결제 패스키 환경: 4가지 핵심 통합 모델

60-page Enterprise Passkey Whitepaper:
Learn how leaders get +80% passkey adoption. Trusted by Rakuten, Klarna & Oracle

Get free Whitepaper

전 세계 결제 환경은 중요한 변곡점에 서 있습니다. 수십 년 동안 업계는 보안과 사용자 편의성 사이의 본질적인 긴장 관계, 특히 디지털, 카드 비대면(CNP) 환경에서 첨예하게 느껴지는 문제와 씨름해 왔습니다. 정교한 사기가 증가하면서 더 강력한 인증 조치가 필요해졌고, 동시에 소비자들은 점점 더 마찰 없는 결제 경험을 기대하고 있습니다. 이 보고서는 이처럼 진화하는 생태계에 대한 포괄적인 분석을 제공하며, 특히 패스키 기술의 전략적 통합 지점을 파악하는 데 중점을 둡니다. 이 보고서는 비밀번호 없는 미래로의 전환을 모색하는 기술 제공업체, 결제 서비스 제공업체, 금융 기관 및 판매자를 위한 최종 가이드 역할을 하도록 설계되었습니다.

결제 환경은 강력한 고객 인증(SCA)과 같은 더 강력한 보안의 필요성과 마찰 없는 사용자 경험에 대한 상업적 요구에 힘입어 근본적인 변화를 겪고 있습니다. 피싱 방지 패스키는 이러한 긴장 관계를 해결할 핵심 기술로 부상했습니다. 우리의 분석에 따르면, 업계는 패스키 통합을 위한 네 가지 뚜렷한 아키텍처 모델로 수렴하고 있으며, 각 모델은 결제 인증의 미래에 대한 경쟁적인 비전을 제시합니다.

1. 발급사 중심 모델(예: SPC 경유): 기술적으로는 우아하지만, 이 모델은 결정적으로 Apple을 비롯한 브라우저 지원이 부족하여 가까운 미래에는 비현실적인 솔루션입니다.
2. 판매자 중심 모델(위임 인증): 이 강력한 모델은 대형 판매자가 직접적인 고객 관계를 활용하여 인증을 상위 단계로 이동시켜 원활한 결제 환경을 만들 수 있게 하지만, 상당한 책임이 따르며 발급사의 직접적인 신뢰가 필요합니다.
3. 네트워크 중심 모델(Click to Pay): Visa 및 Mastercard와 같은 카드 네트워크가 소비자에게 휴대 가능한 네트워크 수준의 패스키를 제공하여 비회원 결제 경험을 장악하려는 주요 전략적 움직임입니다.
4. PSP 중심 모델(월렛): PayPal과 같은 대형 결제 서비스 제공업체가 패스키를 사용하여 방대하고 확고한 월렛 생태계 내에서 경험을 보호하고 간소화하는 지배적인 모델입니다.

각 모델은 "누가 결제의 기본 Relying Party가 될 것인가?"라는 핵심적인 전략적 질문에 대한 각기 다른 답을 제시합니다. 이 보고서는 이러한 경쟁 아키텍처를 분석하고 생태계의 참여자들과 연결하여 결제 인증의 미래를 탐색하기 위한 명확한 로드맵을 제공합니다.

패스키가 어디에 어떻게 통합될 수 있는지 이해하려면 먼저 결제 생태계의 참여자들과 그들의 고유한 역할에 대한 명확하고 상세한 지도를 설정하는 것이 필수적입니다. 단일 온라인 거래의 흐름은 여러 주체 간의 복잡한 상호 작용을 포함하며, 각 주체는 데이터와 자금의 이동에서 특정 기능을 수행합니다.

모든 거래의 중심에는 결제 가치 사슬의 기초를 형성하는 다섯 가지 기본 참여자가 있습니다.

1. 고객 / 카드 소유자:

   • 설명: 구매를 시작하는 개인 또는 조직입니다. 카드 소유자는 발급 은행에서 결제 카드(신용 또는 직불)를 받고 발생한 모든 요금을 상환할 책임이 있습니다.
   • 목표: 빠르고 간단하며 안전한 결제 경험.
   • 예시: 은행 계좌 및/또는 결제 카드를 소지한 모든 개인.

2. 판매자(Merchant):

   • 설명: 상품이나 서비스를 판매하고 전자 결제를 수락하는 사업체입니다. 이를 위해 판매자는 카드 결제를 수락하고 처리하기 위해 일반적으로 매입 은행이나 결제 서비스 제공업체(PSP)가 제공하는 필요한 인프라를 갖추어야 합니다.
   • 목표: 사기를 완화하면서 결제 마찰을 최소화하여 판매 전환율을 극대화합니다.
   • 예시: 전자 상거래 웹사이트, 소매점, 구독 서비스.

3. 발급 은행(Issuer):

   • 설명: 카드 소유자의 은행 또는 금융 기관입니다. 발급사는 고객에게 결제 카드를 제공하고 관련 신용 위험을 인수하며, 궁극적으로 카드 소유자의 계정 상태 및 위험 평가에 따라 거래를 승인하거나 거부할 책임이 있습니다.
   • 목표: 승인 요청을 수신하고 카드 네트워크를 통해 응답 코드를 다시 보냅니다.
   • 예시: Bank of America, Chase, Barclays.

4. 매입 은행(Acquirer):

   • 설명: 판매자의 은행으로, 판매자 은행이라고도 합니다. 매입사는 판매자의 계정을 유지하고 판매자를 대신하여 카드 거래 처리를 용이하게 합니다.
   • 목표: 판매자로부터 결제 세부 정보를 받아 카드 네트워크를 통해 발급사로 라우팅하고, 승인 시 판매자 계좌로 자금을 정산합니다.
   • 예시: Wells Fargo Merchant Services, Worldpay (from FIS).

5. 카드 네트워크(Schemes):

   • 설명: 다른 모든 참여자를 연결하는 기술적 중추입니다. Visa, Mastercard, American Express, Discover와 같은 회사가 이러한 방대한 네트워크를 운영합니다. 이들은 카드를 발급하거나 판매자 계정을 개설하지는 않지만, 거래를 관장하는 중요한 인프라, 규칙 및 표준을 제공합니다.
   • 목표: 발급사와 매입사 간의 승인 요청 라우팅 및 자금 청산 및 정산을 용이하게 합니다.
   • 예시: Visa, Mastercard, American Express.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

핵심 참여자들 사이에는 복잡하고 종종 중복되는 기술 및 서비스 제공업체 생태계가 존재합니다. 이러한 중개자 간의 차이점을 이해하는 것은 매우 중요합니다. 이들이 종종 패스키와 같은 신기술의 주요 통합 지점이기 때문입니다. 최근 몇 년 동안 현대 제공업체들이 더 포괄적인 "올인원" 솔루션을 제공하고자 하면서 이러한 역할 간의 경계가 상당히 모호해졌습니다.

1. 결제 게이트웨이:

   • 설명: 결제 게이트웨이는 거래를 위한 안전한 디지털 포털 역할을 하는 기술입니다. 주요 역할은 판매자의 웹사이트나 POS(Point-of-Sale) 시스템에서 고객의 민감한 결제 정보를 캡처하고 암호화하여 결제 프로세서나 매입 은행으로 안전하게 전송하는 것입니다. 이는 거래의 "정문"으로서 데이터의 안전한 전송을 책임지지만 자금 이동 자체는 책임지지 않습니다.
   • 목표: 판매자에게 온라인 결제를 안전하고 신뢰할 수 있는 방법으로 수락할 수 있도록 제공합니다.
   • 예시: Authorize.net (Visa 솔루션), Braintree, Stripe Payment Gateway.

2. 결제 프로세서:

   • 설명: 결제 프로세서는 다양한 당사자 간의 거래 메시지를 실행하는 주체입니다. 결제 게이트웨이에서 보안 데이터를 받은 후, 프로세서는 카드 네트워크와 통신하고, 더 나아가 발급 및 매입 은행과 통신하여 거래의 승인 및 정산을 용이하게 합니다. 프로세서는 결제가 이루어지는 데 필요한 기술적 통신을 처리하는 운영 엔진으로 생각할 수 있으며, 게이트웨이는 해당 통신을 위한 보안 채널입니다.
   • 목표: 결제 메시지를 안정적이고 효율적으로 실행하고, 거래 정산을 관리하며, 발급 은행과 매입 은행 간의 분쟁 해결을 처리합니다.
   • 예시: First Data (현 Fiserv), TSYS, Worldpay.

3. 결제 서비스 제공업체(PSP):

   • 설명: 결제 서비스 제공업체는 판매자에게 전자 결제를 수락하기 위한 포괄적인 번들 솔루션을 제공하는 회사입니다. 현대적인 PSP는 일반적으로 결제 게이트웨이와 결제 프로세서의 기능을 결합하고, 종종 판매자 계정도 단일 계약 하에 제공합니다. 이 "올인원" 모델은 게이트웨이 제공업체 및 매입 은행과 별도의 관계를 맺을 필요가 없어져 판매자에게 프로세스를 크게 단순화합니다. 일부 맥락에서 판매자를 위해 다양한 결제 방법을 집계하는 PSP는 **결제 애그리게이터(Payment Aggregators)**라고도 합니다.
   • 목표: 판매자에게 모든 결제 요구에 대한 원스톱 샵을 제공하여 복잡성을 추상화하고 결제 수락을 단순화합니다.
   • 예시: Stripe, Adyen, PayPal, Mollie.

