EMV 3DS 액세스 제어 서버: Passkeys, FIDO 및 SPC

온라인 결제 인증 환경은 정교한 사기에 대한 보안을 강화하고 마찰과 장바구니 이탈을 줄여 사용자 경험을 개선해야 하는 두 가지 요구에 따라 상당한 변화를 겪고 있습니다. EMV® 3-D Secure(3DS) 프로토콜, 특히 최신 버전(EMV 3DS 2.x)은 전 세계적으로 비대면 카드(CNP) 거래를 인증하는 기본 기술 역할을 합니다. EMVCo에서 관리하는 이 프로토콜은 판매자, 발급사(액세스 제어 서버 - ACS를 통해) 및 상호 운용성 도메인(결제 스킴이 운영하는 디렉토리 서버) 간의 데이터 교환을 용이하게 하여 카드 소지자의 신원을 확인합니다.

이 프레임워크 내에서 FIDO(Fast Identity Online) Alliance 표준과 관련된 두 가지 주요 기술 발전이 나타나고 있습니다.

1. 이전 사용자 상호 작용(예: 판매자 로그인) 중에 생성된 FIDO 인증 데이터를 사용하여 EMV 3DS 간편 인증 절차에 대한 위험 평가를 강화합니다.
2. FIDO/WebAuthn을 기반으로 구축된 W3C 웹 표준인 Secure Payment Confirmation(SPC)을 EMV 3DS 흐름 내에서 간소화되고 피싱에 강한 "추가 인증" 방법으로 통합합니다.

이 글에서는 카드 발급 은행에 제공되는 EMV 3DS 액세스 제어 서버(ACS) 솔루션의 글로벌 시장에 대한 개요를 제공합니다. 주요 벤더를 식별하고, 비-SPC FIDO 데이터 구조와 추가 인증 절차를 위한 Secure Payment Confirmation(SPC)에 대한 현재 지원 수준을 평가하고자 합니다. 또한, 발급사가 SPC를 통해 3DS 추가 인증 절차 내에서 암호화 검증을 위해 자체 FIDO Passkey를 활용하는 메커니즘을 명확히 하고 이 표준의 글로벌 적용 가능성에 대해 논의합니다.

EMV 3DS는 주로 두 가지 고유한 인증 경로를 통해 작동합니다.

• 간편 인증 절차(Frictionless Flow): 원활한 사용자 경험을 목표로 하는 선호되는 경로입니다. 발급사의 ACS는 거래 시작 시 교환되는 풍부한 데이터 세트(인증 요청, 즉 AReq 메시지를 통해)를 기반으로 위험 평가를 수행합니다. 이 데이터에는 거래 세부 정보, 판매자 정보, 기기 특성, 브라우저 데이터(3DSMethod JavaScript를 통해 수집될 수 있음) 및 잠재적으로 이전 인증 정보가 포함됩니다. 위험이 낮다고 판단되면 카드 소지자의 직접적인 상호 작용이나 "추가 인증" 없이 거래가 인증됩니다. 이 절차는 특히 위험 엔진이 잘 조정된 경우 대부분의 3DS 거래를 차지합니다.
• 추가 인증 절차(Challenge Flow): ACS가 거래 위험이 높다고 판단하거나, 규정(유럽의 PSD2 SCA 등) 또는 발급사 정책에 따라 의무화된 경우, 카드 소지자는 신원 확인을 위해 적극적으로 추가 인증을 받게 됩니다. 전통적인 추가 인증 방법에는 SMS를 통해 전송되는 일회용 비밀번호(OTP), 지식 기반 질문 또는 뱅킹 앱을 통한 대역 외(OOB) 인증이 포함됩니다. 최신 3DS 버전 및 SPC와 같은 관련 기술의 목표는 이 추가 인증 절차를 기존 방법보다 더 안전하고 덜 번거롭게 만드는 것입니다.

EMVCo와 FIDO Alliance는 판매자가 이전 FIDO 인증에 대한 정보(여기서 _판매자_가 Relying Party 역할을 함, 예: 사용자 로그인 시)를 표준 3DS AReq 메시지 내에서 발급사의 ACS로 전달하는 표준화된 방법을 정의하기 위해 협력했습니다. EMV 3DS v2.1에서 처음 지원된 이 메커니즘은 AReq 내의 특정 필드, 주로 threeDSRequestorAuthenticationInfo 구조를 활용하며, 여기에는 threeDSRequestorAuthenticationData와 같은 하위 필드가 포함됩니다.

FIDO Alliance 기술 노트 및 관련 EMVCo 백서는 이전 FIDO 인증 세부 정보를 전달할 때 이 threeDSRequestorAuthenticationData 필드에 대한 JSON 구조를 지정합니다. 이 JSON 객체에는 인증 시간(authTime), FIDO Relying Party ID(rpId 또는 appId), 그리고 공개 키, AAGUID/AAID, 사용자 존재(UP) 및 사용자 확인(UV) 표시기를 포함하여 사용된 인증자에 대한 정보가 포함됩니다.

