3D Secure(Three‑Domain Secure) 250418

q1: 3D Secure(Three‑Domain Secure)

a1:

3D Secure(Three‑Domain Secure)는 카드 이용자의 온라인 거래 시 인증을 강화해 부정사용을 막기 위한 국제표준 프로토콜입니다. 버전 1.0과 2.0의 차이점, 동작 원리, 대표 서비스(Visa의 “Verified by Visa”, Mastercard의 “SecureCode”)를 차례로 살펴보겠습니다.

⸻

1. 3D Secure 개요
• Three Domains:
1. Issuer Domain (카드 발급사 – ACS, Access Control Server)
2. Acquirer Domain (가맹점 결제처리사 – MPI, Merchant Plug‑In & 3DS 서버)
3. Interoperability Domain (카드 브랜드 네트워크 – Directory Server)
• 카드 결제 시 “카드번호·유효기간·CVC” 외에 추가 인증을 요구하여 ‘카드 정보 탈취 후 대량 부정사용’을 방지합니다.

⸻

2. 3D Secure 1.0

2.1 동작 흐름
1. 구매 요청(PReq): 고객이 가맹점에서 결제를 시작하면 MPI에서 Directory Server로 PReq(암호화된 카드정보) 전송
2. 카드발급은행 조회: Directory Server가 카드 BIN 정보로 ACS(카드발급사) 주소 확인
3. 인증화면 표시(AReq → ARes)
• MPI → ACS로 AReq(인증요청) 전송
• ACS가 카드소유자에게 비밀번호/OTP 입력 화면 제공
• 입력 결과를 ARes로 MPI에 회신
4. 결제 승인: MPI가 ARes 결과를 결제망(Authorize)에 반영

2.2 특징 및 한계
• 장점: 표준화된 추가 인증, 브랜드 차원의 보증(“Liability Shift”)
• 단점
• UX 불편: 별도 팝업 창(iframe)으로 비밀번호 입력 → 모바일 웹에서 호환성·가독성 문제
• 정적 비밀번호: 유출·재사용 위험
• Non‑compliant 환경: 앱 내 결제, 모바일 SDK 활용이 어려움

⸻

3. 3D Secure 2.0

EMVCo가 2016년부터 개발하여 2018년부터 상용화된 차세대 규격입니다.

3.1 주요 개선 사항

구분
3DS1.0
3DS2.0
인증 수단
정적 비밀번호
동적 OTP, 생체인증, 디바이스 인증 등
UX
iframe/팝업 활용
App‑to‑App, SDK 내장, 리디렉션 최소화
데이터 제공
카드 기본 정보
디바이스 정보(Device Info), 거래 컨텍스트, 리스크 평점 등
리스크 기반 인증
불가능
Frictionless Flow(비(非)챌린지 인증) 지원
모바일 환경 지원
미흡
Native SDK, App‑to‑App 지원


3.2 동작 흐름(개요)
1. Exchange Authentication Request (AReq)
• 가맹점 3DS 서버가 카드·거래 정보와 함께 고도화된 디바이스 데이터(브라우저 지문, 디바이스 ID 등) 전송
2. Risk Assessment & Frictionless Flow
• ACS가 받은 정보로 리스크 평점 부여
• 낮은 리스크 거래는 별도 인증 없이 승인(사용자 불편 최소화)
3. Challenge Flow
• 고위험 거래에 한해 OTP, SMS, 생체인증, 금융기관 앱 푸시 등 다양한 인증 수단으로 챌린지
4. Authentication Response (ARes)
• 인증 성공/실패 결과를 3DS 서버 → 가맹점으로 회신
5. 결제 완료
• 가맹점이 카드망(Authorize)에 최종 거래 승인 요청

3.3 장점
• 사용자 경험(UX) 개선: 앱 내 네이티브 챌린지, 생체인증, 푸시 승인 등
• 보안 강화: 디바이스·행동 기반 분석으로 부정사용 탐지 정밀도 향상
• 운영 효율: 낮은 리스크 거래에 별도 인증 배제 → 인증 실패에 따른 매출 이탈 감소

⸻

4. Visa “Verified by Visa” vs. Mastercard “SecureCode”
• 공통점: EMVCo 3DS 프로토콜을 기반으로 하며, 1.0→2.0 업그레이드 제공
• Verified by Visa
• 3DS2.0 지원: Visa SDK, Visa React Native 라이브러리
• Visa Risk Engine과 연동해 실시간 리스크 평가
• Mastercard SecureCode
• 3DS2.0 지원: MDES(Tokenization) 통합, Identity Check 서비스
• Mastercard Identity Check 앱/웹 챌린지 제공

⸻

5. 도입 시 고려 사항
1. EMVCo 인증: 3DS Server, ACS, Directory Server 모두 EMVCo 인증 필요
2. 연동 개발: 가맹점 시스템(MPI)과 3DS Server 연동, 모바일 SDK 적용
3. 운영 정책: 리스크 스코어 임계값, 챌린지 정책, 실패 시 UX 절차 설계
4. 고객 커뮤니케이션: 인증 절차 변경 안내, 인증 실패 시 고객 지원 체계

⸻

3D Secure 1.0에서 2.0으로 진화하며 보안 수준은 높이되 사용자의 결제 경험은 더욱 부드럽게 바뀌었습니다. 특히 모바일·앱 결제가 대세인 오늘날, 3DS2.0 도입이 거의 필수라고 볼 수 있습니다.