용어정리 - 3D Secure

Posted at 2009. 12. 30. 10:02// Posted in 업무를 스마트하게

3D Secure란?
비자에서 최초 제안한 서비스로 온라인 거래시 카드사가 직접 카드 사용자들을 인증하는 국제 표준 프로토콜이다. 안심 클릭 서비스(3D Secure)는 기본적으로 3-D Domain 개념에 기반하고 있다. 신용카드 거래 framework를 Issuer Domain(발급사 영역), Acquirer Domain(매입사 영역), Interoperability Domain(상호 운영 영격)으로 구분하고 각 참가자들의 권리/의무 관계를 명확히 하는 모델이다. 

발급사(Issuer)는 카드 소지자의 등록 및 온라인 거래의 인증을 책임진다. 인터넷 거래시에 온라인 브랜드 가치성을 높이고 발급사의 대 고객 관계가 강화되고, 구매 당시에 인터넷 거래에 대해 인증을 하므로 인터넷 거래를 온라인 POS 거래처럼 보안을 강화할 수 있다.

매입사(Acquirer)는 가맹점의 신뢰 및 계약 여부 검증, 거래 기반 기술을 확인하는 절차적 책임을 진다. 기존의 업무 기반이나 시스템에 영향없이 적용이 가능하다. 상호 운영 영역(Interoperability Domain)에서는 두 영역 간의 거래 교환을 돕는 책임을 진다.

서비스 요구 사항
3D Secure 서비스를 이용하기 위해서 카드 소지자는 사전에 발급사의 웹사이트에서 3-D Secure 비밀번호 또는 공인인증서를 개별적으로 등록해야 사용이 가능하다. 

3D Secure에서는 최초 카드번호, CVC, 유효기한, 이름으로 최초 인증을하고 이 후에는 각 개인마다 비밀 번호를 사용하여 향후 거래에 사용한다. 

3D Secure Work Flow
1. 카드 사용자가 쇼핑몰에서 주문/배송 정보를 입력하고, 결제정보(카드번호,유효기간) 입력시 MPI 활성화된다.
2. 가맹점(자체 및 대행 PG)의 MPI가 3-D 인증이 가능한지 여부 확인을 위해 카드범위 체크 요청 메세지를 Payment Server로 보낸다.
3. Payment Server는 해당 카드의 유효성 여부와 Merchant의 참여 여부를 확인한 후 카드 인증 여부를 요청한다.
4. 3D 인증 가능 여부를 체크한다.
5. 해당 가맹점의 MPI로 개인 패스워드를 확인하여 인증 여부를 확인한다..
6. 지불인증요청을 사용자의 쇼핑장치 화면을를 통해서 카드사로 전송한다.
7. 카드사는 사용자의 암호, 공인인증서서에 따라 본인 여부를 확인 후 전자 서명의 절차를 거친 후 VAN사를 통하여 카드사로 승인 요청을 한다.

현재까지는 비밀 번호 재발급 관련된 보안 취약점이 알려져 있다. 

관련 사이트

200912 용어 정리
3D Secure, CVC, CVV

 EMV란?

약어 : Europay, MasterCard, Visa 카드
기능 : 카드 결재 관련된 국제 표준이다.
            스마트 카드, 카드 리더기 등의 제품을 만들기 위해서는 위 규정을 준수해야 한다.

관련 링크


//
Dynamic Passcode Authentication
. VISA 카드 사가 2006년 제정 하였다.
. 인터넷 뱅킹, 온라인 전자 상거래에서 사용되는 스마트 카드 사용에 관한 보안, 기술적 규격을 의미함
. 유사한 제도로 마스터 카드 사의 CAP (Chip Authentication Program) 제도가 있음
. PIN 방식을 채택한 2 팩터 인증 제도임

DPA 적용 프로세스
온라인 전자 상거래 예시 
1. 상품 선택 
2. 카드 정보 입력 
   카드 종류, 카드 번호, 유효 기간, CVV, 빌링 주소, 우편 번호


3. Dynamic Passcode Reader를 PIN을 입력하여 생성되는 고유 번호(Dynamic Passcode)를 입력
    (고유 번호를 생성하는 별도의 Reader 장비가 필요함)

4. Dynamic Passcode가 은행 인증 용도로 동일하게 사용되며 결재가 완료됨.



   (세부 절차에 대해서 상세하게 설명해 줌)


//


MasterCard's Chip Authentication Program (CAP)

정의
. 마스터 카드 사가 2006년 제정 하였다.
. 인터넷 뱅킹, 온라인 전자 상거래에서 사용되는 스마트 카드 사용에 관한 보안, 기술적 규격을 의미함
. 유사한 제도로 VISA 사의 Dynamic Passcode Authentication 제도가 있음
. PIN 방식을 채택한 2 팩터 인증 제도임

. 최초 사용자는 CAP Reader라는 단말기를 통하여 비밀번호를 등록한다. 이 비밀번호가 One Time 패스워드를 생성하고 이 패스워드는 향후 온라인 거래 상에서 개인 인증 용도로 사용된다. One Time 패스워드는 EMV 표준에 의해서 생성되며 거래 종료 후에는 소멸된다. 
. 개인 사용자는 마스터 카드 사에서 인증한 사이트(MasterCard SecureCode-enabled merchant)에서 CAP 방식을 이용하여 안전하게 전자 상거래 또는 온라인 뱅킹 업무를 진행할 수 있다.
. One Time  Password, Challenge/Response, Transaction Data 의 3단계 모드로 이루어진다. 각 사용자들은 환경에 따라 적절하게 선택하여 사용할 수 있다. 예를 들어 로그인 시 OTP, 거래시에는 Challenge/Response 모드를 사용한다.

. 기존 환경에 변화가 작으며 사용자가 받아들이기에 저항감도 작아서 널리 사용되고 있다.
. 유사한 제도로 스테이틱 패스워드, 하드웨어 토근 방식, PKI 방식이 있다. 하지만 이들 방식에 비하여 안정성, 유연성이 뛰어나며 비용이 작게 들고 사용자가 쉽게 사용할 수 있다는 측면에서 경쟁력이 있다.
. 캠브리지 대학의 Saar Drimer, Steven Murdoch 등이 보안 취약점을 발표함


질문들
. 비자 DPA와 차이점은?
. 사용자마다 CAP Reader 구매해야 되는가?
. 국내 업체 상대로 전자 상거래를 하는 경우에 Master 카드를 사용한다면 CAP 규약이 사용되는건가? 혹은 외국업체와 거래시 Master 카드를 사용하면 사용되는 것인가?

2 팩터 인증 제도란?
. 2단계의 인증 절차를 거치는 것으로 통상 사용자가 알고 있는 정보(패스워드)와 사용자가 가지고 있는 물건(카드, 폰 등)을 결합하여 많이 사용함. 이러한 2단계 절차로 위조의 위험이 대폭 줄어든다.

참고 사이트
3. http://corpbusiness.uol.com.br/evento/ecommerce/PDF/MasterCard.pdf
//