그 근거는 판매자가 구매를 시작하는 사용자 세션에 대해 최근에 강력한 FIDO 인증(예: 생체 인식 또는 Passkey 사용)을 수행한 경우, 이 정보가 발급사의 ACS에 대한 귀중한 추가 위험 신호로 작용할 수 있다는 것입니다. 이 표준화된 FIDO 데이터를 수신하고 처리함으로써 ACS는 거래의 합법성에 대한 더 큰 확신을 얻을 수 있으며, 간편 인증 승인 가능성을 높이고 별도의 추가 인증 필요성을 줄일 수 있습니다. 이 시나리오에서 판매자는 FIDO RP이며, 발급사는 이 데이터를 위험 엔진의 입력으로 사용한다는 점에 유의하는 것이 중요합니다. 발급사는 이 간편 인증 절차 내에서 FIDO 어서션 자체를 암호학적으로 검증하지 않습니다. ACS는 데이터를 처리하도록 구성되지 않은 경우 이 데이터를 무시할 수 있는 옵션을 유지합니다.

Secure Payment Confirmation(SPC)은 EMV 3DS 추가 인증 절차 내에서 FIDO 표준의 뚜렷한 통합을 나타냅니다. SPC는 FIDO 및 EMVCo와 협력하여 개발된 W3C 웹 표준으로, WebAuthn을 기반으로 합니다. 이는 버전 2.3부터 EMV 3DS 내에서 공식적으로 지원됩니다.

SPC가 추가 인증 방법으로 사용될 때:

1. 발급사(또는 결제 스킴과 같이 발급사가 명시적으로 위임한 당사자)가 FIDO Relying Party(RP) 로 기능합니다. 이는 판매자가 자체 로그인/인증 목적으로 RP 역할을 하는 앞서 설명한 비-SPC FIDO 데이터 흐름과 근본적으로 다릅니다.
2. 3DS 추가 인증 중에 ACS는 SPC의 필요성을 알리고 필요한 FIDO 자격 증명 식별자와 암호화 챌린지를 판매자/3DS 서버에 제공합니다.
3. 판매자의 시스템은 브라우저의 SPC API를 호출하여 안전한 브라우저 제어 대화 상자에서 사용자에게 거래 세부 정보(금액, 통화, 수취인, 결제 수단)를 제시합니다.
4. 사용자는 FIDO 인증자(예: 기기 생체 인식, PIN, 보안 키)를 사용하여 인증하며, 이는 발급사에 등록된 Passkey와 연결된 개인 키를 사용하여 거래 세부 정보와 챌린지에 서명합니다.
5. 결과적인 FIDO 어서션(인증 및 동의의 암호화 증명)은 3DS 프로토콜(일반적으로 두 번째 AReq 메시지를 통해)을 통해 발급사의 ACS로 다시 전달됩니다.
6. ACS는 RP로서 해당 공개 키를 사용하여 어서션을 암호학적으로 검증하여 카드 소지자의 신원과 특정 거래 세부 정보에 대한 동의를 확인합니다.

SPC는 더 안전하고(피싱 방지, 인증과 거래 데이터의 동적 연결) 잠재적으로 마찰이 적은(종종 OTP 입력보다 빠름) 추가 인증 경험을 제공하는 것을 목표로 합니다.

FIDO 통합을 위한 두 가지 경로—하나는 간편 인증 위험 평가를 위해 이전 판매자 인증 데이터를 활용하고, 다른 하나는 SPC를 통해 직접적인 FIDO 기반 추가 인증을 위해 발급사 관리 자격 증명을 사용하는 것—는 EMV 3DS 프레임워크 내에서 보안과 사용자 경험을 향상시키기 위한 뚜렷한 접근 방식을 제공합니다. 각각에 대한 벤더 지원을 이해하는 것은 인증 전략을 계획하는 발급사와 PSP에게 매우 중요합니다.

이 섹션에서는 EMV 3DS ACS 솔루션의 글로벌 제공업체들의 역량을 분석하며, 시장 점유율과 FIDO 데이터(비-SPC) 및 Secure Payment Confirmation(SPC) 지원에 중점을 둡니다. 정확한 시장 점유율 수치는 독점 정보이며 공개적으로 얻기 어렵기 때문에, 시장 점유율은 벤더의 주장, 인증, 파트너십, 지리적 범위 및 시장 보고서를 기반으로 평가됩니다.

