용어정리 - 3D Secure

Posted at 2009. 12. 30. 10:02// Posted in 업무를 스마트하게

3D Secure란?
비자에서 최초 제안한 서비스로 온라인 거래시 카드사가 직접 카드 사용자들을 인증하는 국제 표준 프로토콜이다. 안심 클릭 서비스(3D Secure)는 기본적으로 3-D Domain 개념에 기반하고 있다. 신용카드 거래 framework를 Issuer Domain(발급사 영역), Acquirer Domain(매입사 영역), Interoperability Domain(상호 운영 영격)으로 구분하고 각 참가자들의 권리/의무 관계를 명확히 하는 모델이다. 

발급사(Issuer)는 카드 소지자의 등록 및 온라인 거래의 인증을 책임진다. 인터넷 거래시에 온라인 브랜드 가치성을 높이고 발급사의 대 고객 관계가 강화되고, 구매 당시에 인터넷 거래에 대해 인증을 하므로 인터넷 거래를 온라인 POS 거래처럼 보안을 강화할 수 있다.

매입사(Acquirer)는 가맹점의 신뢰 및 계약 여부 검증, 거래 기반 기술을 확인하는 절차적 책임을 진다. 기존의 업무 기반이나 시스템에 영향없이 적용이 가능하다. 상호 운영 영역(Interoperability Domain)에서는 두 영역 간의 거래 교환을 돕는 책임을 진다.

서비스 요구 사항
3D Secure 서비스를 이용하기 위해서 카드 소지자는 사전에 발급사의 웹사이트에서 3-D Secure 비밀번호 또는 공인인증서를 개별적으로 등록해야 사용이 가능하다. 

3D Secure에서는 최초 카드번호, CVC, 유효기한, 이름으로 최초 인증을하고 이 후에는 각 개인마다 비밀 번호를 사용하여 향후 거래에 사용한다. 

3D Secure Work Flow
1. 카드 사용자가 쇼핑몰에서 주문/배송 정보를 입력하고, 결제정보(카드번호,유효기간) 입력시 MPI 활성화된다.
2. 가맹점(자체 및 대행 PG)의 MPI가 3-D 인증이 가능한지 여부 확인을 위해 카드범위 체크 요청 메세지를 Payment Server로 보낸다.
3. Payment Server는 해당 카드의 유효성 여부와 Merchant의 참여 여부를 확인한 후 카드 인증 여부를 요청한다.
4. 3D 인증 가능 여부를 체크한다.
5. 해당 가맹점의 MPI로 개인 패스워드를 확인하여 인증 여부를 확인한다..
6. 지불인증요청을 사용자의 쇼핑장치 화면을를 통해서 카드사로 전송한다.
7. 카드사는 사용자의 암호, 공인인증서서에 따라 본인 여부를 확인 후 전자 서명의 절차를 거친 후 VAN사를 통하여 카드사로 승인 요청을 한다.

현재까지는 비밀 번호 재발급 관련된 보안 취약점이 알려져 있다. 

관련 사이트

200912 용어 정리
3D Secure, CVC, CVV

 EMV란?

약어 : Europay, MasterCard, Visa 카드
기능 : 카드 결재 관련된 국제 표준이다.
            스마트 카드, 카드 리더기 등의 제품을 만들기 위해서는 위 규정을 준수해야 한다.

관련 링크


//