마지막 장: PSD2를 위한 강력한 고객 인증(SCA)
게시 됨: 2018-09-05이것은 EU의 PSD2 강력한 고객 인증(SCA)에 대해 자세히 설명하는 3부작 게시물 시리즈 중 세 번째입니다.
우리는 이 시리즈의 세 번째이자 마지막 부분에 도달했습니다. 첫 번째 기사에서는 PSD2(두 번째 지불 서비스 지침의 약자)라는 유럽 연합의 유럽 은행 당국(EBA) 지침을 소개하고 강력한 고객 인증(또는 SCA)의 몇 가지 기본 원칙을 설명했습니다. 두 번째 기사에서는 인증 코드, 트랜잭션의 동적 연결 및 채널 독립성을 포함하여 구현자가 고려해야 하는 SCA 제한 및 규정을 살펴보았습니다.
이 게시물에서는 PSD2 RTS(규제 기술 표준)에 요약된 요구 사항을 충족해야 하는 SCA 구현 옵션과 추가 정보를 찾을 수 있는 몇 가지 좋은 위치에 대해 설명합니다.
SCA에 대한 몇 가지 구현 옵션을 살펴보기 전에 강력한 인증 및 동적 연결에서 몇 가지 예외 가 있음을 지적해야 합니다.
PSD2 보도 자료 FAQ에서 그들은 "[예외는] 오늘날 소비자, 가맹점 및 결제 서비스 제공업체가 운영되는 방식을 방해하지 않기 위한 것입니다. 또한 동등하게 안전하고 안전한 대체 인증 메커니즘이 있을 수 있기 때문입니다. 그러나 "SCA 면제를 원하는 결제 서비스 제공업체는 사기 위험이 낮은지 평가하기 위해 거래 모니터링 메커니즘을 먼저 적용해야 합니다." 구체적인 면제는 PSD2 RTS의 III장에 설명되어 있습니다.
PSD2에서 강력한 고객 인증이 요구되는 두 가지 영역
- 계정 액세스 – 데스크톱, 랩톱, 태블릿 또는 휴대폰과 같은 모든 장치를 통해 결제 계정에 액세스하는 것입니다.
- 지불 – 이것은 지불 정보와 인증 방법의 동적 연결을 포함하여 지불의 실제 인증입니다.
오늘날의 다중 장치, 다중 채널 세계에서 인증을 달성하기 위한 뱅킹/결제 애플리케이션의 다양한 방법이 있습니다. 간단한 SMS 기반 2FA에서 Fido의 보다 정교하고 안전한 U2F(Universal 2nd Factor)에 이르기까지 그 사이에 있는 모든 것과 동맹을 맺습니다.
오늘날 일반적으로 4가지 주요 구성이 있습니다.
- 두 개의 장치 - 하나는 은행/판매자 애플리케이션을 실행합니다. 다른 하나는 인증을 제공합니다. 여기에는 인증 장치로 U2F 장치와 하드웨어 토큰이 포함되지만 은행/판매자 애플리케이션을 실행하는 랩톱과 인증을 제공하는 모바일 장치가 있는 랩톱 및 모바일 장치도 포함됩니다(대역 외 인증 포함).
- 두 개의 앱, 하나의 장치 – 단일 장치, 일반적으로 휴대전화에는 은행/판매자 앱과 인증 앱이 있습니다. 인증 앱에는 예를 들어 동적으로 연결된 구매 정보를 인증 앱으로 전송하기 위해 은행/판매자와 통합되는 Google Authenticator 또는 특수 제작 인증 앱과 같은 소프트 토큰 솔루션이 포함될 수 있습니다.
- 하나의 앱, 하나의 장치 – 예를 들어 해당 앱 내에서 인증 기능도 제공하는 모바일 뱅킹 앱이 있습니다.
- 대역 외 또는 OOB 인증 에는 SIM 카드로 보호되는 휴대폰 번호로 전송된 SMS가 포함됩니다. 이 경우 SMS(또는 지원되는 경우 RCS)와 같은 대역 외 채널을 통해 도달하는 모바일 장치가 두 번째 요소(보유)가 됩니다.
이러한 모든 옵션이 주어지면 PSD2 SCA를 지원하고 규정을 준수하기 위한 최상의 옵션과 방법은 무엇입니까?
