PSD3 / PSR에서의 위임 인증 및 Passkeys

유럽의 결제 환경은 2차 결제 서비스 지침(PSD2)으로 인해 크게 변화했습니다. 2018년부터 점진적으로 발효된 PSD2는 보안을 강화하고 사기를 방지하기 위해 대부분의 전자 결제에 대해 강력한 고객 인증(Strong Customer Authentication, SCA)을 의무화했습니다. 일반적으로 SCA는 사용자가 알고 있는 것(비밀번호 등), 사용자가 소유한 것(휴대폰이나 하드웨어 토큰 등), 사용자의 생체 정보(지문이나 얼굴 스캔 등)의 세 가지 독립적인 요소 중 최소 두 가지를 사용하여 신원을 확인해야 합니다.

PSD2의 SCA 요건이 특정 유형의 사기를 줄이는 데 효과가 있었던 것은 분명하지만, 결제 과정에 마찰을 더하기도 했습니다. 특히 3-D Secure(3DS) 프로토콜을 사용하는 카드 결제에서 이러한 문제가 두드러졌는데, 이 방식은 종종 사용자를 은행 도메인으로 리디렉션하여 인증을 받도록 합니다. 이렇게 추가된 결제 과정의 마찰은 장바구니 포기로 이어져 사용자 경험을 저해할 수 있습니다.

이러한 문제점과 디지털 결제 시장의 빠른 발전을 인식한 유럽 위원회는 2023년 6월 28일, 기존의 틀을 업데이트하기 위한 입법 제안을 발표했습니다. 이 패키지는 새로운 결제 서비스 지침(PSD3)과 결제 서비스 규정(PSR)으로 구성됩니다.

흔히 '혁명이 아닌 진화'로 묘사되는 이 개혁은 강력한 고객 인증(SCA) 및 오픈 뱅킹과 같은 기존 개념을 다듬고, 사기로부터 소비자를 더욱 강력하게 보호하며, 결제 서비스 제공업체(PSP) 간의 경쟁을 촉진하고, EU 결제 시장의 전반적인 기능을 개선하는 것을 목표로 합니다. 진화의 핵심 분야 중 하나는 위임 인증(Delegated Authentication)에 대한 명확한 설명과 프레임워크를 제공하는 것입니다.

제안에서 적용까지의 과정은 여러 단계를 거칩니다. 2023년 6월 발표 이후, 이 제안들은 유럽 의회와 EU 이사회가 참여하는 EU 입법 절차에 들어갔습니다. 의회의 경제통화위원회(ECON)는 2023년 말과 2024년 초에 수정안이 담긴 보고서 초안을 발표했고, 2024년 4월에 의회는 1차 독회에서 입장을 채택했습니다. 다음 단계는 의회, 이사회, 위원회 간의 협상을 통해 최종안에 합의하는 것입니다. 이 과정 전반에 걸쳐 은행, PSP, 기술 기업, 소비자 단체 등 이해관계자들이 공개 협의와 로비 활동에 참여하여 결과에 영향을 미칩니다.

초기에는 2024년 말이나 2025년 초까지 최종 확정될 것으로 예상했지만, 입법 과정이 복잡해지면서 일부 분석에서는 지연 가능성을 제기하고 있습니다. 이로 인해 최종 합의가 늦춰지고 적용일이 2027년 1분기로 미뤄질 수도 있습니다. 일반적으로 새로운 규정은 EU 공식 저널에 발표된 후 18개월 후에 적용될 것으로 예상되므로, 가장 빠른 시작일은 2026년 중반이지만 최종 확정 시점에 따라 더 늦어질 수 있습니다.

중요한 구조적 변화는 PSD3와 함께 PSR이 도입된다는 점입니다. PSR은 모든 EU 회원국에 직접 적용되어 SCA 요건 및 오픈 뱅킹 접근과 같은 운영 규칙이 통일성 있게 시행되도록 보장합니다. 이는 지침의 성격상 국가별 법제화 및 시행에 차이가 있어 단편화를 초래했던 PSD2의 약점을 직접적으로 해결합니다. 지침으로 남는 PSD3는 결제 기관의 인가, 라이선스, 감독에 초점을 맞춰 시장 감독에 있어 일부 국가별 상황을 고려할 수 있도록 합니다. 이러한 이중 구조는 전략적인 접근 방식을 나타냅니다. 즉, 규정을 통해 중요한 운영 분야에서 더 빠르고 일관된 조화를 목표로 하는 동시에, 국가별 특수성이 더 중요한 기관 감독에 대해서는 지침 형식을 유지하는 것입니다.

삼자 협상의 복잡성, 이후 유럽 은행 감독청(EBA)이 상세한 규제 기술 표준(RTS) 및 가이드라인을 개발해야 하는 필요성, 그리고 업계가 시행을 준비하는 데 필요한 시간을 고려할 때, 일반적으로 언급되는 18개월의 전환 기간은 다소 촉박해 보입니다. 기업들은 계획을 세울 때 잠재적인 지연을 고려하여 2026년 말이나 2027년 초를 현실적인 적용일로 예상해야 합니다.

제안된 PSD3/PSR 프레임워크에서 가장 주목할 만한 명확화 중 하나는 위임 인증(Delegated Authentication, DA)을 명시적으로 허용한다는 점입니다.

위임 인증(DA)은 결제 수단(예: 카드 발급사)을 발행하는 은행과 같은 결제 서비스 제공업체(PSP)가 제3자에게 자신을 대신하여 강력한 고객 인증(SCA)을 수행하도록 허용하는 프로세스를 의미합니다.

