보안

개정된 EU '지불 서비스 지침(PSD2)'에 대해 알아야 할 7가지

Lucian Constantin | CSO 2020.04.10
개정된 PSD(Payment Services Directive, 지불 서비스 지침)이 작년부터 유럽 연합에서 시행됐다. 금융 기관, 결제 서비스 업체, 유럽 시장에서 사업을 하는 기업이 충족해야 할 새로운 요구사항이 추가됐다. 그러나 EU 지역 이외의 기업 역시 PSD2의 영향을 받을 수 있으므로 모든 CISO가 이에 대해 알아둘 필요가 있다.
 
ⓒ Getty Images Bank
 

PSD2란 무엇인가

PSD2는 EEA(유럽 경제 지역, EU 회원국과 아이슬란드, 리히텐슈타인, 노르웨이)의 결제 서비스를 규제하는 법이다. 2015년 유럽 의회에서 채택된 후 2019년 9월 발효됐다. 새로운 거래 보안 요구사항은 시행이 연기됐다.

PSD2는 2007년 제정된 지불 서비스 지침을 개정한 것이다. 더 엄격한 거래 인증 요건을 강제해 온라인 카드 사기를 줄이고, 핀테크 산업을 관리하고, 은행이 고객 계좌 데이터를 공유하도록 해 결제 시장의 경쟁을 활성화하는 것이 목적이다. 또한 무단 결제에 대한 소비자의 책임을 줄여 소비자 보호를 강화하며, 회원국은 결제 서비스와 관련된 불만을 처리하는 국책 기관을 지정하도록 했다.
 

PSD2가 우리 회사에 영향을 미칠까

PSD2는 고객 계좌를 보유한 은행과 기타 금융 기관, 제3자 결제 서비스 제공업체, 결제 개시 서비스 또는 계좌 정보 집계 서비스를 제공하는 핀테크 업체, 그리고 최종적으로 온라인 판매업체에 직접적으로 영향을 미친다.

특히 판매업체는 사용 중인 은행 또는 결제 처리 업체가 온라인 거래에 새롭게 적용되는 SCA(Strong Customer Authentication) 요구사항을 지원하는지 여부를 확인해야 한다. 카드 발급업체는 책임을 면하려면 SCA를 준수하지 않는 거래를 거부해야 하므로 은행이나 결제 처리 업체가 SCA를 지원하지 않으면 판매 손실로 이어질 수 있다.

새로운 인증 요구사항은 카드 발급업체와 매입자가 모두 EEA 내에 위치하는 거래에 적용되지만 판매업체가 EEA 내에 위치하지 않는 경우라도 자금이 EEA의 매입자를 통해 처리되는 이른바 “한쪽 다리만 걸친” 거래에도 이 조항이 적용된다. 예를 들어 EEA 외부의 판매업체가 EEA 기반 결제 서비스 제공업체(PSP)를 사용해 유럽 고객의 거래를 처리하거나, PSP가 EU에 소재한 법인 중 하나의 중간 계정을 사용하는 경우 SCA가 적용된다.
 

SCA 요구사항은 무엇인가

PSD2는 무카드(card-not-present) 거래에 대해 다중 인증을 사용한 승인을 의무화한다. 즉, 소비자가 온라인 거래를 할 때 카드에 인쇄된 정보만으로는 더는 거래할 수 없다는 의미다. 온라인 결제를 위해서는 지식(사용자만 아는 것), 소유(사용자만 갖고 있는 것), 고유함(사용자에게만 해당하는 특성)에 해당하는 요소 중 두 가지 이상을 사용해야 한다.

유럽 은행감독청은 허용되는 지식, 소유, 고유함 요소가 무엇인지 밝혔는데, 이에 따라 영향을 받는 기업 대부분이 범위 외 거래 승인을 위해 휴대폰을 사용할 것으로 예상된다. 예를 들어 온라인 카드 거래를 할 때마다 사용자의 폰에 설치된 은행 앱이 사용자에게 지문 또는 다른 허용되는 방법을 사용해 승인을 요청하는 식이다.

30유로 이하의 소액 거래, 같은 수령자를 대상으로 한 같은 금액의 반복적 거래(구독형 서비스에서 일반적임), 고객이 화이트리스트로 지정한 거래, 그리고 결제 서비스 제공업체를 대상으로 한 30유로 초과 거래 중 위험 사기 분석을 사용하고 충분히 낮은 사기 비율을 입증할 수 있는 거래에 대해서는 SCA가 면제된다.
 

SCA 요구사항은 이미 시행되고 있는가

SCA 요구사항은 엄밀히 말해 지난해 9월 14일부터 발효됐지만, 유럽 은행감독청(EBA)은 각국 정부 기관이 시행을 연기해, 아직 준비되지 않은 결제 서비스 제공업체에 준비할 시간을 주도록 허용했다. EBA는 지난해 10월 최종 기한을 2020년 12월 31일로 확정 발표했다. 이 시점까지 모든 결제 서비스 제공업체는 SCA 채택을 완료해야 한다. 여기에는 판매업체에 의한 구현과 테스트도 포함된다.