4. 계좌 간(A2A) / 오픈 뱅킹 제공업체:

   • 설명: 이는 전통적인 카드 네트워크를 완전히 우회하는 빠르게 성장하는 결제 제공업체 카테고리입니다. A2A 결제는 소비자의 은행 계좌에서 판매자의 은행 계좌로 직접 자금을 이동시킵니다. 이는 종종 은행이 허가된 제3자 제공업체에 고객 계정 데이터 및 결제 개시 서비스에 대한 보안 API 액세스를 제공해야 한다고 규정하는 "오픈 뱅킹" 규정(유럽의 PSD2 등)에 의해 가능해집니다. 이러한 제공업체는 이러한 API 위에 사용자 친화적인 인터페이스를 구축하여 소비자가 은행으로 인증하고 원활한 흐름으로 결제를 승인할 수 있도록 합니다.
   • 목표: 은행 수준의 인증을 통해 교환 수수료를 없애고 사기를 줄임으로써 카드 결제에 대한 저비용의 매우 안전한 대안을 제공합니다.
   • 예시: Trustly, Plaid, Tink, GoCardless, Fintecture.

이러한 역할의 통합은 심오한 의미를 가집니다. 학문적으로는 구별되지만, 실제로는 판매자의 단일 접점은 종종 기본 게이트웨이, 프로세서 및 매입사 관계의 복잡성을 추상화하는 PSP입니다. 그러나 이러한 PSP의 기능은 극적으로 다를 수 있습니다. 다른 회사의 게이트웨이 서비스를 재판매하는 데 불과한 PSP는 자체 처리 인프라와 매입 라이선스를 가진 풀스택 PSP와는 기술적 능력과 전략적 이해관계가 매우 다릅니다. 이 구분은 고급 인증 방법의 통합 기회를 평가할 때 중요합니다.

더 나아가 결제 흐름을 더 깊이 분석하면 새로운 인증 기술 이면의 전략적 동기를 명확히 하는 기본 개념인 **Relying Party(RP)**의 역할이 드러납니다. FIDO 인증 및 패스키의 맥락에서 Relying Party는 궁극적으로 사용자의 신원을 확인하는 책임을 지는 주체입니다. 표준 결제 거래에서 발급사는 사기의 재정적 위험을 부담하므로 기본 Relying Party입니다. 결제를 승인하거나 거부하는 것은 그들의 결정입니다.

패스키 통합을 위한 새로운 아키텍처 모델은 누가 Relying Party 역할을 할 것인가에 대한 전략적 협상으로 가장 잘 이해할 수 있습니다. Secure Payment Confirmation(SPC) 모델에서 발급사는 RP로 남지만 판매자가 인증 절차를 _호출_할 수 있도록 허용합니다. Delegated Authentication(DA)에서 발급사는 RP 기능을 판매자나 그들의 PSP에 명시적으로 _위임_합니다. 그리고 네트워크 중심 모델에서 Visa와 Mastercard는 비회원 결제 거래를 위한 연합 Relying Party로 _자신들_을 포지셔닝합니다. 따라서 패스키 통합을 고려하는 모든 결제 제공업체의 중심 질문은 다음과 같습니다.

그 답은 통합 기회, 핵심 의사 결정자, 그리고 근본적인 전략적 목표를 직접적으로 가리킵니다.

이러한 관계를 명확하게 시각적으로 표현하기 위해 결제 라이프사이클을 설명하는 순서도가 필수적입니다. 이러한 다이어그램은 두 개의 구별되지만 상호 연결된 경로를 묘사합니다.

1. 데이터 흐름(승인): 이 경로는 승인 요청의 여정을 추적합니다. 고객이 판매자 사이트에서 결제 세부 정보를 제출하는 것으로 시작하여 결제 게이트웨이를 통해 프로세서/매입사로 흐르고, 카드 네트워크를 거쳐 발급사로 이동하여 위험 결정을 내리고, 마지막으로 승인 또는 거부 응답이 판매자와 고객에게 다시 전달됩니다. 이 전체 과정은 몇 초 만에 발생합니다.

2. 가치 흐름(정산): 이 경로는 승인 후에 발생하는 돈의 이동을 보여줍니다. 일괄 처리된 거래가 청산되고, 자금이 발급사에서 네트워크를 통해 매입사로(교환 수수료 제외) 흐르고, 마지막으로 판매자 계좌에 입금되는 과정을 보여주며, 이 과정은 일반적으로 영업일 기준 며칠이 걸립니다.(Payment processing: How payment processing works | Stripe)

이 시각화를 통해 생태계의 모든 참여자는 즉시 자신의 위치를 파악하고 다른 모든 당사자와의 직접 및 간접 관계를 이해할 수 있으며, 인증 개입이 발생할 수 있는 위치에 대한 상세한 분석의 토대를 마련합니다.

sequenceDiagram
    participant C as Customer
    participant M as Merchant
    participant P as Gateway/Acquirer
    participant N as Card Network
    participant I as Issuer

    C->>M: 1. Submit Payment Details
    M->>P: 2. Securely Transmit Details
    P->>N: 3. Authorization Request
    N->>I: 4. Route to Issuer for Verification
    I-->>N: 5. Approve/Decline Response
    N-->>P: 6. Relay Response
    P-->>M: 7. Relay Response
    M-->>C: 8. Confirm Order or Request New Payment

    M->>P: 9. Submit Batch of Approved Transactions
    P->>N: 10. Clearing Request
    N->>I: 11. Request Funds from Issuer
    I-->>N: 12. Transfer Funds (minus interchange fees)
    N-->>P: 13. Credit Acquirer with Funds
    P-->>M: 14. Deposit Funds to Merchant (minus processing fees)

결제 생태계에는 모든 규모의 참여자가 있지만, 처리 및 매입 시장은 지역별로 다른 여러 대형 플레이어에 집중되어 있습니다. 글로벌 거대 기업들은 종종 강력한 국가 및 지역 챔피언과 경쟁합니다. 다음 표는 여러 지역의 주요 플레이어에 대한 스냅샷을 제공합니다.

모든 온라인 구매는 복잡하고 빠른 속도의 이벤트 시퀀스를 유발하며, 이는 크게 승인과 정산의 두 단계로 나눌 수 있습니다. 이 프로세스 위에 3-D Secure라는 중요한 보안 프로토콜이 계층화되어 있으며, 이는 현대 온라인 결제 인증의 과제를 이해하는 데 중심적인 역할을 합니다.

Integrate passkeys as Payment Provider via 3rd party SDK.

Read article

단일 CNP 거래의 라이프사이클은 거의 즉각적인 데이터 교환과 그에 이은 느린 자금 이체를 포함합니다.

승인은 카드 소유자가 구매를 완료할 충분한 자금이나 신용이 있는지, 그리고 거래가 합법적인지 확인하는 과정입니다. 이 단계는 몇 초 만에 발생하며 정확한 다단계 경로를 따릅니다(Payment processing: How payment processing works | Stripe):

1. 거래 개시: 고객이 상품을 선택하고 결제 단계로 진행하여 판매자의 온라인 결제 양식에 결제 카드 정보(카드 번호, 만료일, CVV)를 입력합니다.

2. 보안 전송: 판매자의 웹사이트는 이 정보를 결제 게이트웨이로 안전하게 전달합니다. 게이트웨이는 전송 중 데이터를 보호하기 위해 암호화합니다.

3. 프로세서/매입사로 라우팅: 게이트웨이는 암호화된 거래 세부 정보를 결제 프로세서 및/또는 판매자의 매입 은행으로 전달합니다.

4. 네트워크 통신: 매입사는 해당 카드 네트워크(예: Visa, Mastercard)에 승인 요청을 보냅니다.

5. 발급사 확인: 카드 네트워크는 요청을 카드 소유자의 발급 은행으로 라우팅합니다. 발급사의 시스템은 카드의 유효성 확인, 사용 가능한 잔액 또는 신용 한도 확인, 사기 탐지 엔진을 통한 거래 분석 등 일련의 검사를 수행합니다.

6. 승인 응답: 이러한 검사를 바탕으로 발급사는 거래를 승인하거나 거부합니다. 이 결정은 응답 코드 형태로 동일한 경로를 따라 다시 전송됩니다: 발급사에서 카드 네트워크, 매입사, 프로세서/게이트웨이, 그리고 마지막으로 판매자의 웹사이트로.

7. 완료: 승인되면 판매자는 판매를 완료하고 고객에게 알립니다. 거부되면 판매자는 고객에게 다른 결제 방법을 요청합니다.