• 시장 점유율: Entersekt는 특히 2023년 12월 Modirum의 3DS 소프트웨어 사업을 인수한 후, EMV 3DS 솔루션의 선도적인 글로벌 제공업체로 자리매김하며 시장 상위 5위를 목표로 하고 있습니다. Modirum은 3DS 분야에서 20년 이상의 경험을 가지고 있었습니다. Entersekt는 특히 북미 지역의 신규 고객과 Mastercard와의 관계 확장을 포함한 전략적 파트너십에 힘입어 기록적인 성장을 강조합니다. 그들은 연간 25억 건 이상의 거래를 보호한다고 주장하며(24 회계연도 기준), Liminal에 의해 뱅킹 분야 ATO 방지에서 1위로 선정되었습니다. 그들의 ACS는 호스팅(Entersekt 또는 클라이언트) 또는 온프레미스로 제공됩니다. 그들은 전 세계적으로 발급사와 프로세서에 서비스를 제공합니다.
• 비-SPC FIDO 데이터 지원(간편 인증): Entersekt는 위험 신호를 위한 Context Aware™ 인증, 기기 및 행동 분석, 다양한 위험 점수 산정 서비스와의 통합을 강조합니다. 그들의 ACS는 FIDO EMVCo 2.2 인증을 받았습니다. RBA를 위해 위험 및 행동 인텔리전스 데이터를 활용한다고 강조하지만, 간편 인증 절차 강화를 위해 threeDSRequestorAuthenticationInfo 필드 내에서 이전 판매자 인증의 _표준화된 FIDO 증명 데이터를 처리_하는 것에 대한 명시적인 확인은 온라인 자료에 명시되어 있지 않습니다. 그러나 고급 인증 및 위험 신호에 대한 그들의 초점은 그 역량을 시사합니다.
• SPC 지원(추가 인증): 강력한 지표들은 Entersekt가 SPC를 지원함을 시사합니다. Entersekt가 인수한 Modirum의 3DS 사업부는 확장 기능이 포함된 3DS 2.2를 사용하는 Visa의 SPC 파일럿에 구성 요소를 제공했습니다. Entersekt는 규제 준수 역량의 일부로 SPC 준수 지원을 명시적으로 나열합니다. 그들의 ACS는 생체 인증을 지원하고, EMV 3DS 2.2 인증을 받았으며, Modirum의 파일럿 참여에서 얻은 역량을 통합했을 가능성이 높습니다. Modirum 인수, SPC 준수의 명시적 언급, FIDO 인증의 조합은 현재 제공되는 제품에서 SPC 지원을 강력하게 시사합니다.

• 시장 점유율: Broadcom의 Arcot는 Visa와 함께 원래 프로토콜을 공동 발명한 3DS 시장의 기초적인 플레이어입니다. 그들은 전 세계 5,000개 이상의 금융 기관에 서비스를 제공하고 229개 국가의 거래를 처리하는 인정받는 글로벌 리더로 자리매김하고 있습니다. 그들의 Arcot Network는 사기 점수 및 위험 엔진을 강화하기 위해 방대한 컨소시엄 데이터 접근 방식(6억 개 이상의 기기 서명, 150조 개의 데이터 포인트 주장)을 강조합니다. 그들은 유럽, 호주, 북미에서 강력한 입지를 가지고 있습니다.
• 비-SPC FIDO 데이터 지원(간편 인증): Broadcom은 데이터 네트워크의 풍부함과 사기 탐지 및 위험 기반 평가를 위한 AI/신경망 사용을 크게 강조하며, 표준 EMV 3DS 데이터 요소를 넘어섭니다. 그들은 솔루션이 여러 발급사를 통해 흐르는 데이터를 활용하고 기기 및 지리적 위치와 같은 디지털 데이터를 통합한다고 명시적으로 밝힙니다. threeDSRequestorAuthenticationData의 특정 FIDO JSON 구조를 처리한다고 명시적으로 언급하지는 않았지만, RBA를 위해 다양한 데이터 포인트를 수집하는 데 중점을 두는 것은 EMVCo/FIDO 지침의 의도와 일치하여 제공될 경우 그러한 데이터를 소비할 _수 있음_을 강력하게 시사합니다. 그들의 플랫폼은 우수한 위험 평가를 통해 간편 인증 승인을 극대화하는 것을 목표로 합니다.
• SPC 지원(추가 인증): Broadcom의 문서는 더 넓은 VIP Authentication Hub / Identity Security 제품군 내에서 FIDO 인증자(보안 키, 생체 인식, Passkey)를 지원함을 확인합니다. 그들의 3DS ACS는 OTP 및 푸시 알림을 포함한 다양한 추가 인증 방법을 지원하며, 생체 인식 지원을 언급합니다. 또한 위임 인증 기능을 제공하고 추가 인증 후 위험 평가 기능을 도입했습니다. 그러나 _EMV 3DS ACS 제품_이 현재 _SPC_를 특정 추가 인증 방법(EMV 3DS v2.3+ 기능 및 두 개의 AReq 흐름 필요)으로 지원한다는 명시적인 확인은 제공된 문서에 없습니다. 그들은 이를 구현할 수 있는 주요 플레이어일 가능성이 높지만, 현재 공개된 자료는 RBA 엔진과 전통적인/OOB 추가 인증 방법에 더 중점을 둡니다.

• 시장 점유율: Netcetera는 특히 유럽과 중동에서 중요한 국제 결제 플레이어로 자리매김하고 있습니다. 그들은 자사의 ACS가 800개 이상의 은행/발급사에서 사용되며, 전 세계적으로 5천만 개 이상의 카드를 보호한다고 밝힙니다. 그들은 모든 주요 카드 네트워크(Visa, Mastercard, Amex, Discover, JCB, UnionPay 등) 및 PCI 규정 준수 인증을 강조합니다. 특히 전 세계 ACS 벤더 중 최초로 EMV 3DS 2.3.1 인증을 획득했습니다.
• 비-SPC FIDO 데이터 지원(간편 인증): Netcetera의 문서는 간편 인증을 늘리기 위해 ACS 위험 평가를 위해 3DSMethod를 통해 수집된 데이터의 중요성을 강조합니다. 그들은 위험 도구와의 통합을 제공합니다. 그러나 위험 평가를 위해 이전 판매자 FIDO 인증 데이터(threeDSRequestorAuthenticationInfo에서)를 처리하는 것에 대한 구체적인 확인은 검토된 자료에서 명시적으로 언급되지 않았습니다.
• SPC 지원(추가 인증): Netcetera는 SPC에 대한 강력한 지원을 보여줍니다. 그들은 SPC를 통합한 버전인 EMV 3DS 2.3.1에 대해 전 세계적으로 인증받은 최초의 벤더였습니다. 그들은 Visa SPC 파일럿에 참여하여 v2.3.1 구성 요소를 제공했습니다. 그들의 제품 문서는 SPC를 명시적으로 정의합니다. 그들은 FIDO 및 SPC 통합에 대해 논의하는 웨비나를 진행했으며 SPC의 이점을 강조하는 기사를 발표했습니다. 이러한 인증, 파일럿 참여 및 명시적 문서의 조합은 SPC 추가 인증에 대한 지원을 확인시켜 줍니다.