제안된 규정의 원문(PSR 제안 제87조, 강조는 필자)은 다음과 같습니다.

초안에 따르면 발급사(일반적으로 결제 계좌를 제공하는 은행)는 SCA 적용 책임을 특정 제3자에게 위임할 수 있습니다. 이러한 제3자에는 판매자, 결제 게이트웨이 또는 매입사, 온라인 마켓플레이스, 디지털 지갑 제공업체 등이 포함될 것으로 예상됩니다.

이러한 움직임은 계좌 보유 기관이 아닌 다른 주체가 SCA에 필요한 인증 확인을 수행하는 시나리오를 공식적으로 인정하고 규제적 경로를 제공한다는 점에서 중요합니다. DA를 허용하는 목적은 인증 경험의 혁신을 촉진하는 것입니다. 위임을 허용함으로써 규제 당국은 판매자나 지갑처럼 고객과의 상호작용에 가장 가까운 주체들이 생체 인식이나 Passkeys와 같은 최신 기술을 활용하여 마찰이 적고 통합된 인증 흐름을 구축하도록 장려하여 궁극적으로 사용자 경험을 개선하고자 합니다. PSD3 초안 이전에 출시된 Stripe의 DA 구현과 같은 초기 사례들은 이러한 이점을 포착하여 참여 발급사들의 인증 시간 단축과 전환율 증가를 보고했습니다.

하지만 초안은 중요한 조건을 도입합니다. 바로 발급사가 제3자에게 SCA를 위임하는 것을 명시적으로 아웃소싱으로 분류한다는 것입니다. 이 분류는 단순히 의미론적인 것이 아니라 상당한 규제적 무게를 가집니다. 이는 모든 DA 계약이 금융 기관의 아웃소싱에 관한 엄격한 규칙, 주로 EBA의 아웃소싱 계약 가이드라인을 준수해야 함을 의미합니다. 또한, SCA 요소를 확인하는 디지털 지갑 운영자는 발급 은행과 공식적인 아웃소싱 계약을 체결해야 합니다.

이 '아웃소싱'이라는 꼬리표는 복잡한 트레이드오프를 제시합니다. 한편으로는 DA를 명시적으로 허용하는 것이 혁신과 더 나은 UX에 대한 규제적 개방성을 시사합니다. 다른 한편으로는 이러한 계약을 금융 서비스 아웃소싱 규제의 모든 무게 아래에 두는 것이 상당한 규제 준수 부담을 초래합니다. 이 과정은 잠재적으로 간단한 기술적 전달에서 규제 대상인 핵심 보안 기능의 위임으로 변모합니다. 이는 실사, 계약 세부 사항, 위험 관리, 지속적인 모니터링, 감사 권한, 그리고 잠재적으로 디지털 운영 복원력 법(DORA) 준수와 관련된 광범위한 요구 사항을 유발합니다. 이러한 아웃소싱 요구 사항과 관련된 상당한 부담은 DA가 장려하려던 바로 그 혁신을, 특히 이러한 복잡한 규제 환경을 헤쳐나갈 자원이 부족한 소규모 판매자나 TSP의 경우, 중단시킬 수 있습니다.

PSD3/PSR 제안에 따라 위임 인증이 '아웃소싱'으로 분류된다는 것은 이러한 계약이 EBA의 아웃소싱 계약 가이드라인의 범위에 명확히 포함된다는 것을 의미합니다. 이 가이드라인은 금융 기관(SCA를 위임하는 발급사 포함)과 위임된 기능을 수행하는 기술 서비스 제공업체(TSP)가 준수해야 할 포괄적인 프레임워크를 설정합니다.

이 가이드라인은 몇 가지 주요 의무를 부과합니다.

• 실사: SCA를 위임하기 전에 발급사는 기술 서비스 제공업체(TSP)에 대한 철저한 실사를 수행해야 합니다. 여기에는 TSP의 사업 평판, 기술 역량, 재무 안정성, 전문성, 자원(인력, IT), 조직 구조 및 보안 조치를 평가하여 SCA라는 중요한 기능을 수행하기에 적합한지 확인하는 것이 포함됩니다.
• 위험 평가: 아웃소싱 계약을 체결하기 전과 계약 기간 내내 포괄적인 위험 분석이 의무적입니다. 이는 운영 위험, 법적 위험, 규제 준수 위험, 집중 위험(하나의 TSP에 너무 많이 의존하는 것), 그리고 하위 아웃소싱(TSP가 기능의 일부를 다시 위임하는 경우)과 관련된 위험을 다뤄야 합니다. '중요하거나 중요한' 기능(명시적으로 면제되지 않는 한 SCA는 암묵적으로 이에 해당)으로 간주되는 기능을 아웃소싱하면 훨씬 더 엄격한 요구 사항이 적용됩니다.
• 계약 요건: 상세한 서면 계약이 필수적입니다. 이 계약은 위임된 기능의 범위, 역할과 책임, 서비스 수준 협약, 준거법, 재정적 의무, 데이터 보안 조항(접근성, 가용성, 무결성, 기밀성 및 안전성 포함), 비즈니스 연속성 계획 및 종료 조항을 명확히 정의해야 합니다. 결정적으로, 계약은 위임 기관과 그 규제 당국에 아웃소싱된 기능에 대한 무제한적인 접근 및 감사 권한을 부여해야 합니다.
• 지속적인 모니터링: 발급사는 단순히 '위임하고 잊어버리는' 식으로는 안 됩니다. 합의된 지표에 따라 TSP의 성과를 지속적으로 모니터링하고, 지속적인 위험 상태를 평가하며, 보안 및 비즈니스 연속성 조치를 검토해야 합니다. TSP 인증에만 의존하는 것은 충분하지 않습니다.
• 출구 전략: SCA와 같은 중요한 기능의 경우, 발급사는 문서화된 출구 계획을 가지고 있어야 합니다. 이 계획은 계약을 종료하고, 기능을 다른 TSP로 이전하거나, 서비스 중단이나 보안 또는 규제 준수 저해 없이 기능을 다시 내부로 가져오는 전략을 개괄해야 합니다.
• 집중 위험: 위임 기관과 관할 당국 모두 여러 기관이 동일한 TSP 또는 소수의 지배적인 TSP에 의존함으로써 발생하는 집중 위험을 모니터링해야 합니다. 특히 중요한 기능의 경우 더욱 그렇습니다.
• '빈 껍데기' 금지: 가이드라인은 아웃소싱이 위임 기관이 인가 상태를 유지하기 위한 실체와 운영 능력이 부족한 '빈 껍데기'가 되는 상황으로 이어져서는 안 된다고 명시적으로 규정합니다. 규제 준수 및 위험 관리에 대한 최종 책임은 위임 기관의 경영진에 있습니다.