정산은 실제로 발급사에서 판매자로 돈을 이동시키는 과정입니다. 승인과 달리 이는 즉각적이지 않으며 일반적으로 일괄적으로 발생합니다.(Payment processing: How payment processing works | Stripe)

1. 일괄 처리: 영업일 종료 시, 판매자는 모든 승인된 거래의 일괄 파일을 매입사에 보냅니다.
2. 청산: 매입사는 일괄 파일을 카드 네트워크에 청산을 위해 제출합니다. 네트워크는 거래를 분류하고 각 발급 은행으로 전달합니다.
3. 자금 이체: 발급 은행은 승인된 거래에 대한 자금을 매입 은행으로 이체하며, 이때 매입사가 각 거래에 대해 발급사에 지불하는 수수료인 교환 수수료가 차감됩니다.
4. 판매자 입금: 매입사는 자체 처리 수수료를 제외한 자금을 판매자의 계좌에 입금합니다. 이 전체 정산 과정은 보통 영업일 기준 1-3일이 소요됩니다.

모든 CNP 거래 위에는 **3-D Secure(3DS)**라는 중요한 보안 프로토콜이 계층화되어 있습니다. EMVCo에서 관리하며, 그 목적은 발급사가 카드 소유자를 인증하고, 사기를 줄이며, 지불 거절에 대한 책임을 판매자에서 발급사로 이전하는 것입니다.

현대 3DS(3DS2라고도 함)는 판매자와 발급사의 접근 제어 서버(ACS) 간에 풍부한 데이터 세트를 교환하여 작동합니다. 이 데이터를 통해 ACS는 위험 평가를 수행하고 두 가지 결과로 이어집니다.

• 마찰 없는 흐름(Frictionless Flow): 거래가 저위험으로 간주되면 사용자 상호 작용 없이 백그라운드에서 조용히 승인됩니다. 이것이 대부분의 거래의 목표입니다.
• 인증 절차 흐름(Challenge Flow): 거래가 고위험이거나 PSD2와 같은 규정에 의해 의무화된 경우, 사용자는 신원을 증명하도록 적극적으로 요청받으며, 일반적으로 OTP나 은행 앱 알림을 통해 이루어집니다.

이 "인증 절차"는 마찰의 주요 지점이며 전환율을 위한 핵심 전쟁터입니다. 업계의 목표는 마찰 없는 흐름을 극대화하면서 인증 절차를 가능한 한 원활하게 만드는 것입니다. 패스키는 바로 이 마찰이 심한 인증 절차를 해결하기에 완벽하게 위치하며, 잠재적인 실패 지점을 안전하고 원활한 단계로 전환합니다.

graph TD
    A[Start: Customer Proceeds to Pay] --> B{Merchant Initiates 3DS Check};
    B --> C[Merchant's SDK sends rich transaction and device data to the Issuer's ACS];
    C --> D{ACS Risk Engine Analyzes Data};
    D --> E{Is transaction high-risk or is SCA mandated?};
    subgraph Frictionless Flow
    E -- No --> F[Authentication Approved Passively - No user interaction];
    end
    subgraph Challenge Flow
    E -- Yes --> G[User is prompted for an authentication challenge];
    G --> H{User Completes Challenge? - e.g., OTP, App Push, SPC/Passkey};
    H -- Yes --> I[Authentication Approved];
    H -- No --> J[Authentication Failed];
    end
    F --> K[Transaction Proceeds with Liability Shift to Issuer];
    I --> K;
    J --> L[Transaction is Blocked];

FIDO Alliance의 피싱 방지 WebAuthn 표준에 기반한 패스키의 등장은 결제 인증의 근본적인 재설계를 촉진하고 있습니다. 이는 판매자들이 계정 탈취 사기에 대응하고 사용자 경험을 개선하기 위해 이미 표준 사용자 인증(가입 및 로그인)에 패스키를 채택하고 있는 강력한 업계 동향과 함께 일어나고 있습니다. 이러한 기존 투자는 결제 관련 패스키 모델을 구축할 수 있는 자연스러운 기반을 만듭니다.

이 모델에서 사용자의 은행(발급사)은 인증의 최종 Relying Party(RP)입니다. 패스키는 은행의 도메인(예: bank.com)에 바인딩되며, 사용자는 거래를 승인하기 위해 은행과 직접 인증합니다. 이 모델은 결제가 카드 레일에서 실행되는지 또는 직접 계좌 간 이체를 통해 실행되는지에 따라 두 가지 주요 유형이 있습니다.

이 모델에서 발급 은행은 인증을 계속 통제하며, 패스키는 발급사의 도메인(예: bank.com)에 암호학적으로 바인딩됩니다. 은행 웹사이트로의 간단한 리디렉션도 가능하지만, 이는 좋지 않은 사용자 경험을 만듭니다.

누가 패스키를 소유하는가? 발급사 중심 모델에서는 **발급사가 Relying Party(RP)**입니다.

채택 선순환 및 네트워크 효과: 발급사 패스키의 재사용성은 강력한 선순환을 만듭니다. 사용자가 은행을 위해 패스키를 한 번 생성하면, 그 단일 패스키는 3DS 프로토콜을 사용하는 모든 판매점에서 인증 절차가 필요한 거래를 원활하게 승인하는 데 사용될 수 있습니다. 이는 소비자(더 나은 UX)와 판매자(더 높은 전환율) 모두에게 발급사 카드의 가치를 향상시킵니다.

이를 위한 업계 표준 솔루션은 **Secure Payment Confirmation(SPC)**으로, 판매자가 리디렉션 없이 결제 페이지에서 직접 은행의 패스키를 호출할 수 있게 해주는 웹 표준입니다. 이 프로세스는 또한 인증을 거래 세부 정보에 바인딩하기 위해 **동적 연결(dynamic linking)**을 사용하며, 이는 SCA에 매우 중요합니다.

전략적 결함: 기술적 우아함에도 불구하고, SPC는 오늘날 실행 가능한 전략이 아닙니다. Apple의 Safari에서는 지원되지 않는 브라우저 지원이 필요합니다. Safari 없이는 SPC가 보편적인 솔루션이 될 수 없으므로, 대규모 구현에는 비현실적입니다.

sequenceDiagram
    participant U as User
    participant M as Merchant Website
    participant I as Issuer ACS

    Note over M,I: A 3DS check determines a challenge is needed.
    M->>I: Authorization Request (High Risk)
    I-->>M: Initiate SPC Challenge
    Note over U,M: Browser shows a native prompt to the user.
    M->>U: Trigger SPC API for issuer's domain (e.g., bank.com)
    U->>U: User authenticates with device biometrics (Face ID, etc.)
    U-->>M: Browser receives signed assertion for bank.com
    M->>I: Forward the signed assertion for validation
    I-->>M: Authentication Successful

이전 모델들이 카드 생태계에 집중되어 있는 반면, 오픈 뱅킹으로 활성화된 계좌 간(A2A) 결제는 강력하고 독특한 패러다임을 제시합니다. 이 모델은 카드 레일을 완전히 우회하며, 패스키와의 통합은 독특하게 간단하고 효과적입니다.

이 모델에서 사용자는 결제를 승인하기 위해 자신의 은행과 직접 인증합니다. 이 과정의 마찰(종종 번거로운 리디렉션과 비밀번호 로그인 포함)은 A2A 채택의 주요 장벽이었습니다. 패스키는 이 핵심 문제를 직접 해결합니다.

누가 패스키를 소유하는가? **은행이 Relying Party(RP)**입니다. 패스키는 사용자가 이미 mybank.com으로 일상적인 온라인 뱅킹을 위해 생성한 것입니다.

채택 선순환 및 네트워크 효과: 선순환은 엄청나며 은행 자체에 의해 주도됩니다. 은행이 사용자들이 기본 뱅킹 앱이나 웹사이트에 로그인하기 위해 비밀번호에서 패스키로 전환하도록 장려함에 따라, 해당 패스키는 모든 오픈 뱅킹 결제에 사용될 준비가 자동으로 완료됩니다. 사용자는 추가적인 작업을 할 필요가 없습니다. 이는 A2A 결제 흐름을 생체 인식 스캔만큼 간단하게 만들어, 카드에 대한 매력과 경쟁력을 극적으로 높입니다.

작동 방식:

1. 결제 시, 사용자는 A2A 제공업체(예: Trustly, Plaid) 또는 자신의 은행을 선택합니다.
2. 사용자는 은행으로 결제를 승인하라는 메시지를 받습니다.
3. 은행은 RP로서 패스키 인증 절차를 트리거합니다.
4. 사용자는 Face ID, 지문 또는 PIN으로 인증합니다.
5. 은행은 결제를 안전하게 확인하고, 자금은 판매자의 계좌로 직접 이체됩니다.

