Last Updated on 6월 5th, 2023, By
 In AppSealing News, 앱실링 블로그

데이터 접근 보안은 금융기관에 중요한 목표입니다. 한 연구에 따르면 2019년 대비 2020년에 신용카드 범죄가 44% 증가하여 393,207건에 달했습니다. 갈수록 심화되는 불확실성과 증가하는 금융범죄라는 문제에도 불구하고 보다 견고한 방어체제를 구축하기 위한 노력은 계속되고 있습니다. 이러한 노력에는 특히 유럽연합의 2차 결제 서비스 디렉티브(PSD2)가 있습니다.

PSD2

PSD2는 (1) 다단계 인증(MFA)을 통한 온라인 거래를 의무화하는 강력한 소비자 인증 요건, 그리고 (2) 계정 소유주가 동의할 시 서드파티 제공자(TPP)의 소비자 은행 계좌/데이터 접근에 대한 인정과 규제가 핵심입니다. 고객 인증 프로세스는 사용자가 이미 인지하는 암호나 PIN, 그리고 별도 생성되는 코드나 사용자 지문 등 2가지 정보를 조합하는 2단계 인증(2FA)을 이용합니다. 즉 거래 시마다 각기 다른 인증이 이루어집니다. 30유로 미만의 소액이나 반복적인 거래(자동이체 등) 등 일부 예외는 인정됩니다. 

PSD2가 비즈니스와 결제 산업에 미칠 영향

PSD2는 모든 전자 거래에 영향을 미치므로 결제 개시 서비스(PIS)와 계정 정보 서비스(AIS) 등 2가지 주요 서비스가 직접적 영향을 받습니다. PIS의 경우 사업자는 고객 계좌에서 온라인 뱅킹을 통해 판매자의 계좌로 자금이 이체합니다. 이때 사업자는 거래 당사자들에게 거래 금액, 송금 및 수신 계좌, 일자, 메시지, 관련 업데이트/경보 등의 정보를 입력하도록 요청합니다. 고객이 자신의 은행을 방문하여 거래할 필요가 없습니다.

한편 AIS는 한곳에 고객 정보를 수집, 저장하여 전체적으로 볼 수 있도록 하는 데 초점을 맞춥니다. 즉 고객은 여러 계정에서 취합된 정보를 한 앱에서 볼 수 있어 실시간으로 금융 현황을 체계적으로 볼 수 있습니다. 

물론 2FA의 형태로 된 추가 인증도 많은 고객들이 거쳐야 하는 변화입니다. 이를 통해 기업들에 대한 부정행위가 줄어들고 보다 원활한 거래가 이루어집니다. 이 인증은 특정 거래에서만 적용되므로 고객은 보다 신뢰성 높고 안전한 통신과 결제가 이루어진다고 기대할 수 있습니다. 다시 말해 편리하고 편안하며 더욱 안전한 거래가 가능합니다. 

PSD2 적용 대상

PSD2는 보통 카드 발행사와 매입 은행이 유럽 경제구역 내에 위치한 경우의 거래에 적용됩니다. 일회성 거래는 더욱 안전해지며 금액이 적은 반복성 거래는 이전과 같이 진행할 수 있습니다. 현금 거래도 변화가 없습니다. 신뢰받는 상대방과의 거래도 적용이 면제됩니다. 

PSD2 준수 방안

인증 프로세스가 시작되어 원활하게 진행되려면 은행은 관련 메시지나 추가 토큰, 일회용 암호 등의 인증 요소를 업데이트하여 적시에 고객들과 공유해야 합니다. 소액거래나 신뢰받는 상대와의 거래 및 자동이체 등 반복성 거래와 같은 예외도 고려해야 합니다. 고객 선호도 데이터의 저장도 중요합니다. 기존의 파트너십을 다시 한번 살펴보고 중요한 당사자들이 포함되도록 해야 전체 프로세스가 원활하게 이루어질 수 있습니다.

국제 비즈니스에 대한 PSD2의 함의

PSD2는 주로 EU 내에서 적용되지만 미국도 영향을 받습니다. 미국의 결제 산업은 이미 강력한 인증 방식을 도입하기 위해 준비 중입니다. 그 중에서도 3D 보안 버전 2(3DS2)는 생체인증과 일회용 암호(OTP)를 조합합니다. 은행들은 전체 신용카드 네트워크가 공유하는 3DS2를 반영한 API를 구현해야 합니다. 이 이전 버전인 3DS1은 상인들로 하여금 카드 소유주가 해당 은행 사이트에 방문하도록 하여 정보를 수집하는 방법이었지만 이는 복잡성으로 인해 널리 확산되지 못했습니다. 한편 3DS2는 로그인이나 가입이 필요하지 않습니다.

주로 유럽에서 이익을 창출하는 기업이라면 EU에 지사를 설립하는 것이 좋습니다. 유럽 외에 본사가 있더라도 EU에 지사가 있다면 PSD2를 준수해야 하므로 필요한 조치를 취해야 합니다.

PSD2에 대한 준비

PSD2를 통해 기업들은 부정행위를 줄이면서 고객의 신뢰를 받을 수 있습니다. 여기서 핵심은 원활한 MFA 전략을 수립, 실행하면서 예외를 염두에 두는 것입니다. 시스템은 고객의 불편과 혼란을 야기하지 않도록 구성해야 합니다. 앱실링(AppSealing)의 App Shielding 기술과 제품은 금융기관들이 온라인 거래와 데이터 전송을 보호하여 PSD2와 같은 규제를 준수하도록 도와드립니다. EU에 지사가 있거나 EU 진출 계획이 있는 기업이라면 앱실링(AppSealing)의 솔루션이 큰 도움이 될 것입니다. 이곳을 클릭해  빠르고 편리한 데모를 진행해 보십시오. 

 

Dustin Hong
Dustin Hong
Dustin은 잉카엔트웍스의 앱실링 비즈니스 개발을 이끌고 있습니다. 그는 사이버 보안, IT, 컨텐츠 및 애플리케이션 보안 분야의 소프트웨어 개발과 혁신에 많은 관심을 가지고 있습니다. 또한 사이버 보안 세계에서 주요 사건의 대상, 이유 및 방법에 대해 다양한 사람들에게 공유하고 토론하는 것을 좋아합니다. 업계 동향 및 모범 사례에 대한 그의 견해는 기사, 백서에 실려있으며, 여러 보안 행사에서 유사 주제로 발표를 하였습니다.