또 다른 복잡성을 더하는 것은 디지털 운영 복원력 법(DORA)입니다. 이 법은 금융 부문에서 정보 통신 기술(ICT) 위험을 관리하기 위해 EU 전역에 걸쳐 조화된 규칙을 설정합니다. DORA는 2025년 1월 17일부터 적용됩니다.

DORA는 여러 면에서 DA와 관련이 있습니다.

• 직접 적용: DORA는 SCA를 위임할 은행 및 기타 PSP를 포함한 금융 기관에 직접 적용됩니다.
• 중요 ICT 제3자 제공업체(CTPP): DORA는 금융 시스템에 중요하다고 간주되는 ICT 제3자 제공업체에 대한 감독 프레임워크를 설정합니다. 대규모로 DA 서비스를 제공하는 대형 TSP(예: 주요 결제 게이트웨이, 지갑 제공업체, 잠재적으로 관련된 클라우드 서비스 제공업체)는 CTPP로 지정되어 EU 당국의 직접적인 감독을 받을 수 있습니다.
• PSD3/PSR과의 통합: PSD3/PSR 제안은 DORA를 명시적으로 참조하며, 이는 DA를 포함한 아웃소싱 계약이 DORA의 요구 사항을 준수해야 함을 나타냅니다. 즉, DA를 수행하는 TSP는 ICT 위험 관리, 사고 보고, 복원력 테스트 및 제3자 위험 관리에 대한 DORA의 표준을 충족해야 하므로 규제 준수 부담이 더욱 가중됩니다.

EBA 아웃소싱 가이드라인과 DORA 간의 상호 작용은 DA에 진출하려는 모든 TSP에게 빽빽한 규제 준수 의무의 그물을 만듭니다. 이러한 서비스를 성공적으로 제공하려면 기술적 역량뿐만 아니라 거버넌스 구조, 위험 관리 프레임워크, 견고한 문서화, 감사 준비성 및 입증 가능한 운영 복원력에 대한 상당한 투자가 필요합니다. 이 복잡한 환경은 이러한 까다로운 요구 사항을 헤쳐나갈 자원과 전문 지식을 갖춘 대규모의 기존 TSP에게 의도치 않게 유리하게 작용할 수 있습니다.

제안된 프레임워크 하에서 DA의 중요한 결과는 SCA가 실패한 사기 거래에 대한 책임의 이동입니다.

• 초안에 따르면 위임된 SCA를 수행하는 제3자(예: 판매자, 게이트웨이, 지갑)가 SCA를 올바르게 적용하지 못할 경우 사기로 인한 재정적 손해에 대해 책임을 지게 됩니다. 이는 SCA가 성공적으로 적용되면 책임이 종종 발급사로 이전되는 3DS 하의 일반적인 책임 이전과는 근본적인 변화입니다.
• 또한, PSR 초안은 SCA 실패가 기술 서비스 제공업체나 결제 스킴 운영자의 시스템이나 인프라에 기인하는 경우 이들에게 잠재적인 책임을 부과합니다. 이 특정 조항은 특히 Mastercard로부터 강력한 반대에 직면해 있는데, Mastercard는 이것이 SCA 구현 책임에 대한 오해에 기반한 것이라고 주장합니다.
• 발급사는 SCA 프로세스를 위임할 수 있지만 완전히 면책되는 것은 아닙니다. 사기꾼이 은행을 사칭하는 '스푸핑'과 같은 특정 유형의 사기에 대해서는 여전히 책임을 집니다. 유럽 의회는 심지어 APP 사기 사건에서 이러한 환불 권리를 확대할 것을 제안하기도 했습니다.

DA 하에서 SCA 실패에 대해 TSP에게 직접적인 책임을 부과하는 것은 상당한 재정적 위험을 의미합니다. 향상된 사용자 경험과 전환율의 약속은 매력적이지만, 잠재적인 사기 비용은 DA 서비스 제공을 고려하는 많은 TSP에게 상당한 억제 요인으로 작용할 수 있습니다. 더 높은 서비스 수수료나 전문 보험을 포함한 강력한 위험 완화 전략이 판매자와 게이트웨이에 의한 광범위한 DA 채택의 필수 전제 조건이 될 수 있습니다.

위임 인증은 카드 결제의 사용자 경험을 근본적으로 바꿀 잠재력을 가지고 있으며, 특히 전통적인 3-D Secure(3DS) 프로세스와 비교할 때 더욱 그렇습니다.