이 모델은 카드 네트워크, 3DS, SPC 또는 위임 인증을 포함하지 않기 때문에 다른 네 가지 모델에 속하지 않습니다. 이는 A2A 제공업체가 판매자와 은행의 자체 (이제 패스키가 활성화된) 인증 시스템 간의 오케스트레이션 계층 역할을 하는 은행 중심의 흐름입니다.

sequenceDiagram
    participant U as User
    participant M as Merchant Website
    participant A2A as A2A Provider (e.g. Trustly)
    participant B as User's Bank

    U->>M: Selects "Pay from Bank"
    M->>A2A: Initiate A2A Payment
    A2A->>U: Prompt user to select their bank
    U->>A2A: Selects Bank
    A2A->>B: Request Payment Authorization
    Note over B,U: Bank prompts user for passkey authentication
    U->>B: Authenticate with Passkey for mybank.com
    B-->>A2A: Authentication Successful, Payment Authorized
    A2A-->>M: Confirm Payment
    M-->>U: Confirm Order

위임 인증은 전통적인 모델에서 더 급진적인 이탈을 나타냅니다. 3DS 버전 2.2에 의해 활성화되고 특정 카드 체계 프로그램에 의해 지원되는 DA는 발급사가 SCA 수행 책임을 신뢰할 수 있는 제3자(가장 일반적으로 대형 판매자, PSP 또는 디지털 월렛 제공업체)에게 공식적으로 위임할 수 있는 프레임워크입니다.

누가 패스키를 소유하는가? 이 모델에서는 **판매자 또는 그들의 PSP가 Relying Party(RP)**입니다. 패스키는 판매자의 도메인(예: amazon.com)을 위해 생성되며 계정 로그인에 사용됩니다.

DA 자격을 얻으려면 판매자가 수행하는 초기 인증이 SCA 요구 사항을 완전히 준수해야 합니다. 유럽 은행 감독청(EBA)의 강력한 고객 인증 가이드라인에 따르면, 이는 단순한 로그인이 아니라 발급사가 직접 수행하는 인증과 동일한 강도를 가져야 합니다. 강력한 암호화 속성을 가진 패스키는 이 높은 기준을 충족하는 이상적인 기술입니다. 그러나 동기화된 패스키에 대한 규제 불확실성이 중요한 지점으로 남아 있습니다. 장치에 바인딩된 패스키는 SCA의 "소유" 요소를 명확하게 충족하지만, EBA와 같은 규제 기관은 사용자의 클라우드 계정을 통해 휴대 가능한 동기화된 패스키가 단일 장치에 고유하게 연결되어야 한다는 엄격한 요구 사항을 충족하는지에 대한 최종적인 의견을 아직 발표하지 않았습니다. 이는 유럽에서 DA 전략을 수립할 때 핵심적인 고려 사항입니다.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

이 모델에서 인증 이벤트는 고객 여정의 상위 단계로 이동합니다. 결제 프로세스 끝에서 3DS 인증 절차로 발생하는 대신, 고객이 판매자의 웹사이트나 앱에서 자신의 계정에 로그인할 때 초기에 발생합니다. 판매자가 로그인을 위해 패스키를 사용하는 경우, 이 성공적인 SCA 준수 인증의 증거를 3DS 데이터 교환 내에서 발급사에 전달할 수 있습니다. 해당 판매자와 사전 신뢰 관계를 구축한 발급사는 이 정보를 사용하여 면제를 부여하고 자체 인증 절차 흐름을 완전히 우회할 수 있습니다. 이는 로그인한 사용자에게 진정으로 원활한 원클릭 생체 인식 결제를 가능하게 할 수 있습니다.

채택 선순환 및 네트워크 효과: 여기서의 선순환은 판매자의 직접적인 고객 관계에 의해 주도됩니다. 판매자가 계정 탈취 사기를 줄이고 UX를 개선하기 위해 로그인에 패스키를 채택함에 따라, 패스키를 사용하는 사용자 기반을 구축하게 됩니다. 이는 결제에서 DA를 위해 이러한 패스키를 활용하여 우수한 결제 경험을 제공하는 자연스러운 경로를 만듭니다. 네트워크 효과는 여러 판매자를 위한 RP 역할을 할 수 있는 PSP에게 가장 강력하며, 잠재적으로 단일 패스키를 여러 상점 네트워크에서 사용할 수 있게 하여 다른 판매자들이 해당 PSP의 생태계에 참여하도록 강력한 인센티브를 만듭니다.

카드 네트워크는 전용 프로그램을 통해 이 모델을 적극적으로 육성하고 있습니다. 예를 들어, Visa의 Guide Authentication 프레임워크는 판매자가 발급사를 대신하여 SCA를 수행할 수 있도록 DA와 함께 사용되도록 설계되었습니다. 마찬가지로, Mastercard의 Identity Check Express 프로그램은 판매자가 판매자 자신의 흐름 내에서 소비자를 인증할 수 있도록 합니다. 이 모델은 대형 판매자와 PSP의 전략적 비전을 반영합니다:

그러나 이 힘에는 책임이 따릅니다. 유럽 규정에 따라 DA는 "아웃소싱"으로 취급되므로, 판매자나 PSP는 사기 거래에 대한 책임을 지며 엄격한 규정 준수 및 위험 관리 요구 사항을 준수해야 합니다.

sequenceDiagram
    participant U as User
    participant M as Merchant Website
    participant I as Issuer ACS

    Note over U,M: Step 1: User logs into the merchant's site.
    U->>M: Authenticate with passkey for merchant.com
    M-->>U: Login Successful (SCA has been performed)

    Note over U,I: Step 2: Later, at checkout...
    U->>M: Clicks "Pay"
    M->>I: Authorization Request (including proof of prior SCA)
    I->>I: Verifies the delegated authentication proof
    I-->>M: Approve Transaction (No 3DS challenge needed)

이 모델은 카드 네트워크(Visa, Mastercard)가 비회원 결제 경험을 소유하고 표준화하기 위해 주도하는 주요 전략적 이니셔티브입니다. 이들은 Click to Pay 프레임워크 위에 Visa Payment Passkey Service와 같은 자체 FIDO 기반 패스키 서비스를 구축했습니다.

누가 패스키를 소유하는가? 네트워크 중심 모델에서는 카드 네트워크가 Relying Party입니다. 패스키는 네트워크의 도메인(예: visa.com)을 위해 생성됩니다.

채택 선순환 및 네트워크 효과: 이 모델은 가장 강력한 네트워크 효과를 가지고 있습니다. 카드 네트워크를 위해 생성된 단일 패스키는 Click to Pay를 지원하는 모든 판매점에서 즉시 재사용할 수 있어 소비자에게 엄청난 가치를 창출하고 전형적인 양면 시장 선순환을 주도합니다.

sequenceDiagram
    participant U as User
    participant M as Merchant Website
    participant N as Card Network (Click to Pay)
    participant I as Issuer

    Note over M,U: Guest Checkout Flow
    U->>M: Clicks "Click to Pay" button
    M->>N: Initiate Click to Pay flow
    Note over N,U: User is prompted to authenticate to the Network.
    N->>U: Browser triggers passkey prompt for network.com
    U->>U: User authenticates with device biometrics
    U-->>N: Signed assertion returned to Network
    N->>N: Validates user, retrieves stored card token
    N->>I: Authorization Request with network token
    I-->>N: Approve/Decline
    N-->>M: Send auth response to merchant

이 모델은 PayPal 또는 **Stripe(Link 포함)**와 같이 자체 소비자 대상 월렛을 운영하는 대형 결제 서비스 제공업체(PSP)를 중심으로 합니다. 이 접근 방식에서 PSP가 Relying Party이며, 전체 인증 및 결제 흐름을 소유합니다.

누가 패스키를 소유하는가? PSP 중심 모델에서는 **PSP가 Relying Party(RP)**입니다. 패스키는 PSP의 도메인(예: paypal.com)을 위해 생성되며 해당 PSP의 생태계 내에서 사용자 계정을 보호합니다.

채택 선순환 및 네트워크 효과: 이 모델 또한 매우 강력한 네트워크 효과를 가지고 있습니다. 주요 PSP의 월렛을 위해 생성된 패스키는 해당 PSP를 수락하는 모든 판매점에서 재사용할 수 있어 사용자와 판매자가 PSP의 생태계에 참여하도록 강력한 인센티브를 만듭니다.

sequenceDiagram
    participant U as User
    participant M as Merchant Website
    participant P as PSP / Wallet (e.g. PayPal)

    U->>M: Selects "Pay with PSP" at Checkout
    M->>U: Redirects or shows popup for PSP login
    Note over P,U: User authenticates directly to the PSP
    U->>P: Authenticate with Passkey for psp.com
    P-->>U: Authentication Successful
    P-->>M: Send Payment Guarantee / OK to Merchant
    M-->>U: Confirm Order

한 모델을 위해 생성된 패스키를 다른 모델에서 재사용할 수 있는지에 대한 질문은 흔하고 중요합니다. 예를 들어, 사용자가 SPC와 함께 사용하기 위해 은행을 위해 생성한 패스키를 DA 흐름에서 판매자 웹사이트에 로그인하는 데 사용할 수 있을까요? 답은 '아니오'이며, 이는 **Relying Party(RP)**의 중심적인 역할을 강조합니다.

패스키는 근본적으로 사용자를 특정 RP에 연결하는 암호화 자격 증명입니다. 공개 키는 RP의 서버에 등록되고, 개인 키는 사용자의 장치에 남아 있습니다. 인증은 해당 개인 키의 소유를 해당 특정 RP에게 증명하는 행위입니다.