• 시장 점유율: Worldline은 결제 및 거래 서비스 분야의 유럽 리더이자 주요 글로벌 플레이어(전 세계 결제 플레이어 4위 주장)로 자리매김하고 있습니다. 그들은 매년 수십억 건의 거래를 처리하며 보장된 규정 준수, AI/ML을 사용한 사기 통제 및 확장성을 강조합니다. 그들의 ACS는 EMV 3DS 인증을 받았으며 주요 스킴(Visa Secure, Mastercard Identity Check) 및 PSD2를 준수한다고 명시되어 있습니다. 그들은 100개 이상의 발급사를 위해 연간 24억 건 이상의 3DS 거래를 처리한다고 보고합니다.
• 비-SPC FIDO 데이터 지원(간편 인증): Worldline의 ACS 제품에는 발급사가 위험에 따라 간편 인증 또는 추가 인증 절차를 구성할 수 있는 RBA 규칙 엔진이 포함되어 있습니다. 그들의 더 넓은 "Trusted Authentication" 솔루션은 기기 인텔리전스와 행동 분석을 활용합니다. 그들이 일반적으로 FIDO를 지원하지만, 위험 평가를 위해 ACS 내에서 이전 판매자 FIDO 데이터(비-SPC)를 처리하는 것에 대한 명시적인 확인은 제공된 스니펫에 자세히 설명되어 있지 않습니다.
• SPC 지원(추가 인증): Worldline은 SPC를 지원한다는 명확한 징후를 보입니다. 그들의 문서는 SPC/FIDO를 포함하도록 EMV 3DS 2.3의 진화를 인정합니다. 그들은 "WL Trusted Authentication" 솔루션이 FIDO 인증을 지원한다고 명시적으로 마케팅하며 "emvCO2.3 및 SPC를 사용하는 3DS 사용 사례"에 적합한 "WL FIDO 서버"를 제공합니다.

• 시장 점유율: GPayments는 ActiveAccess를 3D Secure 분야에서 20년 이상의 경력을 가진 "견고한 시장 선도적인 액세스 제어 서버(ACS) 플랫폼"으로 포지셔닝합니다. 그들은 3DS1과 EMV 3DS 모두에 대해 주요 카드 스킴(Visa Secure, Mastercard Identity Check, JCB J/Secure)의 인증을 받았습니다. 그들의 솔루션은 온프레미스 또는 클라우드 호스팅으로 배포될 수 있습니다. 시장 보고서는 GPayments를 ACS 솔루션을 제공하는 주목할 만한 플레이어로 식별합니다.
• 비-SPC FIDO 데이터 지원(간편 인증): ActiveAccess는 타사 RBA 솔루션과의 통합을 지원하며 자체 위험 평가를 위해 다양한 매개변수를 활용합니다. 그러나 제공된 문서에는 간편 인증 위험 평가를 위해 이전 판매자 FIDO 인증 데이터(비-SPC)를 수집하거나 사용하는 것에 대한 지원이 명시적으로 언급되어 있지 않습니다.
• SPC 지원(추가 인증): ActiveAccess에 대한 검토된 문서에는 추가 인증 절차 기능의 일부로 Secure Payment Confirmation(SPC), WebAuthn 추가 인증 또는 FIDO 추가 인증에 대한 지원이 명시적으로 언급되어 있지 않습니다. 그들이 OOB(생체 인식을 포함할 수 있음)를 포함한 다양한 인증 방법을 지원하지만, 구체적인 SPC 지원은 사용 가능한 정보에서 불분명합니다.

• 시장 점유율: Visa는 주요 글로벌 결제 네트워크로서 EMV 3DS 표준을 기반으로 Visa Secure 프로그램을 정의합니다. 그들은 원래 3DS 프로토콜을 개척했습니다. Entersekt나 Broadcom과 같은 기술 회사와 같은 방식으로 직접적인 ACS _벤더_로 활동하기보다는, Visa는 프로그램을 운영하고 EMV 3DS 및 Visa Secure 규칙을 준수하는 것으로 인증된 승인된 3DS 벤더(ACS 제공업체 포함) 목록에 의존합니다. 발급사는 일반적으로 이러한 인증된 벤더로부터 ACS 솔루션을 조달합니다. Visa 자체는 네트워크(디렉토리 서버)에 집중하고, 프로그램 규칙을 정의하고, 채택을 촉진하며, SPC 파일럿과 같은 혁신을 주도합니다.
• 비-SPC FIDO 데이터 지원(간편 인증): EMV 3DS를 기반으로 하는 Visa Secure는 간편 인증 절차를 가능하게 하기 위해 위험 평가를 위한 풍부한 데이터 교환을 본질적으로 지원합니다. 이전 FIDO 데이터를 전달하기 위한 EMVCo/FIDO 프레임워크는 선택한 ACS 벤더가 처리를 지원하는 경우 Visa Secure 생태계 내에서 작동합니다.
• SPC 지원(추가 인증): Visa는 SPC를 파일럿하고 홍보하는 데 적극적으로 참여하고 있습니다. 그들은 3DS 프로토콜 내에서 SPC 흐름을 테스트하고 개선하기 위해 파트너(파일럿의 Netcetera 및 Modirum/Entersekt 등)와 협력하고 있습니다. 이러한 강력한 참여는 생태계 준비 상태(ACS, 판매자, 브라우저 지원)에 따라 Visa Secure 프로그램 내에서 추가 인증 방법으로 SPC를 전략적으로 지원함을 나타냅니다.