현재 SCA 확인을 위한 3DS 프로세스는 일반적으로 고객이 발급사가 제어하는 요소와 상호작용하는 핸드오프를 포함합니다. 전통적으로 이는 판매자의 웹사이트나 앱에서 발급사의 도메인(예: 은행 앱 또는 특정 인증 페이지)으로 브라우저 전체가 리디렉션되는 것을 의미했습니다. 최근에는 새로운 3DS 버전이 판매자 페이지에 내장된 아이프레임을 통해 이 확인 절차를 인라인으로 제시합니다. 아이프레임은 페이지 전체 이탈을 피하게 해주지만, 사용자의 초점을 발급사가 제어하는 단계로 리디렉션하는 두 가지 방법 모두 부자연스러울 수 있고, 결제 시간을 늘리며, 고객 이탈의 원인이 될 수 있습니다.

DA는 이러한 프로세스 변경의 마찰을 제거할 수 있는 경로를 제공합니다. 판매자, 결제 게이트웨이 또는 디지털 지갑이 자체 환경 내에서 직접 SCA를 수행하도록 허용함으로써 인증 단계를 결제 흐름에 원활하게 통합할 수 있습니다. 이는 고객에게 더 부드럽고 빠르며 일관된 경험을 약속합니다. 기기에 통합된 생체 인식(Face ID, 지문 스캔)이나 Passkeys와 같은 현대적이고 마찰이 적은 인증 방법과 결합될 때, DA는 결제 마찰을 크게 줄여 장바구니 포기율을 낮추고 결제 전환율을 높일 수 있습니다. Stripe가 Wise 카드 소지자와의 DA 솔루션을 사용하여 보고한 7%의 전환율 상승과 4배 빠른 인증 시간과 같은 실제 데이터는 이러한 잠재적 이점을 잘 보여줍니다.

이러한 잠재력을 실현하려면 상당한 기술적, 상업적 기반 작업이 필요합니다. 여기에는 판매자/게이트웨이/지갑과 발급사 간의 새로운 통합 지점과 통신 프로토콜을 구축하는 것이 포함됩니다. Visa 및 Mastercard와 같은 결제 스킴이 여기서 중요한 역할을 합니다. 예를 들어, Mastercard는 판매자와 Mastercard가 발급사를 대신하여 판매자의 흐름 내에서 소비자를 인증할 수 있도록 하는 Identity Check Express를 개발했습니다. 마찬가지로 Stripe는 Wise와 같은 특정 발급사와의 양자 간 계약을 기반으로 DA 기능을 구축했습니다.

이러한 발전은 DA가 단순한 규제 업데이트 이상임을 시사합니다. 이는 결제 인증 흐름을 재설계하는 데 도움이 됩니다. 인증 지점을 발급사의 도메인에서 판매자나 지갑 환경으로 다시 이동시키면, 전통적인 리디렉션 모델보다 덜 방해적이면서도 더 풍부하고 상황 인식적인 인증 결정과 사용자 경험을 위한 기회가 창출됩니다. 이러한 아키텍처 변화는 Passkeys와 같은 현대적인 인증 방법을 결제 프로세스에 직접 통합해야 할 필요성을 만듭니다. 그러나 이러한 전환은 강력한 보안 조치, 명확한 책임 분배(이전에 논의된 바와 같이), 그리고 신뢰할 수 있는 프레임워크 구축에 달려 있으며, 이는 스킴 규칙, 양자 간 계약, 그리고 엄격한 아웃소싱 및 DORA 규정 준수의 조합에 의해 관리될 가능성이 높습니다.

PSD3/PSR 초안이 입법의 기초를 마련했지만, 위임 인증의 최종 형태는 주요 업계 관계자들의 지속적인 대화와 로비 활동에 의해 크게 영향을 받을 것입니다. 은행, PSP, 기술 제공업체, 판매자들은 이 초안을 적극적으로 해석하고 자신들의 비즈니스 모델과 전략적 목표에 부합하는 변경을 옹호하고 있습니다. 많은 EU 로비 활동은 독일 로비 등록부(German Lobby Register)를 통해 접근할 수 있습니다(참고: 이 등록부는 주로 독일어로 되어 있으며, 제출된 많은 문서도 다른 유럽 연합 기관에 보내졌습니다). 다음 분석은 이러한 공개 제출물에서 얻을 수 있는 요약 및 문서를 기반으로 합니다.

주요 결제 인프라 제공업체인 Stripe는 DA에서 상당한 기회를 보고 있습니다. 그들은 DA를 결제 전환율을 개선하고 마찰을 줄여 고객의 결제 경험을 향상시키는 중요한 도구로 간주합니다. Stripe는 PSD3/PSR이 최종 확정되기 전에도 Wise와 같은 발급사와의 양자 간 계약을 기반으로 자체 DA 솔루션을 선제적으로 출시하여 이 모델에 대한 의지를 보여주었습니다. 그들의 로비 활동은 규제 환경이 혁신을 지원하고 부담을 최소화하도록 보장하는 데 초점을 맞추고 있는 것으로 보입니다. 주요 분야에는 PSD3 하에서 기존 라이선스 기관에 대한 간소화된 재인가 절차 옹호, 거래 위험 분석(TRA) 임계값 및 판매자 주도 거래(MIT)와 같은 SCA 면제에 대한 명확성과 유연성 추구, Stripe Connect와 같은 솔루션을 사용하는 플랫폼이 불필요하게 대리인 라이선스 요구 사항의 부담을 지지 않도록 보장, 그리고 비은행 PSP를 위한 결제 시스템에 대한 직접적인 접근 추진 등이 포함됩니다.

