PSD2의 강력한 고객 인증(SCA)

결제는 쇼핑 경험의 핵심 요소입니다. 어디서 무엇을 판매하든지 간에 결제는 중요하지만, 특히 온라인에서는 신뢰와 보안이 최우선입니다.

유럽 경제 지역에서 사업을 운영하고 있다면, 개정된 결제 서비스 지침(PSD2)에 대해 들어본 적이 있을 것입니다. 이는 강력한 고객 인증을 포함하는 규제 요건으로, 온라인 구매에 대한 사기를 방지하고 고객을 보호하기 위해 설계되었습니다. 이는 유럽 경제 지역 내의 기업에도 영향을 미칠 것입니다.

앞으로 이 복잡한 판매 과정을 해결할 수 있는지 알아보세요. 이 글에서는 PSD2, 강력한 고객 인증 등과 관련된 모든 질문에 대한 답변을 제공합니다.

강력한 고객 인증이란 무엇인가요?

강력한 고객 인증은 유럽 경제 지역에서 사기를 줄이고 결제를 더욱 안전하게 만드는 보안 정책입니다. 이는 개정된 결제 서비스 지침의 일환입니다.

강력한 고객 인증은 많은 사람들이 2단계 인증이라고 부르는 것과 유사합니다. 고객이 온라인에서 직불카드나 신용카드를 사용하여 구매할 때, 강력한 고객 인증은 두 가지 인증 방법을 요구할 수 있습니다.

예를 들어, 고객이 PIN이나 비밀번호를 입력하는 대신, 강력한 고객 인증은 고객에게 문자로 전송된 코드를 입력하라는 메시지를 보낼 수 있습니다. 이는 사기 거래가 발생하는 것을 더 어렵게 만듭니다.

강력한 고객 인증은 또한 하나의 인증 방법이 침해되더라도 다른 인증 방법이 손상되지 않도록 보장하여 고객 정보의 전반적인 보안을 강화합니다.

개정된 PSD2란 무엇인가요?

개정된 결제 서비스 지침은 EU 내에서 이루어지는 전자 결제를 규제합니다. 첫 번째 결제 서비스 지침은 2007년에 시행되었으며, PSD2는 2019년 말에 발표되었습니다. 그러나 완전한 시행은 2020년 말까지 이루어지지 않았습니다.

이번 개정의 주요 업데이트 중 하나는 직불카드 및 신용카드를 사용하는 온라인 쇼핑 고객에 대한 강력한 보호입니다. 이는 전자상거래 판매자인 여러분을 보호하기도 합니다.

이 규정을 준수하기 위해서는 강력한 고객 인증을 통해 카드 미소지 사기를 완화해야 합니다.

강력한 고객 인증의 예시

강력한 고객 인증은 지식, 소유, 고유성이라는 다음 세 가지 요소 중 두 가지를 포함해야 합니다. 

지식

지식은 고객만이 알고 있는 정보를 의미합니다. 몇 가지 예시는 다음과 같습니다.

• 비밀번호
• 암호 문구
• 비밀인 사실
• PIN
• 일련번호
• 지식 기반의 도전 질문

소유

소유는 고객이 실제로 소유하고 있는 물건을 의미합니다. 여기에는 다음과 같은 것들이 포함됩니다.

• 휴대전화
• 태블릿
• 웨어러블 기기
• 하드웨어 토큰
• 스마트카드
• 배지

고유성

고유성은 고객에게 본질적으로 존재하는 개인적이고 신체적인 식별자를 의미합니다. 이는 고객이 "무엇인가"로 간주됩니다. 예시는 다음과 같습니다.

• 지문
• 얼굴 인식
• 음성 인식
• 홍채 인식
• 망막 스캔
• DNA 서명

강력한 고객 인증은 어떻게 작동하나요?

과거에는 계정 접근 및 결제 승인이 PIN과 같이 단순히 "고객이 아는 것"으로 이루어졌습니다. 그러나 강력한 고객 인증은 그 이상의 것을 요구하여 보안을 더욱 강화합니다.

비밀번호는 유출되거나 해킹될 수 있습니다. 신용카드와 직불카드는 분실되거나 도난당할 수 있습니다. 그러나 특정 장치에서 비밀번호를 입력하거나 신용카드 PIN과 함께 지문 스캔을 요구하면 전체 과정이 훨씬 더 안전해집니다.