• 발급사 중심(SPC) 모델에서 RP는 발급사(예: chase.com)입니다. 패스키는 은행에 등록됩니다.
• 판매자 중심(DA) 모델에서 RP는 판매자 또는 그들의 PSP(예: amazon.com 또는 stripe.com)입니다. 패스키는 로그인을 위해 판매자에 등록됩니다.
• 네트워크 중심 모델에서 RP는 카드 네트워크(예: visa.com)입니다. 패스키는 Click to Pay를 위해 네트워크에 등록됩니다.
• PSP 중심 모델에서 RP는 결제 서비스 제공업체(예: paypal.com)입니다. 패스키는 PSP의 월렛이나 서비스에 등록됩니다.

패스키는 RP의 도메인에 암호학적으로 바인딩되어 있기 때문에, chase.com에 등록된 패스키는 amazon.com에서 검증될 수 없습니다. 기술적인 관점에서 이들은 별개의 디지털 신원입니다. 사용자는 상호 작용하는 각 Relying Party에 대해 별도의 패스키를 생성해야 합니다.

패스키를 강력하게 만드는 "재사용성"과 "휴대성"은 두 가지 영역에서 비롯됩니다:

1. 패스키 동기화: iCloud Keychain 및 Google Password Manager와 같은 서비스는 사용자의 장치 간에 패스키를 동기화합니다. 따라서 휴대폰에서 chase.com을 위해 생성된 패스키는 사용자의 노트북에서도 자동으로 사용할 수 있지만, 여전히 chase.com 전용입니다.
2. 연합(Federation): 이것이 Click to Pay에서 사용하는 모델입니다. 판매자는 네트워크(예: Visa)가 사용자를 인증하는 것을 신뢰할 수 있습니다. 사용자는 Visa(RP)에 인증하고, Visa는 사용자에게 합법적임을 신호합니다. 이는 웹사이트가 Google에 로그인을 처리하도록 신뢰하는 "Google로 로그인"과 유사합니다. 패스키가 판매자에 의해 재사용되는 것이 아니라, _인증 이벤트_가 재사용되는 것입니다.

따라서 네 가지 모델은 단지 다른 기술적 경로가 아니라 경쟁적인 신원 전략입니다. 각 모델은 결제 인증의 기본 Relying Party가 될 다른 주체를 제안하며, 사용자는 결국 자신의 발급사, 즐겨 찾는 판매자, PSP 월렛, 그리고 카드 네트워크를 위한 패스키를 갖게 될 것입니다.

이러한 모델은 인증을 위한 강력한 새로운 방법을 제공하지만, 종종 간과되는 중요한 운영상의 과제인 패스키 복원 및 계정 복구를 도입합니다. iCloud Keychain 및 Google Password Manager와 같은 플랫폼에서 관리하는 동기화된 패스키는 단일 장치 분실 문제를 완화합니다. 그러나 사용자가 모든 장치를 분실하거나 생태계 간에 전환(예: iOS에서 Android로)하는 문제는 해결하지 못합니다. 이러한 시나리오에서 사용자가 다른 수단을 통해 자신의 신원을 증명하고 새 장치에 패스키를 등록할 수 있는 안전하고 사용자 친화적인 프로세스는 모든 대규모 배포에 있어 협상 불가능한 전제 조건입니다. Mastercard의 자체 문서에서 언급했듯이, 장치를 전환하는 사용자는 새 패스키를 생성해야 하며, 이 과정에서 은행의 신원 확인이 필요할 수 있습니다.(Mastercard® payment passkeys – Frequently asked questions) 이는 완전한 패스키 솔루션이 인증 절차 자체뿐만 아니라 강력한 복구 흐름을 포함한 패스키 관리의 전체 라이프사이클을 포괄해야 함을 강조합니다.

발급사 중심(SPC), 판매자 중심(DA), 네트워크 중심(Click to Pay), PSP 중심의 네 가지 아키텍처 모델은 결제 생태계의 다양한 참여자들에게 뚜렷한 통합 기회로 해석됩니다. 각 접근 방식은 사용자 경험, 구현 복잡성, 책임 및 통제 사이에서 고유한 장단점을 제시합니다. 이 섹션은 전략적 의사 결정을 안내하기 위해 이러한 통합 지점에 대한 실용적인 분석을 제공합니다.

• 기회: 발급사 및 그들을 지원하는 접근 제어 서버(ACS) 제공업체의 주요 기회는 OTP 및 비밀번호와 같은 기존 방법을 Secure Payment Confirmation(SPC)으로 대체하여 3DS "인증 절차 흐름"을 향상시키는 것입니다.
• 대상 고객: 이 통합은 ACS 제공업체(예: Netcetera, CA Technologies/Arcot), 발급사 분야에 서비스를 제공하는 기술 벤더, 그리고 자체 사내 ACS 플랫폼을 운영하는 대형 발급 은행을 대상으로 합니다.
• 제공업체의 역할: Corbado와 같은 서비스형 패스키 제공업체는 SPC 사양을 완벽하게 준수하는 내장형 FIDO 서버 또는 소프트웨어 모듈을 제공합니다. 이 모듈은 핵심 ACS 플랫폼에 통합되어, ACS의 위험 엔진이 인증 절차가 필요하다고 판단할 때 SPC 흐름을 트리거할 수 있도록 합니다.
• 장점:
  • 높은 보안 및 규제 준수: SPC의 암호화된 동적 연결 사용은 특정 거래 세부 정보에 대한 사용자 동의의 강력하고 감사 가능한 증거를 제공하여 PSD2 SCA와 같은 규정의 핵심 요구 사항을 직접적으로 해결합니다.
  • OTP 대비 향상된 사용자 경험: 빠른 생체 인식 스캔으로 인증하는 것은 SMS를 통해 받은 코드를 수동으로 입력하는 것보다 훨씬 빠르고 오류가 적어, 인증 절차 전환율을 측정 가능하게 증가시킬 수 있습니다.
  • 명확한 책임 모델: 이 모델은 기존 3DS 프레임워크 내에 원활하게 들어맞습니다. SPC를 통해 거래가 성공적으로 인증되면, 사기성 지불 거절에 대한 책임은 다른 3DS 인증 절차 방법과 마찬가지로 판매자에서 발급사로 이전됩니다.
• 단점:
  • 여전히 "인증 절차" 흐름: SPC가 인증 절차 경험을 개선하지만, 그것을 제거하지는 않습니다. 사용자는 여전히 결제 시 인증 단계로 중단됩니다. 이 경험은 더 낫지만, 완전히 수동적인 "마찰 없는" 흐름이나 성공적인 위임 인증 흐름보다 본질적으로 더 많은 마찰을 유발합니다.
  • 발급사 위험 로직에 의존: SPC 사용의 채택 및 빈도는 전적으로 발급사의 ACS 및 RBA 엔진에 달려 있습니다. ACS는 여전히 인증 절차를 트리거할지 _여부_와 _시기_를 결정합니다.
  • 생태계 준비 지연: 광범위한 사용을 위해서는 생태계가 EMV 3DS 버전 2.3 이상을 채택해야 하고, 사용자 브라우저가 SPC Web API를 지원해야 합니다. 논의된 바와 같이, 특히 iOS와 같은 모바일 플랫폼에서의 보편적인 지원 부족은 중요한 저해 요인입니다.

• 기회: 위임 인증(DA)을 구현하여, 판매자나 그들의 PSP가 고객 로그인 시점에 SCA를 수행함으로써, 인증된 재방문 사용자에게 완전히 원활한 결제 경험을 제공합니다.
• 대상 고객: 이는 소비자와 직접적인 관계를 맺고 이미 안전한 계정 및 로그인 시스템에 투자한 대형 전자 상거래 판매자, 풀스택 PSP(Stripe나 Adyen 등), 디지털 월렛 제공업체에 가장 적합합니다.
• 제공업체의 역할: 패스키 제공업체는 판매자의 로그인 흐름을 위한 핵심 패스키 인증 솔루션을 공급합니다. 결정적으로, 이 솔루션은 발급사에게 규정을 준수하는 SCA가 이미 발생했음을 알리기 위해 3DS 인증 요청에 패키징될 수 있는 필요한 데이터 출력과 암호화 증명을 제공해야 합니다.
• 장점:
  • 최적의 사용자 경험: 이 모델은 인증된 사용자에게 가능한 가장 마찰 없는 결제 흐름을 제공합니다. 인증 단계를 사용자 여정의 자연스럽고 익숙한 부분(계정 로그인)으로 이동시키고 3DS 인증 절차를 완전히 제거하여 진정한 원클릭 결제를 가능하게 합니다.
  • 가장 높은 전환율 잠재력: 결제 시 최종 마찰 지점을 제거함으로써 DA는 결제 전환율을 가장 크게 향상시킬 잠재력을 가지고 있습니다. Wise 카드 소유자와의 Stripe 파일럿에서는 DA 솔루션을 사용한 거래에서 7%의 전환율 상승을 보고했습니다.
  • 판매자-고객 관계 강화: 전체 인증 및 결제 경험이 판매자의 브랜드 환경 내에 머물러 있어 고객과의 직접적인 관계를 강화합니다.
• 단점:
  • 복잡한 상업적 조건 및 책임: DA는 간단한 기술적 전환이 아닙니다. 발급사와 그들이 신뢰하기로 선택한 판매자/PSP 간의 명시적이고 종종 양자 간의 계약이 필요합니다. 또한, 위임 인증을 수행하는 당사자는 사기에 대한 책임을 지며, 이 협정은 "아웃소싱"의 한 형태로 엄격한 규제 감독을 받게 되어 상당한 규정 준수 부담을 수반합니다.
  • 발급사 신뢰에 의존: 전체 모델은 발급사가 판매자의 인증 프로세스를 신뢰하려는 의지에 달려 있습니다. 이 신뢰는 처음에는 가장 크고, 가장 안전하며, 가장 전략적인 파트너에게만 확장될 가능성이 높습니다.
  • 단편적인 채택: 보편적인 표준과 달리, DA는 발급사별, 판매자별로 채택될 것이므로, 모든 판매점에서 모든 카드 소유자에게 경험이 일관되지 않은 단편적인 환경으로 이어질 것입니다.