주요 전자화폐 기관이자 지갑 제공업체인 PayPal은 SCA에 대한 결과 기반 접근 방식을 강력하게 지지합니다. 그들은 규제가 PSD2에 정의된 전통적인 지식/소유/생체 정보 요소 범주를 엄격하게 준수하기보다는, 인증 방법의 입증 가능한 보안 효과, 특히 피싱과 같은 현대적인 위협에 대한 저항성에 우선순위를 두어야 한다고 주장합니다. 그들은 로그인 성공률을 개선하면서 사기를 크게 줄인 Passkey 구현의 성공을 강조합니다. 결과적으로 PayPal은 정책 입안자들이 PSR을 설계할 때 인증 솔루션의 전반적인 강점에 초점을 맞추고, 동일한 범주(예: 두 개의 소유 요소)에서 나온 강력한 요소의 조합을 허용하며, 보안과 사용성의 균형을 맞추고, 지나치게 규범적인 기술적 의무를 피할 것을 촉구합니다.

Mastercard는 초안이 모든 DA를 아웃소싱으로 광범위하게 분류하는 것에 강력히 반대합니다. 그들은 다른 업계 단체들과 함께, 발급사가 SCA 프로세스에 대한 통제권을 상실하는 인증 모델만이 아웃소싱 요구 사항의 완전한 엄격함에 따라야 한다고 주장합니다. 그들의 로비 입장은 이를 반영합니다. 그들은 DA가 '중요한' 아웃소싱이 아니라는 점을 명확히 하고, DA 채택을 용이하게 하기 위해 확장 가능하거나 다자간 아웃소싱 계약을 옹호하며, SCA 실패와 관련된 스킴 및 TSP에 대한 제안된 책임을 완전히 제거하기를 원합니다. 또한, Mastercard는 위험 평가를 개선하기 위해 판매자가 행동 및 환경 데이터와 같은 추가 정보를 발급사에 보내도록 의무화할 것을 추진하고, TSP가 SCA 목적으로 명시적인 사용자 동의 없이 생체 인식 데이터를 처리할 수 있도록 명시적으로 허용해 줄 것을 요청하며, 특정 저위험 사용 사례에 대한 SCA 면제를 미세 조정할 것을 제안합니다.

무역 협회와 업계 단체들은 대체로 주요 업체들이 제기한 우려를 되풀이합니다. 예를 들어, Payments Europe은 Mastercard의 아웃소싱 정의에 대한 입장을 반영하여, 발급사가 통제권을 잃는 시나리오만이 아웃소싱 규칙을 촉발해야 한다고 강조합니다. 디지털 산업을 대표하는 Bitkom도 이 점에 대한 명확성을 요구하고 SCA를 위한 행동 생체 인식의 명시적인 규제를 옹호합니다. 이들 그룹은 혁신을 촉진하고 디지털 소외를 피하기 위해 SCA 프레임워크 내에서 기술적 중립성과 유연성의 필요성을 지속적으로 강조합니다. CCIA Europe은 DA 계약 하에서 TSP의 보안 조항을 감사하고 통제할 수 있는 발급사의 광범위한 권리의 구현 가능성에 대한 실질적인 우려를 제기합니다.

표: PSD3/PSR 하의 위임 인증 및 SCA에 대한 주요 업계 입장

초안의 현재 접근 방식에 대한 강력하고 조직적인 반발은 근본적인 긴장 관계를 강조합니다. 업계는 DA가 잠재적으로 제공하는 사용자 경험과 혁신의 이점을 원하지만, EBA 가이드라인에 따른 규제된 아웃소싱과 관련된 상당한 규제 준수 부담은 피하고자 합니다. 그들이 제안하는 대안, 즉 발급사가 통제권을 유지하는지 여부에 따라 아웃소싱을 정의하는 것은 규제 강도가 덜한 DA를 위한 공간을 마련하려는 목표를 가지고 있습니다. 입법 논의 과정에서 이 논쟁의 해결은 많은 TSP에게 DA의 실질적인 실현 가능성과 매력도를 결정하는 데 중요할 것입니다.

이러한 규제적 불확실성에도 불구하고, Stripe와 Mastercard와 같은 선두 주자들은 기다리지 않고 있습니다. 그들은 양자 간 계약 및 스킴 규칙과 같은 기존 프레임워크를 활용하여 현재 DA 솔루션을 적극적으로 개발하고 배포하고 있으며, 종종 생체 인식 및 FIDO 표준과 같은 고급 기술을 통합합니다. 이 선제적인 전략을 통해 그들은 초기 시장 점유율을 확보하고, DA의 기술적 실행 가능성을 입증하며, 잠재적으로 새로운 표준을 형성하고, 고객들이 미래의 환경에 대비할 수 있도록 준비시킵니다. 이러한 접근 방식은 단순히 소비자 경험을 향상시키는 것뿐만 아니라, 진화하는 규제 환경과 관련된 책임 이동의 내재된 위험을 헤쳐나가면서 고객을 발급사보다는 결제 제공업체에 더 가깝게 묶어두는 역할도 합니다. 업계가 이러한 새로운 DA 모델을 탐색함에 따라, Passkeys와 같은 고급 인증 기술의 역할은 보안과 사용자 경험 목표를 모두 달성하는 데 점점 더 중심적인 역할을 하게 됩니다.

FIDO 얼라이언스의 WebAuthn 표준을 기반으로 하는 Passkeys는 인증 기술의 중요한 발전을 나타내며, 이 섹션에서는 위임 인증(DA) 맥락에서 강력한 고객 인증(SCA)의 격차를 해소하는 데 어떻게 도움이 될 수 있는지 논의할 것입니다.

