은행 문제 추가: PSD2는 새로운 데이터 공유 규칙을 의미합니다.

많은 분들이 PSD2(Payment Services Directive의 줄임말)라는 유럽 연합의 유럽 은행 당국(EBA) 지침에 대해 들어보셨을 것입니다. 이 지침은 원래 2015년 말에 발행되었습니다. 2018년 1월까지 모든 회원국은 규정을 이행해야 했습니다.

은행 산업은 디지털 미래에 대해 이미 생각하고 있지 않다면 많은 도전에 직면해 있습니다.

EU의 PSD2에 대한 강력한 고객 인증 이해

PSD2의 주요 목적은 다음과 같습니다.

1. 온라인 판매자와 같은 다양한 플레이어를 위한 새로운 시장 기회를 열고 모든 주요 이해 관계자를 위한 경쟁의 장을 평평하게 합니다.
2. 소비자 투명성과 소비자 선택권 제공
3. 온라인 결제 를 위한 새롭고 더욱 강력한 보안 방식 도입

PSD2에는 일반적으로 여러 지침이 있습니다. 그러나 더 나은 PSD2 지침 중 하나는 MEF(모바일 생태계 포럼)에서 다운로드할 수 있습니다.

강력한 고객 인증

PSD2 규정의 핵심 요소 중 하나는 강력한 고객 인증(SCA) 개념입니다. EBA는 다음과 같이 언급합니다. “PSD2 덕분에 소비자는 전자 결제 또는 거래(예: 온라인 뱅킹 사용 또는 온라인 구매)를 할 때 더 잘 보호될 것입니다.

규제 기술 표준(RTS)은 강력한 고객 인증(SCA)을 기반으로 결제 계정에 액세스하고 온라인으로 결제합니다.” 간단히 말해서 SCA는 최소한 2FA(2단계 인증)를 요구합니다.

2단계 인증은 사용자가 3가지 요소 중 2가지 요소로 자신의 신원을 "증명"해야 함을 의미합니다.

1. 그들이 알고 있는 것(PIN 코드 또는 비밀번호)
2. 소지품(휴대기기, 카드)
3. 그것들이 무엇인지(지문, 얼굴 스캔: 예를 들어 생체 인식)

EBA는 SCA가 EU 전역에서 일반적으로 사용된다는 점에 주목합니다. 그러나 신용 카드 결제 또는 은행 직접 송금과 같은 온라인 결제 거래의 경우 항상 그런 것은 아닙니다. SCA는 벨기에, 네덜란드, 스웨덴의 EU 국가에서 적용됩니다. 그러나 유럽연합 집행위원회의 우수한 보도자료에 따르면 다른 EU 국가에서는 SCA가 자발적으로만 적용됩니다.

EU 회원국은 2018년 1월까지 PSD2를 구현해야 했지만 SCA는 RTS 발효일(올해 말 예정)로부터 EBA 규제 기술 표준(RTS) 이후 18개월 후에 의무화됩니다. . 따라서 본질적으로 우리는 2019년 중후반을 보고 있습니다(2019년 9월은 일부 문서에서 인용한 날짜 중 하나였습니다). 이를 통해 모든 이해 관계자는 SCA 및 기타 보안 요구 사항을 시스템 및 워크플로에 통합할 수 있는 충분한 시간을 확보할 수 있습니다.

SCA용 2FA

SCA 일정을 감안할 때 2018년은 기업이 요구되는 보안 강화를 설명하기 위해 2FA 솔루션 구현을 시작하기에 완벽한 시기입니다.

국제 로펌인 Taylor Wessing은 논문: PSD2에 따른 강력한 고객 인증에서 “EBA는 기술 중립성을 보장하고 사용자 친화적인 , 접근 가능하고 혁신적인 결제 수단이므로 인증 요소를 더 이상 정의해서는 안 됩니다.” 이것은 EBA가 2FA가 구현될 수 있는 방식을 지정하지 않는다는 것을 의미합니다. SMS, 푸시 알림 또는 보다 전통적인 이메일 채널과 같은 모바일 채널을 통한 토큰 전달과 TOTP 소프트 토큰 솔루션 등 다양한 체계가 있습니다.

이 모든 사실에 주목해야 하며, 좋은 2FA 구현 계획과 마찬가지로 몇 가지 제한 사항과 특정 규정이 있으며 이러한 사항을 신중하게 고려해야 한다는 점을 지적해야 합니다.

인증 코드

RTS는 인증 코드 생성이 다음 조건을 충족한다는 점에 주목합니다.

1. 인증코드 공개로 지식, 소유, 상속에 관한 정보 도출 불가
2. 이전에 생성된 다른 인증 코드에 대한 지식을 기반으로 새 인증 코드를 생성하는 것은 불가능합니다.
3. 인증 코드는 위조할 수 없습니다

또한 RTS는 코드의 수명 내에서 5번 이하의 인증 시도 실패를 시도해야 하며 온라인으로 결제 계정에 액세스하기 위해 인증된 후 지불인 또는 사용자가 활동하지 않는 최대 시간이 5분을 초과하지 않아야 한다고 명시합니다. .

트랜잭션의 동적 연결

RTS는 전자 원격 거래(기본적으로 인터넷을 통한 지불(노트북 또는 모바일 장치와 같은 데스크톱 장치))에는 "특정 금액 및 특정 수취인과 거래를 동적으로 연결"하는 요소가 포함되어야 함을 나타냅니다. RTS는 이것을 SCA의 추가 형태로 간주합니다.