• 기회: 방대한 양의 비회원 결제 거래에 대해 네트워크 브랜드의 패스키 경험을 활성화합니다.
• 대상 고객: 자신의 판매자 고객 기반에 현대적이고 표준화된 비회원 결제 솔루션을 제공하고자 하는 결제 게이트웨이 및 PSP.
• 제공업체의 역할: 제공업체는 중요한 통합 파트너 역할을 할 수 있습니다. Visa와 Mastercard가 별도의 독점적인 패스키 서비스를 개발했다는 점을 감안할 때, 패스키 제공업체는 각 네트워크의 고유한 API와의 통합 복잡성을 추상화하는 통합 SDK 또는 "오케스트레이션 계층"을 제공하여 PSP를 위한 단일하고 단순화된 통합 지점을 제공할 수 있습니다.
• 장점:
  • 표준화된 비회원 결제 솔루션: 패스키를 사용한 Click to Pay는 업계의 주요 문제점인 마찰이 많고 이탈률이 높은 비회원 결제를 해결합니다. 일관되고, 인식 가능하며, 신뢰할 수 있는 경험을 제공합니다.
• 네트워크 주도 채택: Visa와 Mastercard는 이 이니셔티브에 전폭적인 지원을 하고 있으며, 이는 발급사, 판매자, 소비자로부터 빠른 채택을 유도할 것입니다. PSP는 이를 지원해야 하는 경쟁 압력에 직면하게 될 것입니다.
• 단순화된 책임 및 보안 부담: 연합 Relying Party 역할을 하는 카드 네트워크가 FIDO 인증 인프라를 구축하고 보호하는 주된 부담을 져서, 판매자의 보안 및 책임 부담을 단순화합니다.
• 단점:
  • 통제 및 브랜딩 상실: 주된 단점은 판매자와 그들의 PSP가 결제 사용자 경험에 대한 통제권을 카드 네트워크에 양도한다는 것입니다. 결제는 그들의 브랜딩과 사용자 인터페이스를 특징으로 하는 "Visa 결제" 또는 "Mastercard 결제"가 됩니다.
  • 중개 역할 상실 가능성: 전자 상거래의 중앙 신원 제공자가 됨으로써, 네트워크는 시간이 지남에 따라 판매자와 고객 간의 직접적인 데이터 및 브랜딩 관계를 약화시킬 수 있습니다.
  • "블랙박스" 구현: 네트워크의 FIDO 서버, 위험 엔진 및 인증 로직의 내부 작동은 판매자와 PSP에게 불투명합니다. 그들은 자신들이 통제하지 않는 규칙과 사용자 경험을 가진 서비스와 통합하고 있습니다.

패스키 기반 결제 인증으로의 전환은 이론적인 연습이 아니라, 업계 최대 플레이어들에 의해 적극적으로 주도되고 있습니다. 그들의 전략, 파일럿 프로그램, 그리고 공개적인 발언은 경쟁 역학 및 채택의 예상 궤적에 대한 명확한 시각을 제공합니다.

Become part of our Passkeys Community for updates & support.

Join

• PayPal: FIDO Alliance의 창립 멤버이자 디지털 네이티브 결제 제공업체인 PayPal은 패스키의 가장 공격적인 초기 채택자 중 하나였습니다. 그들은 2022년 말 미국에서 시작하여 유럽 및 기타 지역으로 단계적인 글로벌 출시를 시작했습니다. 그들의 구현은 Conditional UI와 같은 기능을 활용하여 사용자가 로그인 필드와 상호 작용할 때 자동으로 패스키를 요청하는 원탭 로그인 경험을 만드는 모범 사례의 사례 연구입니다. PayPal은 로그인 성공률 증가 및 계정 탈취(ATO) 사기 대폭 감소 등 상당한 초기 성공을 보고했습니다. 그들의 전략에는 동기화된 패스키의 고유한 보안을 인정하는 결과 기반의 SCA 접근 방식을 추진하며 유럽의 규제 진화를 적극적으로 옹호하는 것도 포함됩니다.

• Visa: Visa의 전략은 자체 FIDO 서버 인프라 위에 구축된 포괄적인 플랫폼인 Visa Payment Passkey Service에 집중되어 있습니다. 이 서비스는 Visa가 발급 파트너를 대신하여 인증의 복잡성을 처리하는 연합 모델로 설계되었습니다. 이 서비스의 주요 수단은 Click to Pay이며, Visa를 비회원 결제 경험의 소유자로 포지셔닝합니다. Visa의 메시징은 단순한 결제를 넘어, 그들의 패스키 서비스를 상거래 생태계 전반에 걸쳐 사용될 수 있는 더 넓은 디지털 신원 솔루션의 기본 요소로 구성합니다. 그들은 SPC를 포함한 기술을 적극적으로 파일럿하고 있으며, 생체 인증이 SMS OTP에 비해 사기율을 50%까지 줄일 수 있다고 보고합니다.

• Mastercard: Mastercard는 네트워크 수준 서비스에 대한 Visa의 전략적 초점을 반영하여, 기존의 Token Authentication Service(TAS) 위에 구축된 자체 Payment Passkey Service를 출시했습니다. 그들의 시장 진출 전략은 일련의 주목할 만한 글로벌 파일럿으로 특징지어졌습니다. 2024년 8월, 그들은 인도에서 주요 파일럿을 발표하며, 국내 최대 결제 애그리게이터(Juspay, Razorpay, PayU), 주요 온라인 판매자(bigbasket), 선도 은행(Axis Bank)과 파트너십을 맺었습니다. 이어서 라틴 아메리카에서는 Sympla 및 Yuno와 파트너십을 맺고, UAE에서는 Tap Payments와 함께 다른 주요 시장에 출시했습니다. 이 접근 방식은 생태계 애그리게이터(PSP, 게이트웨이)와 파트너 관계를 맺어 신속하게 규모를 달성하려는 명확한 전략을 보여줍니다. Mastercard는 2030년까지 유럽에서 수동 카드 입력을 단계적으로 폐지하고, 완전히 토큰화되고 패스키로 인증된 거래로 전환하겠다는 대담한 공개 약속을 했습니다.

이러한 선구자들의 전략은 중요한 역학을 드러냅니다. 역사적으로 단편적이고 마찰이 심했던 비회원 결제 경험은 카드 네트워크의 전략적 교두보가 되었습니다. Click to Pay를 통해 비회원 사용자를 위한 우수한 패스키 지원 솔루션을 만들어, 네트워크는 소비자와의 직접적인 신원 관계를 구축할 수 있습니다. 소비자가 한 번의 비회원 결제 중에 네트워크 수준의 패스키를 생성하면, 그 신원은 Click to Pay를 지원하는 다른 모든 판매점으로 휴대 가능해집니다. 이를 통해 네트워크는 효과적으로 사용자 신원을 "획득"하고 웹 전반에 걸쳐 원활한 경험을 제공할 수 있으며, 이는 디지털 상거래의 중앙 신원 제공자 역할을 차지하려는 강력한 움직임입니다.

이러한 주요 플레이어들의 공동 노력은 더 넓은 기술 및 규제 동향과 결합하여 결제 인증에서 가속화되고 불가피한 변화를 가리킵니다.

• OTP의 불가피한 종말: 패스키에 대한 업계 전반의 추진은 기본 인증 방법으로서 SMS 기반 일회용 비밀번호의 종말의 시작을 알립니다. OTP는 마찰이 심한 사용자 경험과 SIM 스와핑 및 정교한 피싱 캠페인과 같은 공격에 대한 취약성 증가로 인해 점점 더 책임으로 간주되고 있습니다. 패스키가 더 널리 보급됨에 따라 OTP에 대한 의존은 기본 인증 절차 방법이 아닌 대체 또는 복구 메커니즘으로 강등될 것입니다.

• 규제 순풍: PSD2와 같은 현재 규정은 SCA에 대한 초기 의무를 만들었지만, 그들의 경직된 범주 기반 정의는 동기화된 패스키와 같은 신기술에 대한 일부 불확실성을 야기했습니다. 유럽의 PSD3와 같은 향후 규제 업데이트는 보다 기술 중립적이고 결과 중심적인 접근 방식을 채택할 것으로 예상됩니다. 이는 입증 가능하게 피싱에 강한 인증 방법을 선호하게 될 것이며, 규정을 준수하는 SCA 방법으로서 패스키의 광범위한 채택을 위한 더 명확한 규제 경로를 제공할 것입니다.