Passkeys의 핵심 강점은 공개 키 암호 방식을 사용하여 각 웹사이트나 앱에 대한 고유한 자격 증명을 생성하는 것입니다. 이 메커니즘은 자격 증명이 생성된 합법적인 사이트에서만 작동하므로 본질적으로 피싱 공격에 강하며, 비밀번호와 같은 공유된 비밀 대신 안전한 기기 잠금 해제(종종 생체 인식을 통해)에 의존합니다. 이 조합은 향상된 보안과 더 부드러운 사용자 경험을 모두 제공할 가능성을 가집니다.

기술적인 관점에서 볼 때, Passkeys는 위임 인증 시나리오에 이상적으로 적합해 보입니다. DA 흐름에서 SCA를 수행하는 판매자나 게이트웨이는 사용자에게 기기(휴대폰, 컴퓨터)에 저장된 Passkey를 사용하여 인증하도록 요청할 수 있습니다. 이 인증은 판매자나 TSP의 환경 내에서 직접 발생하며, 기기에 내장된 생체 인식 기능(Face ID나 지문 스캔 등)을 활용하여 확인하므로 리디렉션이나 번거로운 일회용 비밀번호(OTP)가 필요 없습니다. 이는 더 원활하고 안전한 결제 환경을 만들려는 DA의 목표와 완벽하게 일치합니다. 하지만 발급사가 제3자의 Passkeys 인증을 어떻게 통제하고 확인할 수 있는지 살펴보겠습니다.

그러나 Passkeys를 SCA의 규제된 세계, 특히 DA 하에 통합하는 것은 과제에 직면합니다. PSD2의 엄격한 3요소(지식, 소유, 생체 정보) 분류는 Passkeys가 어떻게 부합하는지에 대한 모호성을 만들었습니다. 특히 '소유' 요소와 생체 인식이 Passkey를 보유한 기기를 잠금 해제할 때 요소의 독립성에 관한 부분에서 그렇습니다. 동기화된 Passkeys(여러 기기에서 사용 가능)의 등장은 이 분류를 더욱 복잡하게 만듭니다.

PSD3/PSR이 인증 요소가 반드시 다른 범주에 속할 필요 없이 단지 독립적이기만 하면 된다고 명확히 함으로써 일부 유연성을 도입했지만(하나의 손상이 다른 하나에 영향을 미치지 않음), 제안된 규정에 명시된 바와 같습니다.

이는 분류의 모호성을 완전히 해결하거나 동기화된 Passkeys를 SCA 준수 방식으로 명시적으로 승인하는 것은 아닙니다. 이러한 규제적 불확실성은 PayPal과 같은 업체들이 주장하는 결과 기반 SCA 접근 방식의 논거를 강화합니다. 이들은 Passkeys와 같은 방법이 제공하는 입증된 보안 결과(피싱 저항성 등)에 초점을 맞추고, 잠재적으로 구식인 범주적 상자에 억지로 끼워 맞추기보다는 그 결과를 중시해야 한다고 주장합니다. (결과 기반 SCA와 Passkeys에 대한 더 깊은 분석은 우리의 결과 기반 SCA 분석을 참조하세요.)

사용자와 판매자에 의한 동기화된 Passkeys의 광범위한 채택과 SPC의 한계를 고려할 때, PSD3/PSR 프레임워크는 위임 인증 내에서 이러한 기존 Passkey 관계를 활용할 수 있는 명확한 경로를 만드는 것을 목표로 해야 합니다. 이 접근 방식은 동기화된 Passkeys가 성숙하기 전에 고안된 특정 기술 구현에 제약을 받기보다는 실용적이고 결과 기반의 보안에 초점을 맞출 것입니다. 이를 달성하기 위해서는 규제 조정, 운영 신뢰 메커니즘, 그리고 진화하는 산업 표준에 초점을 맞춘 몇 가지 주요 개발이 필요합니다. 동기화된 Passkeys를 활용하는 미래 지향적인 DA 모델은 우리가 지금 논의할 몇 가지 주요 개발을 포함할 수 있습니다.

DA에서 동기화된 Passkeys의 효과적인 주류화는 PSD3/PSR 하의 명확한 규제적 지원 및 의무화에서 시작됩니다. 여기에는 다음과 같은 주요 고려 사항이 포함됩니다.

• DA를 위한 동기화된 Passkeys의 명시적 승인: PSD3/PSR은 동기화된 Passkeys가 적절하게 사용될 때 DA 맥락에서 SCA 요구 사항을 충족할 수 있음을 명시적으로 명확히 해야 합니다. 초점은 검증 가능한 암호화 링크, 달성된 피싱 저항성, 그리고 인증 프로세스의 독립성에 맞춰져야 하며, Passkeys 이전의 SCA 요소 분류에 대한 엄격한 준수에 얽매여서는 안 됩니다.
• 풍부한 인증 데이터 의무화: Mastercard와 같은 업계의 요청에 부응하여, 규제는 DA를 수행하는 TSP가 포괄적이고 표준화된 인증 데이터(예: Passkey 인증 세부 정보, 관련 FIDO 어설션 요소 및 상황적 위험 신호)를 결제 거래 정보에 포함하여 결제 네트워크 및 발급사에 전송하도록 의무화해야 합니다. 이는 판매자 FIDO 데이터에 사용되는 EMV 3DS의 threeDSRequestorAuthenticationInfo 필드와 같은 기존 메커니즘을 기반으로 합니다 [1].

