3D Secure 250625

3D Secure는 온라인 카드 결제 시 “카드 소유자 인증”을 한 번 더 거쳐 거래 안전성을 높이는 인증 프로토콜입니다. Visa의 “Verified by Visa”, Mastercard의 “Mastercard Identity Check” 등이 대표적이죠. 다음과 같이 이해하시면 쉽습니다.

⸻

1. 3D Secure란 무엇인가?
• 3D: “Three Domain”의 약자로,
1. 카드발급사(Domain 1)
2. 카드 결제 네트워크(Domain 2)
3. 가맹점 또는 결제처리사(Domain 3)
세 영역이 함께 작동해 추가 인증을 수행한다는 의미입니다.
• 목적: 결제 도중 “정말 카드 소유자가 맞는지” 확인하여, 부정결제(도난·분실 카드 등)를 예방하고, 거래 성공률(승인율)을 높입니다.

⸻

2. 작동 흐름(기본 과정)
1. 고객이 온라인 결제 시작
• 가맹점 웹사이트나 앱에서 결제 정보를 입력하고 “결제하기”를 누릅니다.
2. 결제 요청 → 3DS 인증 요청
• 가맹점의 PG사 또는 결제시스템이 카드 네트워크(Visa/Mastercard 등)로 “이 카드에 대해 3DS 인증을 진행해 달라”고 보냅니다.
3. 발급사 페이지로 리디렉션
• 결제 화면이 카드 소유자의 카드발급사(은행) 인증 페이지로 전환됩니다.
4. 추가 인증 수행
• 발급사에서 설정한 방식대로 인증을 합니다.
• 일회용 비밀번호(OTP): SMS나 앱 푸시로 받은 코드 입력
• 생체인증: 지문·Face ID
• PIN: 카드 비밀번호
• 앱 승인: 은행 앱에서 결제 승인 터치
5. 인증 결과 회신
• “인증 성공” 또는 “인증 실패” 정보가 다시 카드 네트워크→가맹점으로 전달됩니다.
6. 최종 결제 승인
• 인증이 통과되면, 발급사가 결제 승인 메시지를 네트워크에 보내고, 가맹점에 “결제 완료”를 알려 거래가 확정됩니다.
• 인증 실패나 취소 시 결제도 중단됩니다.

⸻

3. 버전별 특징
• 3DS 1.0
• 팝업 창·iframe으로 은행 페이지를 띄워 OTP를 입력하던 초기 버전
• 사용자 경험이 다소 불편하고, 모바일 환경에서는 복잡
• 3DS 2.0 (EMV 3-D Secure)
• 백그라운드에서 단말기 정보·결제 패턴 등 수십여 개 데이터를 미리 전송(“risk-based authentication”)
• 위험이 낮은 거래는 별도 인증 없이 자동 통과
• 생체인증·앱 푸시 인증 등 UX 개선
• 모바일 SDK를 통한 원앱 내 인증 지원

⸻

4. 장·단점
• 장점
• 부정결제 감소: 카드 도난·분실로 인한 비인가 결제 차단
• 발급사 책임 제한: 인증이 완료된 거래에 대해선 발급사의 부정거래 책임이 경감
• 승인율 향상: 사전에 리스크 평가해 정상 거래는 빠르게 처리
• 단점
• 인증 단계 증가: 사용자가 추가 절차를 거쳐야 해 UX 저하 우려
• 호환성 이슈: 구형 브라우저나 단말에서 인증 창이 깨질 수 있음
• 도입 비용: 가맹점·PG사 측에 3DS 2.0 SDK 통합 및 관리 비용 발생

⸻

5. 실제 구매 예시
1. A씨는 해외 쇼핑몰에서 100 USD짜리 상품을 주문하고 카드정보를 입력했다.
2. “3D Secure 인증이 필요합니다”라는 메시지와 함께 은행 인증 화면으로 이동.
3. A씨는 휴대폰으로 받은 OTP(일회용 비밀번호)를 입력했다.
4. 인증 성공 후, 결제 완료 페이지가 쇼핑몰에 나타났다.

이 과정을 통해 A씨는 본인만 아는 OTP를 입력했으므로, 도난 카드 사용이나 스크립트 공격 등을 방어할 수 있었습니다.

⸻

3D Secure는 온라인 카드 결제의 “안전벨트”와 같아, 사용자와 가맹점·발급사 모두의 리스크를 줄여 주는 핵심 보안 수단입니다.