• 연합 결제 신원의 부상: Visa와 Mastercard의 전략적 움직임은 단지 결제를 보호하는 것 이상입니다. 디지털 신원을 위한 새로운 패러다임을 구축하는 것입니다. 연합 패스키 서비스를 구축함으로써, 그들은 전체 디지털 상거래 생태계를 위한 중앙의 신뢰할 수 있는 신원 제공자로 자리매김하고 있습니다. 이는 Big Tech(예: Apple ID, Google 계정)가 통제하는 강력한 신원 플랫폼에 대한 직접적인 전략적 대응으로 볼 수 있습니다. 온라인 결제의 미래는 웹에서 소비자 신원을 누가 소유하고 관리할 것인가에 대한 이 더 큰 싸움과 불가분하게 연결되어 있습니다.

핵심 결제 거래가 주요 초점이지만, 패스키 기술은 다양한 인접 금융 서비스 전반에 걸쳐 마찰을 제거하고 보안을 강화할 준비가 되어 있습니다. 여전히 비밀번호나 번거로운 OTP에 의존하는 많은 프로세스는 패스키 업그레이드에 이상적인 후보입니다.

• 디지털 월렛 프로비저닝: Apple Pay나 Google Pay와 같은 디지털 월렛에 신용카드나 직불카드를 추가하는 과정은 종종 발급사가 보낸 SMS OTP와 같은 확인 단계를 필요로 합니다. 이는 패스키 흐름으로 대체될 수 있는 마찰 지점입니다.
• 오픈 뱅킹 및 계정 연결: 오픈 뱅킹의 기초는 예산 앱이나 다른 핀테크 서비스와 같은 제3자 애플리케이션이 사용자의 은행 계좌 데이터에 접근할 수 있도록 허용하는 것입니다. 이를 위해서는 사용자가 자신의 은행으로 인증해야 하며, 이 과정은 종종 번거롭습니다. 패스키는 이 동의를 부여하는 훨씬 더 부드럽고 안전한 방법을 제공하여, 어색한 리디렉션과 수동 비밀번호 입력을 간단한 생체 인증으로 대체합니다.
• 파일에 저장된 카드(CoF) 토큰 보안: 저장된 카드가 있는 계정의 로그인을 보호하는 것 외에도, 패스키는 카드를 _저장_하는 초기 행위를 보호하는 데 사용될 수 있습니다. 사용자가 카드를 추가하는 순간의 인증 절차는 합법적인 카드 소유자가 존재한다는 강력한 증거를 제공하여, 도난당한 신용카드 번호가 나중에 오용될 CoF 프로필을 만드는 데 사용되는 사기를 줄입니다.
• BNPL 및 즉시 대출: 선구매 후결제(Buy Now, Pay Later) 서비스 및 기타 형태의 즉시 신용은 초기 온보딩과 거래별 위험 평가를 모두 포함합니다. Klarna와 같은 선구자들은 이미 로그인을 위해 비밀번호를 대체하기 위해 패스키를 사용하고 있습니다. 또한 고액 구매나 사용자가 새로운 신용 한도를 신청할 때 스텝업 인증 방법으로 사용될 수 있으며, 전통적인 방법보다 더 강력하고 마찰이 적은 사용자 의도 신호를 제공합니다.

스테이블코인(USDC 또는 EURC 등)의 부상은 새로운 블록체인 기반 결제 레일을 제시합니다. 그러나 주류 채택의 주요 장벽은 암호화폐 월렛의 열악한 사용자 경험과 보안이었습니다. 전통적으로 이러한 월렛은 사용자가 적어서 보호해야 하는 "시드 구문"(12-24개의 단어 목록)으로 보호됩니다. 이는 매우 사용자 친화적이지 않으며 계정 복구를 악몽으로 만듭니다.

패스키는 이 경험을 완전히 변화시킬 것입니다. 업계는 온체인 자산을 제어하는 개인 키가 장치의 패스키로 보호되는 모델로 이동하고 있습니다.

• 시드 구문 제거: 시드 구문을 적는 대신, 사용자의 월렛은 장치의 내장 보안에 의해 생성되고 보호됩니다. 판매자에게 스테이블코인을 보내는 것과 같은 거래를 승인하려면, 사용자는 단순히 Face ID나 지문 스캔으로 인증합니다. 이는 암호화폐 결제를 Apple Pay 사용만큼 원활하고 안전하게 느끼게 합니다.
• 계정 복구 활성화: "스마트 계정"(또는 "계정 추상화")과 같은 월렛 아키텍처를 사용하여 복구 메커니즘을 내장할 수 있습니다. 사용자는 모든 장치를 분실했을 때 계정을 복구하는 데 도움을 줄 수 있는 신뢰할 수 있는 친구, 가족 또는 기관을 "보호자"로 지정할 수 있으며, 이는 시드 구문의 전부 아니면 전무 방식에 비해 엄청난 개선입니다.

이러한 진화는 결제를 위해 스테이블코인을 사용하는 것과 관련된 마찰과 위험을 크게 줄여, 잠재적으로 전통적인 결제 레일에 대한 더 실행 가능하고 주류적인 대안으로 만들 수 있습니다.

결제 환경 분석과 새로운 패스키 통합 모델은 몇 가지 뚜렷하고 실행 가능한 기회를 보여줍니다. Corbado와 같은 패스키 우선 인증 회사의 목표는 이 전환을 탐색하는 데 필요한 기본 기술을 제공함으로써 생태계의 모든 플레이어가 전략적 목표를 달성할 수 있도록 지원하는 것입니다.

• 목표: 3DS 인증 절차 흐름을 현대화하고, 마찰이 심한 OTP를 대체하여 전환율을 높이고, 보안을 강화하며, PSD2/PSD3 규정 준수를 정면으로 해결합니다.
• Corbado의 도움: 기존 접근 제어 서버(ACS) 플랫폼에 간단하게 통합할 수 있도록 설계된 내장형 패스키 인증 모듈을 제공합니다. 우리는 ACS 벤더가 전체 은행 및 판매자 네트워크에 혜택을 주는 동급 최고의 저마찰 인증 절차 경험을 제공하도록 돕습니다.

• 목표: 엔드투엔드 고객 여정을 소유하고 위임 인증(DA)을 통해 궁극의 결제 경험을 제공하여, 로그인한 사용자의 3DS 인증 절차를 제거합니다.
• Corbado의 도움: Corbado는 포괄적인 DA 활성화 솔루션을 제공합니다. 여기에는 동급 최고의 패스키 로그인 시스템뿐만 아니라 발급사가 DA 면제를 부여하는 데 필요한 암호화 증명을 생성하는 도구와 API도 포함됩니다. 우리는 기술 파트너로서 판매자와 PSP가 전환율을 극대화하고 브랜드를 강화할 수 있도록 지원합니다.

• 목표: Click to Pay와 같은 최신 네트워크 필수 기능을 손쉽게 제공하고, 비용이 많이 드는 중복 개발 노력 없이 플랫폼 경쟁력을 유지합니다.
• Corbado의 도움: Corbado는 "패스키 오케스트레이션" 계층을 제공합니다. 우리는 Visa와 Mastercard의 서비스 통합을 돕고, 판매자가 동시에 자체 패스키 솔루션을 제공하여 현대적인 비회원 결제를 제공할 수 있는 방법도 제공합니다.

• 목표: 전체 월렛 생태계를 보호하고, PSP의 전체 판매자 네트워크에서 휴대 가능한 원활하고 안전한 로그인 및 결제 경험을 만듭니다.
• Corbado의 도움: 우리는 대형 PSP 및 월렛 제공업체가 사용자의 중앙 Relying Party가 될 수 있도록 하는 핵심 패스키 인프라를 제공합니다. 우리 솔루션을 통합함으로써, 그들은 월렛 로그인(예: PayPal, Stripe Link 또는 Klarna)을 위해 비밀번호를 대체할 수 있습니다. 이는 계정을 탈취로부터 보호할 뿐만 아니라 결제 승인을 원클릭 생체 인식 단계로 간소화하여, 사용자를 확보하고 판매자를 유치하는 강력한 브랜드 인증 경험을 만듭니다.

이 분석은 패스키 기반 전략의 중요한 성공 요인인 사용자 채택을 강조합니다. 패스키 생성 및 사용을 기준선인 약 10%에서 50% 이상으로 입증 가능하게 증가시킬 수 있는 솔루션은 이러한 새로운 인증 모델의 출시에 직면한 주요 과제를 해결합니다. 생태계와 그 플레이어들의 전략적 목표에 따라, 다음 조직 및 부문이 이러한 솔루션의 주요 후보입니다.

