsoft Edge 브라우저
• MacOS, Windows 및 Android 운영 체제.

4.2 향후 개선 사항

W3C Web Payments Working Group은 소비자가 웹에서 결제를 인증할 때 보안 및 사용자 경험을 개선하기 위해 보안 결제 확인에 대한 작업을 계속하고 반복하고 있습니다.

현재 고려 중인 기능은 다음과 같습니다.

• 현재 장치에서 사용할 수 있는 자격 증명이 없는 경우 사용자 및 판매자 경험을 개선합니다(즉, 대체 사용자 경험).
• 은행 로고 및 카드 네트워크 로고와 같은 추가 로고를 사용자에게 표시하여 소비자 신뢰를 높입니다.
• 브라우저/장치 바인딩 키에 대한 액세스를 제공하는 브라우저를 사용하여 장치 바인딩 지원으로 보안을 강화합니다.
• 반복 결제 또는 로밍 및 하이브리드 FIDO 인증자 지원과 같은 추가 사용 사례를 고려합니다

검토 중인 향상된 SPC 트랜잭션 UX의 예는 그림 6에 나와 있습니다.

그림 6: 검토 중인 SPC 트랜잭션 UX

5. 결론

SPC(Secure Payment Confirmation)는 동급 최고의 사용자 경험을 통해 결제 거래 중에 강력한 인증을 쉽게 사용할 수 있도록 설계된 웹 표준으로, 신뢰 당사자는 은행 또는 결제 체계일 수 있습니다.

SPC의 주요 이점은 FIDO 인증으로 소비자가 승인하는 거래 세부 정보를 표시하여 향상된 사용자 경험을 제공하고, 판매자가 신뢰 당사자(은행 또는 결제 체계)로 리디렉션할 필요 없이 소비자를 인증할 때 교차 출처 인증을 가능하게 하는 것입니다.

또한 SPC는 FIDO 서명에 거래 세부 정보를 쉽게 포함할 수 있도록 하여 더 높은 보안을 제공하고 현지 규정 준수를 간소화할 수 있습니다.

6. 감사의 글

저자는 귀중한 피드백과 의견에 대해 다음 사람들(알파벳 순서)에게 감사를 표합니다.

• Boban Andjelkovic, BankID BankAxept
• 존 브래들리, 유비코
• 카렌 창, 에기스
• 제프 리(Jeff Lee), 인피니언
• 올리비에 마스(Olivier Maas), 월드라인

7. 참고문헌

^[1] “EMV 3-D 보안”, [Online]. 사용 가능: https://www.emvco.com/emv-technologies/3-d-secure/.
^[2] “안전한 결제 확인”, [Online]. 사용 가능: w3.org/TR/secure-payment-confirmation/.
^[3] “안전한 원격 상거래”, [Online]. 사용 가능: https://www.emvco.com/emv-technologies/secure 원격 상거래/.