강력한 고객 인증은 3D Secure라는 프로토콜을 통해 이루어집니다. 이는 대부분의 유럽 카드에서 지원되는 기술입니다. 이 프로토콜은 고객이 결제 시 자신을 인증하기 위해 입력해야 하는 추가 보안 레이어를 추가합니다.

고객은 주문에서 3D Secure 표시를 확인하고, 이후 다단계 인증 과정을 통해 자신을 추가로 인증해야 합니다.

이 과정은 다음과 같을 수 있습니다.

• 고객의 스마트폰으로 전송된 일회성 코드
• 은행 앱을 통한 지문 인증
• 스마트폰을 통한 얼굴 인식

많은 스마트 장치가 이러한 고유 인증 방식과 호환되기 때문에 고객이 안전하게 구매할 수 있는 환경이 조성됩니다.

강력한 고객 인증 단계가 완료되면, 모든 사기성 청구는 은행의 문제이며 여러분의 문제가 아닙니다.

강력한 고객 인증 준수를 보장하는 방법

여러분의 사업이 유럽 경제 지역 내에서 운영된다면, PSD2와 강력한 고객 인증을 준수해야 합니다. 그렇지 않으면 은행이 구매를 거부할 수 있습니다. 그러나 준수하는 것은 어렵지 않습니다. 단 두 가지 중 하나(또는 둘 다)를 수행하면 됩니다.

• 신용카드 및 직불카드 결제에 3D Secure 적용
• Shopify Payments 또는 Apple Pay와 같은 결제 포털을 사용하여 자동으로 PSD2 강력한 고객 인증 준수 최적화

Shopify 스토어를 운영하면 준수가 매우 간편합니다. 추가할 수 있는 결제 옵션의 수가 많기 때문에 유럽 경제 지역 내에서 이루어지는 구매에 대해 3D Secure가 자동으로 적용되도록 쉽게 보장할 수 있습니다.

사용자는 Shopify 주문 페이지 내에서 강력한 고객 인증을 사용한 결제 처리된 주문을 확인할 수 있습니다. 3D Secure를 통해 결제된 직불카드 또는 신용카드는 주문 타임라인 옆에 3D Secure(3DS)로 표시됩니다.

이는 구매자의 신원이 카드 발급 은행에 의해 확인되었음을 의미하며, 거래는 낮은 위험으로 기본 설정됩니다. 이러한 거래에 대해 판매자는 주문 페이지에서 추가 작업이 필요하지 않습니다.

언제 강력한 고객 인증이 적용되나요?

강력한 고객 인증은 EU 내에서 이루어지는 모든 온라인 결제에 적용됩니다. 이는 고객이 EU 내에 거주하고 있으며, EU 내에서 운영되는 사업에서 구매했음을 의미합니다.

그러나 점점 더 많은 국가가 사기 결제를 방지하고 판매자 및 결제 제공자를 보호하기 위해 유사한 요구 사항을 도입하고 있습니다.

강력한 고객 인증 면제 사항

모든 전자 결제 또는 전자상거래 거래가 강력한 고객 인증에 해당하는 것은 아닙니다. 다음은 강력한 고객 인증이 필요하지 않은 경우의 몇 가지 예시입니다.

저위험 거래

저위험 거래는 거래 위험 분석(TRA)을 통해 식별됩니다. 결제 제공자는 실시간 위험 분석을 수행하여 강력한 고객 인증 적용 여부를 결정할 수 있습니다.

이 위험은 결제 제공자의 사기율에 의해 결정됩니다. 사기율이 다음 기준 이하면 면제될 수 있습니다.

• 100유로(약 16만 5,316원) 이하 거래의 경우 0.13%
• 250유로(약 41만 3,290원) 이하 거래의 경우 0.06%
• 500유로(약 82만 6,580원) 이하 거래의 경우 0.01%

결제 제공자는 강력한 고객 인증을 사용할 필요 없이 "TRA 면제"를 요청할 수 있습니다.

저가 거래

저가 거래는 비용이 적은 거래로, 강력한 고객 인증에서 면제될 수 있습니다. 규정에 따르면 30유로(약 4만 9,594원) 이하의 거래는 저가 거래로 간주될 수 있습니다.