• 핵심 문제: 3DS 인증 절차 흐름의 높은 마찰은 장바구니 포기와 판매자의 수익 손실로 이어져, 발급사의 카드를 덜 경쟁력 있게 만듭니다.
• 채택의 도움: 패스키 채택률이 높을수록 성공적이고 마찰이 적은 인증 절차가 더 많아집니다. 이는 전환율을 개선하고, 보안을 강화하며, 발급사의 결제 자격 증명을 판매자와 소비자 모두에게 더 가치 있게 만듭니다.
• 주요 후보: 주요 발급 은행(Bank of America, Chase, Barclays) 및 그들의 3DS 기술을 공급하는 ACS 제공업체(Netcetera, CA Technologies).

• 핵심 문제: 고객 여정을 소유하고 결제 마찰을 제거하려는 욕구는 종종 3DS 인증 절차의 필요성에 의해 막힙니다.
• 채택의 도움: 전체 위임 인증(DA) 모델은 판매자가 로그인 시 사용자를 강력하게 인증할 수 있다는 전제 하에 있습니다. 높은 패스키 채택률은 단지 향상이 아니라 성공적인 DA 전략의 전제 조건입니다. 대다수 사용자에게 DA를 활성화하는 것은 강력한 경쟁 차별화 요소입니다.
• 주요 후보: 글로벌 전자 상거래 리더(Amazon, Walmart), 디지털 구독 서비스(Netflix, Spotify), 그리고 그들을 지원하는 풀스택 PSP(Stripe, Adyen, Checkout.com).

• 핵심 문제: Click to Pay와 같은 전략적, 네트워크 수준의 신원 서비스의 성공은 광범위한 소비자 등록에 직접적으로 달려 있습니다.
• 채택의 도움: 쉽고 매력적인 패스키 생성 경험은 이러한 연합 신원 네트워크의 성장에 필수적입니다. 네트워크는 채택 중심 솔루션을 판매자 및 PSP에 제공하는 SDK에 내장하여, 독점적인 패스키 서비스의 출시 및 채택을 가속화할 수 있습니다.
• 주요 후보: Visa (Visa Payment Passkey Service용) 및 Mastercard (Token Authentication Service용).

• 핵심 문제: 월렛(예: PayPal, Stripe Link, Klarna)의 가치는 활성, 참여 사용자 수와 직접적으로 관련이 있습니다. 로그인이나 결제 시의 마찰은 생태계를 약화시킵니다.
• 채택의 도움: 월렛 자체 도메인(paypal.com 등)에 대한 패스키의 대량 채택을 유도하는 것은 핵심 전략적 목표입니다. 이는 사기를 줄이고, 사용자 경험을 개선하며, 네트워크 효과를 강화하여 월렛을 소비자와 판매자 모두에게 더 매력적으로 만듭니다.
• 주요 후보: 월렛을 제공하는 글로벌 PSP(PayPal, Stripe Link, Klarna) 및 대형 지역 플레이어(Mercado Pago, Block).

• 핵심 문제: 국가 결제 체계는 인프라를 현대화하고 글로벌 기술 회사에 대해 경쟁력을 유지하기 위해 디지털 신원 솔루션을 제공해야 하는 압력에 직면해 있습니다.
• 채택의 도움: 이러한 네트워크는 새로운 디지털 결제 및 신원 서비스가 널리 사용되도록 보장해야 합니다. **Australian Payments Plus(AP+)**와 같은 플레이어에게는 PayTo(실시간 결제용) 및 ConnectID(디지털 신원용)와 같은 서비스의 채택을 촉진하는 것이 핵심 전략적 목표입니다. 패스키 등록을 촉진하는 솔루션은 이 전략의 직접적인 조력자입니다.
• 주요 후보: Australian Payments Plus(AP+) 및 기타 국가 결제 인프라 기관.

대형 기술 회사들은 결제 생태계에서 독특하고 강력한 역할을 하는 정교한 디지털 월렛을 운영합니다. 그들은 사용자의 장치, 플랫폼 신원, 그리고 전통적인 결제 레일의 교차점에 위치하여, 패스키 채택에 관한 독특한 위치와 전략을 가지고 있습니다.

Apple Pay와 Google Pay는 기존 결제 카드 인프라 위에 있는 기술 및 인증 계층으로 가장 잘 이해됩니다. 그들은 직접 카드를 발급하거나 거래를 처리하지 않고, 대신 사용자의 기존 결제 카드의 토큰화된 버전을 안전하게 저장하고 전송합니다.

• 생태계에서의 위치: 그들은 사용자의 카드를 위한 안전한 "컨테이너" 역할을 합니다. 사용자가 온라인으로 결제할 때, 카드 정보를 입력하는 대신 Apple Pay나 Google Pay를 선택합니다. 그러면 월렛은 안전한 일회용 토큰을 판매자의 결제 게이트웨이로 전달합니다. 거래는 여전히 매입사, 네트워크, 발급사를 통해 정상적으로 흐릅니다.
• 패스키 활용 방법: 그들은 얼굴이나 지문 스캔으로 사용자를 월렛에 인증하여, 결제 토큰을 해제하도록 승인합니다. 이는 강력하고 마찰이 적은 인증 이벤트이지만, 카드 발급사가 책임지는 3DS/SCA 인증과는 구별됩니다. 발급사는 기술적으로 Apple Pay를 통해 시작된 거래에 대해 3DS 인증 절차를 트리거할 수 있지만, 강력한 장치 수준 인증으로 인해 그럴 가능성은 낮습니다.
• 기회 및 채택으로 인한 이점:
  • 월렛 프로비저닝 간소화: 월렛에 카드를 추가하는 과정은 종종 발급사의 OTP를 필요로 합니다. 이는 마찰의 핵심 지점입니다. Apple과 Google은 발급사와 협력하여 이를 인앱 패스키 흐름으로 대체하여, 패스키를 사용하여 사용자를 즉시 확인할 수 있습니다. 발급 파트너를 위한 채택 솔루션은 그들의 월렛을 더 쉽게 로드하고 사용할 수 있게 만듭니다.
  • 위임된 권한 되기: 그들의 궁극적인 전략적 목표는 강력한 플랫폼 인증을 활용하여 결제를 위한 최종적이고 신뢰할 수 있는 인증자가 되는 것입니다. 발급사가 Apple Pay 또는 Google Pay 인증을 SCA 요구 사항을 충족하는 것으로 공식적으로 인정하면, 그들은 위임된 권한이 되어 3DS 인증 절차를 완전히 제거할 수 있습니다. 자체 플랫폼 패스키의 높은 채택은 이를 발급사에게 매력적인 제안으로 만드는 데 중요합니다.

Amazon Pay와 Meta Pay는 제3자 사이트와 자체 생태계(예: Instagram의 소셜 커머스) 내에서 사용할 수 있는 매우 큰 파일에 저장된 카드(CoF) 월렛을 가진 전통적인 판매자와 더 유사하게 운영됩니다.

• 생태계에서의 위치: 그들은 판매자 중심 모델의 전형적인 예입니다. 사용자는 자신의 Amazon 또는 Meta 계정에 직접 결제 카드를 저장합니다. Amazon Pay나 Meta Pay를 사용하여 결제할 때, 그들은 자신의 주 계정에 인증하고, 해당 플랫폼이 그들을 대신하여 결제를 처리합니다.
• 패스키 활용 방법: 그들의 패스키 주요 용도는 사용자의 주 계정 로그인(예: Amazon.com용 패스키)을 보호하는 것입니다. 방대한 사용자 기반을 비밀번호에서 패스키로 계정 로그인에 전환함으로써, 그들은 계정 탈취 사기의 위험을 극적으로 줄이고 귀중한 저장된 결제 자격 증명을 보호합니다.
• 기회 및 채택으로 인한 이점: 그들의 이점은 직접적이고 즉각적입니다. 핵심 사용자 계정에 대한 패스키 채택을 촉진하는 솔루션은:
  1. 사기 감소: 재정적 손실과 고객 불만의 주요 원인인 계정 탈취에 대한 공격 표면을 대폭 줄입니다.
  2. 마찰 감소: 원활하고 안전한 로그인 및 결제 경험을 만들어 전환율을 높이는 것으로 입증되었습니다. 이러한 플레이어들에게 패스키 채택을 촉진하는 솔루션은 핵심 상거래 비즈니스의 보안 및 성능에 대한 직접적인 투자입니다. 따라서 그들은 이러한 솔루션의 주요 후보입니다.

결제 산업은 새로운 인증 시대의 여명에 서 있습니다. 보안과 편의성 사이의 오랜 타협은 마침내 패스키 기술의 성숙과 채택으로 해결되고 있습니다. 이 보고서에서 제시된 분석은 이것이 단일한 변화가 아니라 미래에 대한 여러 경쟁적인 비전을 가진 복잡한 전환임을 보여줍니다. 발급사는 기존 3DS 프레임워크를 SPC로 향상시키려 하고, 대형 판매자와 PSP는 위임 인증을 통해 경험을 장악하거나 자체 월렛 생태계를 구축하려 하며, 카드 네트워크는 Click to Pay로 새로운 연합 신원 계층을 만들고 있습니다. 각 모델은 사용자 신뢰와 편의성의 새로운 표준이 되기 위해 경쟁하고 있습니다.