• 시장 점유율: Visa와 유사하게 Mastercard는 EMV 3DS를 기반으로 Mastercard Identity Check 프로그램을 운영합니다. 그들은 발급사와 판매자에게 대리 처리 및 NuData와 같은 파트너 또는 자회사 활용을 포함한 옵션을 제공합니다. Mastercard는 2017년에 행동 생체 인식 회사인 NuData Security를 인수하여 위험 평가 역량을 강화했습니다. 그들은 또한 생체 인식, RBA 및 AI 분야의 지속적인 혁신을 강조합니다. Visa와 마찬가지로 핵심 ACS 구성 요소에 대해 인증된 벤더에 의존하지만 번들 서비스나 인수한 기술을 활용할 수 있습니다.
• 비-SPC FIDO 데이터 지원(간편 인증): Mastercard Identity Check는 향상된 위험 결정 및 간편 인증 절차를 위해 EMV 3DS 2.x의 풍부한 데이터 교환을 활용합니다. NuData 인수는 이 위험 평가의 일부로 행동 분석에 대한 강력한 초점을 시사합니다. 이전 판매자 FIDO 데이터 처리에 대한 지원은 Identity Check 프로그램 내에서 발급사가 사용하는 특정 ACS 구현에 따라 달라집니다.
• SPC 지원(추가 인증): Mastercard는 EMVCo의 핵심 회원이며 SPC를 지원하는 v2.3을 포함한 EMV 3DS 표준 개발에 참여하고 있습니다. 그들은 또한 더 광범위하게 Passkey 채택을 촉진하고 있습니다. 자세한 내용은 여기에서 확인할 수 있습니다. 그들은 강력한 SPC 지지자이며 현대적인 인증 방법으로의 전환을 추진하고 있습니다.

EMV 3DS ACS 시장에는 위에 자세히 설명된 제공업체 외에도 수많은 제공업체가 있습니다. /n software, RSA, 2C2P, 3dsecure.io, Adyen, ACI Worldwide, Computop 등과 같은 벤더들도 인증된 솔루션을 제공하거나 특정 지역 또는 부문에서 중요한 역할을 합니다. 이 분석은 저명한 글로벌 플레이어를 다루는 것을 목표로 하지만 시장의 역동적인 특성으로 인해 완전하지는 않습니다. 벤더의 역량, 특히 SPC와 같은 새로운 표준에 관한 것은 빠르게 발전합니다. FIDO 데이터 또는 Secure Payment Confirmation에 대한 벤더 지원에 대한 부정확한 정보나 업데이트된 정보가 있는 경우, 이 개요가 최신 상태를 유지하고 정확하도록 연락 주시기 바랍니다.

EMV 3DS 추가 인증 절차 내에서 Secure Payment Confirmation(SPC)을 사용하는 핵심 원칙은 카드 발급사(또는 결제 스킴과 같이 발급사가 명시적으로 위임한 당사자)가 FIDO Relying Party(RP) 로 기능한다는 것입니다. 이는 판매자가 자체 로그인/인증 목적으로 RP 역할을 하는 앞서 설명한 비-SPC FIDO 데이터 흐름과 근본적으로 다릅니다.

3DS 추가 인증에서 SPC가 작동하려면 다음 단계가 포함됩니다.