대역 외 옵션(OOB)은 소비자에게 가장 쉽고 잘 알려진 방법입니다. 이는 계정 액세스 규칙을 완전히 준수하며 SMS에 결제 정보가 포함되어 있는 한 결제 옵션이어야 합니다. 또한 채널 독립성 요구 사항을 충족합니다.
물론 요즘에는 SMS에 몇 가지 보안 문제가 있습니다. 그러나 많은 것들이 언론에서 다소 과장되어 있습니다(예: SIM 스왑, SMS 가로채기). 즉, 더 좋고 더 안전한 방법이 있습니다. SMS를 2FA용 OOB 채널로 사용하는 경우 계정 또는 결제를 더욱 안전하게 보호하기 위해 추가 지식 요소를 추가하는 것을 고려하십시오. 이는 특정 SIM 스왑 또는 SMS 가로채기 시나리오가 발생할 경우 이에 대한 추가 보안을 제공합니다.
결제를 위한 인증을 위해 다양한 하드웨어 장치를 사용하는 다중 장치(2-장치) 인증 옵션의 문제점 중 하나는 해당 인증 장치에 결제/판매자 정보의 동적 연결을 다시 통합하기 어렵다는 것입니다. 이들 중 다수는 U2F 기기와 같이 상당히 안전하지만 구매/결제 정보의 동적 연결을 통합하기가 어렵습니다.
유용한 한 가지 방법은 여전히 클라우드에서 표준화된 PIN 코드를 생성하지만 특수 인증 앱으로 전송된 암호화된 정보를 사용하는 인증 솔루션을 사용하는 것입니다. 은행/판매자 앱에는 인증 앱으로 전송될 코드와 함께 결제 정보가 포함될 수도 있습니다.
인증 앱은 사용자에게 정보를 제공한 다음 "수락" 또는 "거부"로 응답합니다. 인증 앱은 2개 앱(1개 장치) 전략뿐만 아니라 2개 장치 전략의 일부일 수 있습니다. 앱은 전화번호(예: OOB)에 의존하지 않으므로 SIM 스왑 또는 기기 하이재킹에 저항합니다. 또한 장치는 계정 소유자의 지식 기반 정보와 함께 계정 소유자의 물리적 소유여야 합니다.
다행스럽게도 앞으로 몇 달 안에 PSD2 SCA를 구현해야 하는 EU 지불 제공업체가 사용할 수 있는 옵션이 많이 있습니다. 각각에는 SCA 리소스를 적용해야 하는지 여부를 결정하기 위해 면밀히 조사해야 하는 특정 사용 사례가 있습니다. 다음은 몇 가지 팁입니다.
- 각 사용 사례 검토
- SCA 면제가 적용될 수 있는지 이해
- 계정 액세스 또는 지불과 관련된 사용 사례를 결정합니다.
- 결제의 경우 결제 정보 및 판매자를 사용자에게 어떻게 표시할지 결정(동적 연결)
- 계정 액세스의 경우 로그인에 항상 2단계 인증을 적용하는 것이 좋습니다.
대부분의 EU 시장에서 온라인 쇼핑 및 결제에 가장 널리 사용되는 방법은 모바일 장치를 통하는 것입니다. 따라서 이는 해당 장치가 인증뿐만 아니라 쇼핑/결제를 위한 기본 장치로 사용됨을 의미합니다. 사용자가 데스크톱이나 랩톱을 사용할 것이라고 항상 기대하지 마십시오. 모바일 장치 사용량(태블릿 포함)은 기본 장치로만 증가합니다.
PSD2 SCA는 복잡한 규정 세트이지만 오늘날의 인증 문제 및 옵션에 대한 상식과 이해가 있으면 이러한 규정을 충족하고 관련된 모든 당사자를 보호할 수 있습니다. 최근 몇 달 동안 SCA의 일부 요구 사항과 SCA가 부과하는 일부 제한 사항에 대한 비판이 있었습니다. 사실, 향후 몇 개월 및 몇 년 동안 후속 규정(PSD3?)이 있을 수 있습니다.
온라인 지불에 관련된 경우 SCA를 구현하는 것을 두려워하지 마십시오. 마지막 순간까지 기다리지 마십시오. 시간을 내어 요구 사항을 읽고 연구한 다음 결정을 내리십시오. 많은 옵션이 있으며 이 3부작 시리즈가 PSD2 SCA의 다양한 옵션과 요소를 안내하는 데 도움이 되었기를 바랍니다.