그러나 발급 은행이나 카드 제공자는 이 면제가 사용된 횟수를 기록합니다. 강력한 고객 인증은 매 5회의 저가 거래 후에 요구되며, 이는 결제가 안전하고 의도적임을 보장하여 사기꾼이 PSD2 규정을 우회할 수 없도록 합니다.

정기 거래

정기 결제 또는 정액 구독은 또 다른 면제 사항입니다. 첫 번째 결제에 대해서는 강력한 고객 인증이 요구되지만, 이후의 자동 결제는 이러한 보안 요구 사항에서 면제됩니다.

판매자 주도 거래

판매자 주도 거래(MIT)는 면제가 아닌 "범위 외"로 간주됩니다. 그러나 거래를 MIT로 마케팅하는 것은 일반적으로 면제를 요청하는 것과 유사한 과정입니다.

이 유형의 결제는 이미 파일에 있는 카드를 사용합니다. 정기 거래와 마찬가지로 첫 번째 결제는 강력한 고객 인증을 통과해야 합니다. 그러나 추가 결제는 일반적으로 고객이 계약이나 다른 정책을 통해 거래가 확인되었음을 동의했기 때문에 요구되지 않습니다.

MOTO(우편 주문/전화 주문) 거래

MOTO 거래, 즉 우편 주문 및 전화 주문 거래는 범위 외로 간주됩니다. 이러한 유형의 결제는 전자 또는 온라인 결제로 간주되지 않기 때문에 강력한 고객 인증 요구 사항에 포함되지 않습니다.

기업 거래

기업 거래 또는 B2B 거래는 두 기업 간에 발생하는 거래입니다. 이러한 결제가 기업 거래를 위해 지정된 카드로 이루어질 경우, 이러한 결제는 강력한 고객 인증 요구 사항에서 면제됩니다.

지역 간 거래

지역 간 거래는 PSD2 규정의 범위 내에 거주하지 않는 소비자가 수행하는 거래로, 강력한 고객 인증 요구 사항의 범위 밖에 있습니다.

예를 들어, 사업이 EU 내에 위치하더라도 미국에서 구매하는 경우, 해당 거래는 강력한 고객 인증의 범위 밖에 있습니다.

신뢰할 수 있는 수혜자

마지막으로, 고객은 정기적으로 거래하는 회사나 신뢰하는 회사를 화이트리스트에 추가하여 결제가 더 이상 인증을 필요로 하지 않도록 할 수 있습니다. 소비자의 은행은 이 "신뢰할 수 있는 수혜자" 목록을 기록하여 소비자가 강력한 고객 인증 과정을 건너뛸 수 있도록 합니다.

PSD2가 Shopify 판매자에게 의미하는 바는 무엇인가요?

독일, 덴마크, 아일랜드, 네덜란드, 오스트리아, 벨기에, 스웨덴, 스페인, 영국에서 신용 카드 또는 직불 카드를 처리하기 위해 Shopify Payments를 사용하고 있다면, 아무런 조치할 필요가 없습니다. Shopify Payments를 이용하면 자동으로 규정을 준수하게 됩니다.

Shopify Payments는 3D Secure 사용을 최소화하도록 최적화되어 있습니다. 거래가 승인되기 위해 발급 은행에서 절대적으로 요구하는 경우에만 3D Secure를 사용합니다.

Stripe를 사용하여 신용 카드 또는 직불 카드를 처리하는 경우에도 PSD2와 강력한 고객 인증을 제공할 수 있습니다.

iDeal, Klarna와 같은 현지 결제 방법 및 Google Pay, Apple Pay, PayPal Express와 같은 지갑은 이미 규정을 준수하고 있으며, 추가 조치가 필요하지 않습니다.

하지만 타사 게이트웨이를 사용하는 판매자는 자동으로 PSD2를 규정을 준수하게 되는 것은 아닙니다.

규정 준수를 위해 Shopify에서 승인한 강력한 고객 인증 게이트웨이를 사용하고 Cardinal Commerce와 연결하는 것을 권장합니다. Shopify 관리자의 설정 > 결제에서 Cardinal Commerce가 사용 가능하다는 알림이 표시됩니다.

유럽 경제 지역 또는 EU 내에서 사업을 운영하는 경우, 여러분과 고객의 이익을 위해 규정 준수를 보장하고 3D Secure 옵션을 제공하고 결제 방식이 강력한 고객 인증에서 면제되도록 해야 합니다.