1. 등록: 카드 소지자는 먼저 FIDO 인증자(예: 지문/얼굴 ID와 같은 기기 생체 인식, 기기 PIN 또는 로밍 보안 키)를 발급 은행에 등록해야 합니다. 이 과정에서 Passkey가 생성되며, 공개 키와 고유한 자격 증명 식별자는 발급사에 의해 저장되고 카드 소지자의 계정 또는 특정 결제 카드와 연결됩니다. 등록은 은행의 모바일 앱, 온라인 뱅킹 포털 내에서 발생하거나, 성공적인 기존 3DS 추가 인증 후에 제공될 수 있습니다. 결정적으로, 판매자 웹사이트와 같은 제3자가 SPC를 호출하려면, 자격 증명은 일반적으로 이러한 컨텍스트에서 사용을 허용하는 명시적인 사용자 동의로 생성되어야 하며, 종종 등록 중에 특정 WebAuthn 확장이 포함됩니다.
2. 인증 (3DS 추가 인증 중):
   • 3DS 거래가 추가 인증을 트리거하고 발급사/ACS가 SPC를 지원하고 선택하면, ACS는 카드 소지자 및 기기에 연결된 관련 FIDO 자격 증명 ID를 식별합니다.
   • ACS는 이러한 자격 증명 ID를 고유한 암호화 챌린지 및 거래 세부 정보(금액, 통화, 수취인 이름/출처, 결제 수단 아이콘/표시 이름)와 함께 3DS 서버/요청자에게 다시 보내는 인증 응답(ARes)에 포함합니다.
   • 판매자의 3DS 요청자 구성 요소는 ARes의 이 정보를 사용하여 브라우저의 SPC API를 호출합니다.
   • 브라우저는 ACS에서 제공한 거래 세부 정보를 표시하는 표준화되고 안전한 대화 상자를 제시합니다.
   • 사용자는 등록된 FIDO 인증자(예: 지문 센서 터치, 얼굴 인식, 기기 PIN 입력, 보안 키 탭)를 사용하여 거래를 확인하고 인증합니다. 이 작업은 기기/인증자에 안전하게 저장된 개인 키를 잠금 해제합니다.
   • 인증자는 제시된 거래 세부 정보와 ACS로부터 받은 암호화 챌린지에 서명합니다.
   • 브라우저는 결과적인 FIDO 어서션(서명된 데이터 페이로드)을 판매자의 3DS 요청자에게 반환합니다.
   • 3DS 요청자는 이 어서션을 일반적으로 두 번째 AReq 메시지 내에 캡슐화하여 발급사 ACS로 다시 전송합니다.
   • 발급사/ACS는 권위 있는 Relying Party로서 카드 소지자의 이전에 저장된 공개 키를 사용하여 어서션의 서명을 암호학적으로 검증합니다. 성공적인 검증은 합법적인 카드 소지자가 등록된 인증자를 사용하여 제시된 특정 거래 세부 정보를 승인했음을 확인합니다.

SPC를 EMV 3DS 추가 인증 절차에 통합하려면 표준 메시지 시퀀스를 수정해야 하며, 일반적으로 두 번의 AReq/ARes 교환이 포함됩니다.

1. 초기 인증 요청(AReq #1): 판매자/3DS 서버는 거래 및 기기 데이터를 포함하는 AReq를 전송하여 3DS 프로세스를 시작합니다. SPC에 대한 기능을 알리기 위해 요청에는 threeDSRequestorSpcSupport를 'Y'로 설정하는 등의 표시기(또는 ACS 벤더의 구현에 따라 유사한 값)가 포함될 수 있습니다.
2. 초기 인증 응답(ARes #1): ACS가 추가 인증이 필요하다고 판단하고 SPC를 선택하면, 이를 나타내는 ARes로 응답합니다. transStatus는 'S'(SPC 필요를 나타냄) 또는 다른 특정 값으로 설정될 수 있습니다. 이 ARes에는 SPC API 호출에 필요한 데이터 페이로드가 포함됩니다.
3. SPC API 호출 및 FIDO 인증: 판매자의 3DS 요청자 구성 요소는 ARes #1을 수신하고 페이로드를 사용하여 브라우저의 SPC API를 호출합니다. 사용자는 브라우저의 보안 UI를 통해 인증자와 상호 작용합니다.
4. FIDO 어서션 반환: 성공적인 사용자 인증 시, 브라우저는 FIDO 어서션 데이터를 3DS 요청자에게 반환합니다.
5. 두 번째 인증 요청(AReq #2): 3DS 요청자는 ACS에 두 번째 AReq 메시지를 구성하고 전송합니다. 이 메시지의 주요 목적은 FIDO 어서션 데이터를 전송하는 것입니다. 일반적으로 다음을 포함합니다:
   • ReqAuthData: FIDO 어서션을 포함합니다.
   • ReqAuthMethod: '09'(또는 SPC/FIDO 어서션에 지정된 값)로 설정됩니다.
   • 요청을 연결하기 위해 ARes #1의 AuthenticationInformation 값이 포함될 수 있습니다.
   • 선택적으로, SPC API 호출이 실패하거나 시간 초과된 경우 SPCIncompletionIndicator가 포함될 수 있습니다.
6. 최종 인증 응답(ARes #2): ACS는 AReq #2를 수신하고, 카드 소지자의 공개 키를 사용하여 FIDO 어서션을 검증하고, 최종 인증 결과를 결정합니다. 최종 거래 상태(예: transStatus = 'Y'는 인증 성공, 'N'은 실패)를 포함하는 ARes #2를 다시 보냅니다.

이 두 번의 AReq 흐름은 transStatus = 'C'가 수신된 후 초기 AReq/ARes 주기 내에서 일반적으로 완료되는 기존 3DS 추가 인증 방법(OTP 또는 CReq/CRes 또는 RReq/RRes 메시지를 통해 처리되는 OOB 등)과는 다른 편차를 나타냅니다. SPC의 사용자 상호 작용 부분(생체 인식 스캔, PIN 입력)은 OTP를 입력하는 것보다 훨씬 빠르지만, 두 번째 전체 AReq/ARes 왕복을 도입하면 3DS 서버, 디렉토리 서버 및 ACS 간의 네트워크 지연 시간이 추가됩니다. 구현자와 벤더는 전체 종단 간 거래 시간이 경쟁력을 유지하고 사용자 기대를 충족하도록 이 흐름을 신중하게 최적화하고 잠재적인 시간 초과를 처리해야 합니다.

