MasterCard's Chip Authentication Program (CAP)

정의
. 마스터 카드 사가 2006년 제정 하였다.
. 인터넷 뱅킹, 온라인 전자 상거래에서 사용되는 스마트 카드 사용에 관한 보안, 기술적 규격을 의미함
. 유사한 제도로 VISA 사의 Dynamic Passcode Authentication 제도가 있음
. PIN 방식을 채택한 2 팩터 인증 제도임

. 최초 사용자는 CAP Reader라는 단말기를 통하여 비밀번호를 등록한다. 이 비밀번호가 One Time 패스워드를 생성하고 이 패스워드는 향후 온라인 거래 상에서 개인 인증 용도로 사용된다. One Time 패스워드는 EMV 표준에 의해서 생성되며 거래 종료 후에는 소멸된다. 
. 개인 사용자는 마스터 카드 사에서 인증한 사이트(MasterCard SecureCode-enabled merchant)에서 CAP 방식을 이용하여 안전하게 전자 상거래 또는 온라인 뱅킹 업무를 진행할 수 있다.
. One Time  Password, Challenge/Response, Transaction Data 의 3단계 모드로 이루어진다. 각 사용자들은 환경에 따라 적절하게 선택하여 사용할 수 있다. 예를 들어 로그인 시 OTP, 거래시에는 Challenge/Response 모드를 사용한다.

. 기존 환경에 변화가 작으며 사용자가 받아들이기에 저항감도 작아서 널리 사용되고 있다.
. 유사한 제도로 스테이틱 패스워드, 하드웨어 토근 방식, PKI 방식이 있다. 하지만 이들 방식에 비하여 안정성, 유연성이 뛰어나며 비용이 작게 들고 사용자가 쉽게 사용할 수 있다는 측면에서 경쟁력이 있다.
. 캠브리지 대학의 Saar Drimer, Steven Murdoch 등이 보안 취약점을 발표함


질문들
. 비자 DPA와 차이점은?
. 사용자마다 CAP Reader 구매해야 되는가?
. 국내 업체 상대로 전자 상거래를 하는 경우에 Master 카드를 사용한다면 CAP 규약이 사용되는건가? 혹은 외국업체와 거래시 Master 카드를 사용하면 사용되는 것인가?

2 팩터 인증 제도란?
. 2단계의 인증 절차를 거치는 것으로 통상 사용자가 알고 있는 정보(패스워드)와 사용자가 가지고 있는 물건(카드, 폰 등)을 결합하여 많이 사용함. 이러한 2단계 절차로 위조의 위험이 대폭 줄어든다.

참고 사이트
3. http://corpbusiness.uol.com.br/evento/ecommerce/PDF/MasterCard.pdf
//