이 SCA 요구 사항의 경우 지불 거래 금액과 2FA 거래 시 수취인(또는 판매자)을 사용자에게 다시 제공해야 합니다. 금액 또는 수취인에 변경 사항이 있는 경우 다른 인증 코드가 생성되어야 합니다(예: 해당 코드를 새 수취인 및/또는 지불 금액에 "동적으로 연결"). 모든 필수 정보가 포함된 SMS 메시지는 오른쪽 이미지처럼 보일 수 있습니다. 10분 보안 코드, 판매자(또는 수취인) 이름 및 거래 금액.

흥미롭게도 Google Authenticator와 같은 타사 TOTP 호환 앱에서 생성된 인증 코드는 결제/판매자 정보와 완전히 별개로 생성되므로 동적으로 연결할 수 없습니다.

채널 독립성

이 요구 사항은 약간 까다롭습니다. RTS는 "결제 서비스 제공업체는 강력한 고객 인증 요소 또는 인증 코드 자체가 다목적 장치를 통해 사용되는 경우 보안 조치를 채택하여 해당 다목적 장치로 인해 발생할 수 있는 위험을 완화해야 합니다. 침해당하고 있다." 다목적 장치는 모바일 장치, 태블릿 또는 랩톱이 될 수 있습니다.

사용자가 랩톱을 사용 중이고 결제를 요청받은 경우 해당 판매자는 인증과 함께 지불할 금액뿐만 아니라 수취인(예: 판매자)과 함께 사용자의 모바일 장치에 SMS를 보낼 수 있습니다. SMS 본문의 코드.

다른 예에서 사용자가 모바일 장치를 사용하여 판매자와 상호 작용하고 지불을 시작하는 경우 이 채널 독립성은 SMS 또는 모바일 전용 배달 채널을 특별히 금지하지 않습니다 . 여기, 가는 선입니다. 많은 경우 사용자가 가지고 있는 유일한 장치는 휴대폰과 같은 다목적 장치입니다. 그러나 채널 독립성은 동일한 장치에 있는 독립된 채널일 뿐입니다. 인증 코드가 있는 SMS는 모바일과 다른 채널(실제로는 이동 전화 번호를 통해 도달하는 대역 외 채널 임)입니다. 사용자가 판매자와 소통하는 앱 또는 웹 브라우저. 모바일 앱을 사용하여 TOTP 호환 코드(예: Google Authenticator)를 생성할 때도 동일한 채널 독립성이 적용되지만 이전에 언급했듯이 TOTP 호환 코드는 트랜잭션의 동적 연결에 실패합니다.

반대로 사용자가 모바일 앱을 사용하여 판매자에 액세스하는 경우 동일한 채널이므로 동일한 앱(인증 코드 포함)에 대한 푸시 알림이 불가능합니다.

SMS를 통한 2FA가 매우 안전하지 않으며 어떤 경우에는 사실일 수도 있다고 말하는 사람들이 있습니다. 예, 공격자가 한 운영자의 SS7을 통해 2FA SMS 메시지에 액세스할 수 있었던 일부 격리된 인스턴스가 있었습니다. 그러나 이러한 취약점 중 많은 부분이 종료되었습니다. 또한 인증 코드가 생성되어 사용자에게 제공되는 방식과 메시징 서비스 공급자가 이러한 코드를 전달하는 방식이 매우 중요합니다.

다목적 장치가 널리 사용되는 상황에서(오늘날에도 가장 널리 사용되는 장치이며 앞으로도 계속 그러할 것입니다), 메시징 채널을 제공하는 모바일 운영자는 2FA 토큰을 위한 실행 가능한 대역 외 채널이어야 합니다.

보다 자세한 분석을 위해 어떤 유형의 시나리오(특히 다목적 장치의 경우)가 PSD2 SCA를 준수해야 하는지에 대한 자세한 내용을 제공하는 Frederik Mennes의 유익한 블로그 게시물을 찾았습니다.

PSD2 SCA를 가볍게 여겨서는 안 되지만 이미 구현된 많은 2FA 솔루션이 작동해야 합니다. 그러나 많은 온라인 판매자가 아직 PSD2 SCA와 호환되는 솔루션을 제공하지 않는다는 것도 알고 있습니다. 이 글을 쓰는 시점에서 SCA를 지불 워크플로에 통합할 수 있는 충분한 시간이 있습니다.

SAP Authentication 365는 기업이 PSD2 호환 SCA를 구현할 수 있도록 API 기반 클라우드 솔루션을 제공하는 솔루션입니다. SAP Authentication 365 모바일 서비스는 디지털 비즈니스에 맞춘 인증으로 다채널 2FA(2단계 인증) 서비스를 빠르고 안전하게 구현할 수 있는 End-to-End 서비스입니다.

SMS, 이메일, 푸시 알림 또는 TOTP 소프트 토큰을 통한 인증을 활성화하여 기업 고객의 ID와 데이터를 보호하는 데 도움이 됩니다. SAP의 REST API는 유효성 검사 또는 인증 코드의 생성 및 인증을 단순화하고 PSD2 호환 SCA 전략을 구현할 수 있는 유연성과 기능을 제공합니다.