Secure Payment Confirmation은 이중 표준화로 인해 글로벌 채택을 위해 포지셔닝되어 있습니다. 이는 월드 와이드 웹 컨소시엄(W3C)에 의해 웹 표준으로 공식적으로 정의되었으며, 2023년 중반에 후보 추천 상태에 도달했으며 완전한 권고안이 되기 위한 작업이 진행 중입니다. 동시에, SPC는 결제 표준을 위한 글로벌 기술 기구인 EMVCo가 관리하는 버전 2.3부터 EMV® 3-D Secure 사양에 통합되었습니다. 이 통합은 SPC가 CNP 거래 인증을 위한 기존 글로벌 프레임워크 내에서 작동하도록 보장합니다. W3C, FIDO Alliance 및 EMVCo 간의 협력은 안전하고 사용자 친화적인 온라인 결제를 위한 상호 운용 가능한 표준을 만들기 위한 업계 전반의 노력을 강조합니다.

SPC의 설계, 특히 사용자 인증을 특정 거래 세부 정보에 암호학적으로 연결하는 능력("동적 연결")은 유럽의 결제 서비스 지침(PSD2)과 같은 규정에 따른 강력한 고객 인증(SCA) 요구 사항을 충족하는 데 도움이 되지만, 그 유용성은 이러한 의무화된 지역에 국한되지 않습니다. SPC는 필요한 생태계 구성 요소가 갖추어져 있다면 미국 및 캐나다를 포함한 모든 시장에 적용 가능한 글로벌 기술 표준입니다.

모든 거래에 대해 명시적인 SCA 의무가 없는 시장에서 SPC를 채택하는 주요 동인은 다음과 같습니다.

• 향상된 사용자 경험: 기존 OTP나 지식 기반 질문에 비해 잠재적으로 더 빠르고 편리한 추가 인증 방법(예: 기기 생체 인식 사용)을 제공하여 장바구니 이탈을 줄일 수 있습니다. 파일럿에서는 기존 추가 인증에 비해 인증 시간이 크게 단축된 것으로 나타났습니다.
• 향상된 보안: SPC에 내재된 FIDO 기반 인증은 피싱 공격, 크리덴셜 스터핑 및 비밀번호와 OTP를 대상으로 하는 기타 일반적인 위협에 강합니다.

따라서 북미와 같은 지역의 발급사와 판매자는 모든 거래에 대해 규제 요구 사항이 없더라도 보안을 강화하고 더 나은 고객 경험을 제공하기 위해 전략적으로 SPC를 구현할 수 있습니다.

Secure Payment Confirmation(SPC)의 성공적인 배포와 광범위한 채택은 결제 생태계의 여러 구성 요소에 걸친 조정된 준비 상태에 크게 의존합니다. 기본 FIDO 표준과 Passkey 기술은 빠르게 성숙하고 있지만, SPC API에 대한 특정 브라우저 수준의 지원과 결제 체인 전반에 걸친 완전한 통합은 여전히 중요한 장애물로 남아 있습니다. 다른 생태계 플레이어들은 일반적으로 잘 발전하고 있습니다.

생태계 준비 상태 요약 (2025년 5월 기준)

이것이 실제로 의미하는 바 (2025년 5월)

SPC 채택의 주요 제한 요소는 사용자 에이전트(브라우저) 계층입니다.

• Safari (macOS & iOS): ❌ WebKit에는 여전히 secure-payment-confirmation 결제 요청 방법이 없습니다. Safari에서 방문하는 모든 사이트는 다른 인증 방법(OTP, OOB, 잠재적으로 비-SPC WebAuthn 경험)으로 대체되어야 합니다. Apple은 이 확장을 구현하는 데 관심을 표명하지 않았습니다.
• Chrome / Edge (Chromium): ⚠️ 기본 SPC(자격 증명 생성 + 인증)는 안정적이지만, 키는 아직 하드웨어 인증자에 저장되지 않으며 파일럿에서만 사용되었습니다. 구현자는 잠재적인 주요 변경 사항을 예상하고 API 가용성 확인(예: canMakePayment()) 또는 기능 플래그를 기반으로 기능을 제한할 준비를 해야 합니다.
• Firefox: ❌ 팀은 관심을 표명했지만 확정된 구현 일정이 없습니다. 판매자는 정상적인 대체 경로를 계획해야 합니다.

발급사 인프라(ACS, FIDO 서버)와 카드사 디렉토리 서버가 대부분 준비되었거나 빠르게 발전하고 있고, 판매자/PSP 도구가 사용 가능해지고 있기 때문에, 광범위한 SPC 사용의 주요 장벽은 브라우저 지원입니다. 브라우저 지원 범위가 개선되면 나머지 작업은 주로 판매자/PSP 통합(EMV 3DS v2.3+로 업그레이드, SPC 호출 로직 추가, 두 번의 AReq 흐름 처리) 및 결제 컨텍스트에 특화된 발급사 Passkey 등록 확대에 관련됩니다.

현재로서는 SPC가 제한된 거래 부분에만 나타날 것으로 예상됩니다. Safari(따라서 전체 iOS 생태계)가 지원을 제공할 때까지 SPC는 시장 지원을 달성할 수 없습니다.