EBA는 “필요한 경우 NCA(국가 규제 당국)는 관할 지역의 결제 서비스 제공업체(PSP)에 그동안 행사한 관리 감독상의 융통성이 PSD2와 EBA의 기술 표준에 대한 SCA 요구사항 적용 시기가 연기됨을 의미하지 않는다는 점을 전달해야 한다. 본래의 취지는 NCA가 SCA 요구사항을 준수하지 않는 PSP를 대상으로 즉각적인 강제 조치를 취하기보다는 이전 계획을 모니터링하는 데 집중한다는 것이다”라고 설명했다.

EBA에 따르면 판매업체는 18개월 연기를 더 선호했을 것이다. 그렇게 되면 카드사들이 개발한 3-D 시큐어(3DS) v2.2 통신 프로토콜의 시행 일정과 맞출 수 있기 때문이다. 이 프로토콜 버전은 SCA가 면제되므로 PSP와 판매업체는 카드 발행 업체가 많은 수의 거래에 대해 이의를 제기하는 상황을 피해 결과적으로 고객의 결제 관련 문제를 줄일 수 있다. 그러나 EBA는 면제 관련 내용이 2017년 2월부터 전달된 만큼 업계에서 준비할 시간은 충분했다고 강조했다.
 

오픈 뱅킹 요구사항은 무엇인가

PSD2에 따르면 은행과 계좌 보유 기관은 고객이 동의한 경우 제3자 서비스가 결제를 개시하고 고객 계좌의 데이터에 접근하도록 허용해야 한다. 이 요구사항은 고객 계좌 정보에 대한 은행의 독점 구조를 깨고 핀테크 영역의 혁신과 경쟁을 촉진할 것으로 보인다. 또한 핀테크 기업은 EEA 지역에서 유효한 면허를 획득할 수 있으며 여러 국가의 관할에 일일이 대처할 필요가 없도록 통일된 규정이 적용된다. 이를 통해 기존 은행과 신규 업체 간에 공정한 환경을 조성한다는 구상이다. 

또한, 판매업체는 고객에게 결제 카드를 사용하지 않는 결제 옵션을 더 많이 제공할 수 있다. 예를 들어 고객은 자신의 계좌에 접근하도록 승인된 결제 개시 서비스 제공업체(PISP)를 통해 직접 지불하는 방법을 선택할 수 있다. 보편적으로 채택되는 표준은 아직 없지만, 대부분의 금융 기관은 API를 통해 새로운 계좌 접근 요구사항을 구현할 것으로 보인다.
 

PSD2는 EEA 외부의 시장에도 영향을 미치는가

전문가들은 SCA 요구사항이 다른 시장에 직접적으로 영향을 미치지는 않지만(유럽에서도 사업을 영위하는 비 EEA 판매업체 제외), 카드 회사가 3DS 버전 2의 글로벌 구축을 계속 추진하고 EEA 이외의 관할지에 위치한 은행도 시장의 압력과 경쟁력 유지를 위해 3DS2를 채택할 것으로 예상한다. 따라서 규정에 따른 의무 사항이 아니더라도 다른 국가에서도 비슷한 수준의 온라인 거래 보안을 제시할 가능성이 높다. 또한 판매업체도 고객이 어디에 있든 관계없이 일관적인 경험을 제공하고자 할 것이다.
 

PSD2가 보안에 미치는 가장 큰 영향은 무엇인가

PSD2는 새로운 SCA 요구사항에 따라 온라인 뱅킹 보안에 긍정적인 영향을 미칠 수 있지만, 계좌 접근 API가 안전하고, 일관적으로 구현되지 않을 경우 오히려 악영향을 미칠 가능성도 있다. 실제로 기존에도 OAuth와 오픈ID 커넥트(OpenID Connect)와 같이 접근 위임을 위해 광범위하게 사용되는 표준이 있었지만, 구현 관련 문제가 자주 발생하고 이로 인해 계좌 하이재킹이 일어나는 경우가 많았다. 이번 달에도 페이스북의 OAuth 구현에서 결함을 찾아 보고한 보안 연구원에게 지불된 금액이 5만 5,000달러에 이른다.

하나의 계좌에 대해 복수의 제3자에게 접근 권한을 부여하면 공격자의 진입점이 늘어나므로 위험도 따라 증가할 수밖에 없다. API를 대상으로 한 공격은 해커에게 매력적이다. 웹 로그인 양식에 비해 더 쉽게 공격을 자동화할 수 있기 때문이다. 애초에 API의 목적이 애플리케이션 간 통신을 간소화, 자동화하는 것이지만, 아카마이(Akamai)는 지난 2년 동안 특히 금융 업계를 상대로 한 API 기반 공격이 크게 늘어났다고 밝혔다.

거래 보안 측면에서 PSD2는 유럽의 무카드 사기를 줄이는 데 큰 역할을 할 것으로 예상된다. 그러나 사기의 무대가 거래 보안 수준이 상대적으로 낮은 다른 지역으로 옮겨갈 위험이 있다. 이 때문에 전문가들은 미국을 비롯한 다른 국가도 핀 카드에 비해 더 안전한 3DS2 및 SCA와 유사한 요구사항을 도입해야 한다고 지적한다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.