규제적 명확성을 넘어, 판매자 보유 Passkeys를 통한 신뢰 운영화는 광범위한 채택에 매우 중요합니다. 이를 위해서는 다음과 같은 강력한 시스템과 프로세스가 필요합니다.

• 판매자 주도 DA에 대한 발급사 검증: 발급사는 Passkeys에서 생성된 인증 어설션을 수신하고 암호학적으로 검증할 수 있는 강력한 시스템이 필요합니다. 결정적으로, 많은 DA 시나리오에서 사용되는 Passkey는 사용자가 판매자의 자체 서비스에 접근하기 위해 이미 생성한 것일 수 있습니다.
• 동적 챌린지 및 발급사 통제: 발급사 통제를 유지하고 동적 연결을 보장하기 위해 DA 거래는 다음과 같이 작동할 수 있습니다.
  • 발급사(또는 그를 대신하는 결제 네트워크)는 고유하고 거래별 챌린지를 TSP(판매자/게이트웨이)에 제공합니다.
  • TSP는 사용자에게 판매자에 등록된 기존 동기화된 Passkey를 사용하여 이 챌린지(및 중요한 거래 데이터)에 서명하여 거래를 승인하도록 요청합니다.
  • 서명된 어설션은 검증을 위해 발급사에게 반환됩니다.
• 조건부 DA 롤오버: 발급사와의 직접적인 초기 강력한 인증(아마도 발급사에 등록된 Passkey 또는 강력한 3DS 챌린지 흐름 사용)을 통해 특정 판매자 Passkey에 대한 신뢰 관계를 설정할 수 있습니다. 이후 해당 검증된 판매자 Passkey를 사용한 DA 거래는 위에서 설명한 동적 챌린지 모델로 진행될 수 있으며, Passkey가 유효하고 위험 매개변수가 충족되는 한 더 원활한 사용자 경험을 제공합니다.

마지막으로, Passkey 기반 DA의 장기적인 성공은 진화하는 표준과 결과 기반 SCA 관점으로의 확고한 전환에 달려 있습니다. 이는 다음을 수반합니다.

• 산업 단체의 역할: FIDO 얼라이언스(결제 중심 워킹 그룹 포함) 및 EMVCo와 같은 조직은 이러한 DA 모델을 안전하고 확장 가능하게 지원하는 데 필요한 프로토콜과 신뢰 신호를 개발하고 표준화하는 데 매우 중요합니다. 여기에는 판매자 보유 Passkeys의 인증 어설션이 DA 맥락에서 발급사에 의해 신뢰성 있게 제시되고 검증될 수 있는 방법을 정의하는 것이 포함됩니다.
• 엄격한 SCA 정의를 넘어서: 궁극적인 목표는 SCA에 대한 결과 기반 접근 방식으로 전환하는 것이어야 합니다. 동기화된 Passkeys(판매자와 함께 생성된 것 포함)를 활용하는 DA 방법이 거래에 동적으로 연결된 피싱 저항성 다중 인증을 입증할 수 있다면, 이는 규정을 준수하는 것으로 간주되어야 합니다. 이는 전통적이고 때로는 구식인 SCA 요소 해석에 대한 준수보다 실제 보안 결과를 우선시하여 혁신을 촉진하고 사용자가 이미 익숙한 기술을 활용하도록 합니다.

이러한 진화는 결제 생태계가 사용자와 판매자 모두에 의한 동기화된 Passkeys에 대한 상당한 기존 투자와 채택을 활용하여 더 안전하고 원활하며 널리 접근 가능한 위임 인증을 위한 길을 열 수 있도록 할 것입니다.

위의 시퀀스 다이어그램은 결제 생태계 내에서 Passkeys를 활용한 위임 인증(DA)의 잠재적인 미래를 보여줍니다. 이는 판매자가 Passkeys를 사용하여 발급사를 대신하여 강력한 고객 인증(SCA)을 수행할 수 있는 간소화된 흐름을 묘사합니다. 이 비전은 PSD3/PSR의 방향 및 Passkey 기술의 채택 증가와 일치합니다.

현실 점검: 그러나 이 구상된 미래는 아직 현재의 표준이 아닙니다. 광범위한 채택을 위해서는 몇 가지 실질적인 과제를 해결해야 합니다. 특히 다가오는 PSD3/PSR 하의 규제 프레임워크는 동기화된 Passkeys가 강력한 고객 인증에 어떻게 부합하는지, 그리고 위임 인증 시나리오에서 책임이 어떻게 관리될 것인지를 완전히 명확히 해야 합니다. 발급사가 판매자 보유 Passkeys를 검증하고 모든 플랫폼에서 일관된 동적 거래 연결을 보장하기 위한 필수 기술 표준은 아직 성숙 단계에 있습니다. 판매자 주도 인증 프로세스에 대한 광범위한 발급사 신뢰를 구축하는 것도 중요한 단계입니다. 또한, 원활한 사용자 경험을 보장하고, 사용자당 잠재적으로 여러 개의 Passkeys를 관리하며, 모든 필수 결제 관련 기능에 대한 보편적인 브라우저/플랫폼 지원을 달성하는 것은 계속 진행 중인 과제입니다. 마지막으로, 동기화된 Passkey 생태계와 관련된 보안 인식 및 어테스테이션의 신뢰성에 대한 남아있는 우려를 해결하는 것이 완전한 신뢰를 구축하는 데 중요할 것입니다.