분석 결과, 2025년 5월 현재 EMV 3DS 내 두 가지 주요 FIDO 통합의 준비 상태에 명확한 차이가 있음을 알 수 있습니다. 추가 인증 방법으로서의 **Secure Payment Confirmation(SPC)**를 위한 기본 요소들, 특히 발급사/ACS 역량과 카드사 준비 상태는 발전하고 있지만, 그 광범위한 채택은 브라우저 지원이라는 결정적인 병목 현상에 의해 크게 저해되고 있습니다. 특히 Apple의 Safari(모든 iOS/iPadOS 기기 차단)와 Firefox에서의 미구현, 그리고 현재 Chromium 구현의 한계가 문제입니다. SPC는 유망한 미래 상태로 남아 있지만, 오늘날 실용적이고 보편적인 솔루션은 아닙니다.

현재 생태계 상태를 바탕으로 다음과 같은 권장 사항을 제시합니다.

• 판매자:
  • Passkey 도입 우선순위 지정: 사용자 로그인 및 인증에 Passkey를 구현하세요. 자체 보안 및 사용자 경험 개선(여기서는 자세히 다루지 않은 요소) 외에도, 이는 3DS 간편 인증 절차에 필요한 데이터를 생성합니다.
  • FIDO 데이터 전달: 3DS 통합이 결제 세션 중 성공적인 이전 Passkey 인증 세부 정보를 threeDSRequestorAuthenticationInfo 필드에 올바르게 채우도록 하세요. 이를 활성화하기 위해 PSP/3DS 서버 제공업체와 협력하세요.
• 발급사:
  • 사용자 Passkey 등록: 카드 소지자가 직접 Passkey를 등록하도록(뱅킹 앱 액세스, 향후 SPC 등을 위해) 제공하고 장려하기 시작하세요. 필요한 FIDO Relying Party 인프라를 구축하세요.
  • 지금 바로 판매자 Passkey 데이터 활용: ACS 벤더에게 판매자가 전달한 FIDO 데이터(threeDSRequestorAuthenticationInfo)를 RBA 엔진 내에서 강력한 긍정적 신호로 수집하고 활용하도록 지시하세요. 가능한 경우 사용자와 연결된 신뢰할 수 있는 판매자 Passkey 기록을 유지하세요. 강력한 판매자 Passkey 인증이 선행된 거래에 대해 간편 인증 승인을 크게 늘리는 것을 목표로 하세요.
  • SPC 준비 및 적극적 모니터링: ACS 로드맵에 완전한 EMV 3DS v2.3.1+ SPC 지원을 포함하되, 이를 미래의 개선 사항으로 취급하세요. SPC가 대규모로 실행 가능해질 시점을 가늠하기 위해 브라우저 개발 동향(특히 Safari)을 지속적으로 모니터링하세요.
• ACS 벤더:
  • Passkey 인텔리전스로 RBA 강화: 판매자가 제공한 FIDO/Passkey 데이터를 처리하고 신뢰하는 RBA 엔진의 능력에 집중적으로 투자하세요. 특정 사용자/기기에 대한 판매자 구매 전반에 걸쳐 Passkey 사용을 추적하는 로직을 개발하세요. 제공된 경우 판매자 인증 데이터의 암호화 무결성을 검증하기 위해 (직접 발급사 등록에서 얻은) 공개 키를 저장하세요. 성공적인 Passkey 사용을 더 높은 간편 인증 승인율과 직접 연결하세요.
  • 견고한 SPC 역량 구축: 미래 시장 채택에 대비하여 완전한 SPC 추가 인증 절차 지원(EMV 3DS v2.3.1+)을 지속적으로 개발하고 인증하세요.
• 결제 스킴/네트워크:
  • 간편 인증 FIDO 데이터 활용 주도: 3DS 흐름 내에서 판매자 FIDO 인증 데이터(threeDSRequestorAuthenticationInfo)의 전달 및 활용을 적극적으로 홍보하고 잠재적으로 인센티브를 제공하세요. 이 데이터를 RBA에 효과적으로 활용하는 방법에 대해 발급사와 ACS 벤더에게 명확한 지침과 지원을 제공하세요.
  • SPC 옹호 및 브라우저 참여 지속: SPC API 표준의 완전하고 상호 운용 가능한 구현을 장려하기 위해 브라우저 벤더(Apple, Mozilla, Google)와 비판적으로 소통하면서 SPC를 표준화하고 홍보하는 노력을 유지하세요.

즉각적이고 실질적인 기회는 판매자 수준에서 Passkey 채택이 증가함에 따라 간편 인증 절차를 강화하는 데 있습니다. 모든 생태계 참여자는 기존 EMV 3DS 프레임워크 내에서 이 이전 인증 데이터의 생성, 전송 및 지능적인 소비를 가능하게 하는 것을 우선순위로 두어야 합니다. 이 경로는 보편적인 SPC 브라우저 지원을 기다리지 않고 마찰을 줄이고 잠재적으로 사기를 줄이는 데 단기적인 이점을 제공합니다. 동시에, SPC를 위한 기반 작업, 특히 발급사 Passkey 등록 및 ACS 준비 상태를 준비하면 브라우저 병목 현상이 해결되었을 때 생태계가 이 우수한 추가 인증 방법을 채택할 수 있는 위치에 있게 됩니다.