이러한 장애물에도 불구하고(이 중 다수는 유럽에만 적용되는 유럽 SCA 법규에 특화된 것임을 기억하는 것이 중요합니다), 이러한 시스템을 위한 기본 기술은 대부분 마련되어 있습니다. 이는 오늘날의 현실, 즉 EU 외부의 주요 업체들(예: PayPal)에 의한 광범위한 Passkey 채택과 수많은 미국 은행(Jack Henry의 Banno를 활용하는 은행 등)에 의한 광범위한 사용으로 입증됩니다. 따라서 묘사된 흐름은 기술적으로 실현 가능하며, 사용자와 판매자에 의한 강력하고 기존의 Passkey 채택 모멘텀에 반하기보다는 이를 활용할 것입니다. 이 접근 방식은 전 세계적으로 더 안전하고 원활한 결제 경험을 위한 길을 열 수 있습니다.

제안된 PSD3와 PSR은 EU의 결제 규제 프레임워크에서 중요한 진화를 나타내며, PSD2의 한계를 해결하고 빠르게 디지털화되는 시장에 적응하면서 그 기반 위에 구축하는 것을 목표로 합니다.

핵심적인 발전은 위임 인증(DA)을 명시적으로 허용하여 판매자나 지갑과 같은 제3자가 발급 은행을 대신하여 강력한 고객 인증(SCA)을 수행할 수 있도록 한 것입니다. 그러나 이러한 허용에는 EU 내에서 중요한 단서가 붙습니다. 바로 DA를 '아웃소싱'으로 분류한다는 것입니다. 이는 EBA의 아웃소싱 계약 가이드라인과 디지털 운영 복원력 법(DORA)에 따른 복잡한 규제 준수 의무의 그물을 촉발합니다. 또한, 제안은 실패한 SCA에 대한 책임을 위임 인증을 수행한 주체에게 직접적으로 이전합니다.

이는 특히 유럽의 맥락에서 근본적인 긴장을 만듭니다. 한편으로는 강화된 보안, 통제, 복원력에 대한 규제적 추진력이 있으며, 이는 엄격한 아웃소싱 및 운영 복원력 요구 사항으로 나타납니다. 다른 한편으로는 혁신, 유연성, 그리고 개선된 사용자 경험에 대한 업계의 강한 열망이 있으며, DA는 특히 Passkeys와 같은 현대적인 방법과 결합될 때 이를 제공할 것을 약속합니다. DA 목적의 '아웃소싱' 정의를 둘러싼 치열한 로비 활동은 이러한 갈등을 잘 보여줍니다. 이러한 특정 규제 장애물이 EU에서 두드러지지만, 기본 Passkey 기술은 다른 규제 환경을 가진 다른 시장에서 강력한 글로벌 채택과 성공적인 구현을 보이고 있다는 점은 주목할 가치가 있습니다.

위임 인증의 미래 채택률과 영향은, 특히 EU 내에서, 입법 과정의 최종 세부 사항에 결정적으로 달려 있습니다. 특히 아웃소싱 규칙의 범위, 책임의 분배, 그리고 결정적으로 DA 내에서 SCA 준수 메커니즘으로서 동기화된 Passkeys의 명시적인 인정에 관한 것입니다. 발급사와 인증을 수행하는 TSP 간에 실용적이고 확장 가능한 신뢰 프레임워크를 구축하는 업계의 능력 또한 가장 중요할 것입니다.

Passkeys, 특히 동기화된 Passkeys는 강력한 피싱 저항성과 원활한 생체 인식 기반 사용자 경험의 잠재력을 제공하며, DA의 목표와 본질적으로 일치합니다. 이는 전통적인 비밀번호와 OTP에 대한 강력한 대안을 제시합니다. 과제는 DA에 Passkeys를 사용하는 기술적 실현 가능성에 있는 것이 아니라(다양한 인증 목적으로 전 세계적으로 성공적으로 채택된 것으로 입증되었듯이), EU 고유의 규제 요구 사항을 탐색하고 SCA 하에서 수용되기 위한 명확하고 결과 기반의 기준을 설정하는 데 있습니다. 전통적인 요소 분류에 대한 엄격한 준수보다는 Passkey 인증의 입증 가능한 보안 결과(예: 암호학적 검증 가능성, 피싱 저항성, 동적 연결)를 우선시하는 접근 방식이 DA에서 그 잠재력을 최대한 발휘하는 데 필수적일 것입니다.

유럽 결제 생태계에서 활동하는 기업들에게 앞으로 몇 년은 PSD3, PSR 및 관련 EBA 기술 표준의 최종 확정을 신중하게 모니터링해야 합니다. 조직들은 성숙해가는 Passkey 생태계에 의해 강화된 위임 인증이 자신들의 결제 및 인증 전략을 어떻게 재편할 수 있는지 선제적으로 평가해야 합니다. 여기에는 동기화된 Passkeys와 같은 기술의 잠재력을 평가하는 것뿐만 아니라, DA 계약에서 파트너와 검증 가능한 신뢰를 구축하는 데 필요한 운영 및 규제 준수 변화에 대비하는 것도 포함됩니다.

인증 솔루션 제공업체에게 기회는 안전하고 사용자 친화적이며, 고객(TSP)이 PSD3/PSR 환경 내에서 DA의 까다로운 규제 준수 요구 사항을 충족하도록 돕기 위해 설계된 제품을 개발하는 데 있습니다. 여기에는 인증 데이터의 안전한 교환을 촉진하고, 발급사가 판매자 보유 Passkeys로 수행된 DA 거래를 자신 있게 검증할 수 있도록 하는 메커니즘을 지원하여, 궁극적으로 Passkey 기술의 글로벌 모멘텀을 활용하여 PSD3/PSR이 달성하고자 하는 안전하고 원활한 결제 경험을 조성하는 것이 포함됩니다.