3-D 시큐어

3-D Secure
카드 보안 코드와 혼동하지 마십시오.

3-D Secure는 온라인 신용 카드 및 직불 카드 거래를 위한 추가 보안 계층으로 설계된 프로토콜입니다.이 이름은 프로토콜(merchant/acquireer 도메인, 발행자 도메인 및 상호 운용성 도메인)[1]을 사용하여 상호 작용하는 "3개의 도메인"을 나타냅니다.

1999년 가을 Visa Inc.의 Celo Communications AB(나중에 Gemplus, Gemalto, Thales Group)에 의해 개발되었습니다.「p」는, 「Pole heachriker's Guide to the Galaxy」(본 프로젝트가 큰 과제였기 때문에 「p」, 「Book Hitchhicker's Guide」의 대답으로서 「p42」라고 하는 프로젝트입니다).2000-2001년 사이에 Gemplus에 의해 새로운 업데이트 버전이 개발되었습니다.

2001년에는 인터넷 결제 보안을 개선하기 위해 Arcot Systems(현 CA Technologies)와 Visa Inc.[2]Visa 브랜드(이후 Visa Secure로 리브랜드)로 고객에게 제공되었습니다.프로토콜 기반 서비스는 또한 Mastercard의해 SecureCode로, Discovery에 의해 [3]ProtectBuy로, JCB International에 의해 J/Secure로,[4] American Express에 의해 American Express SafeKey로 채택되었습니다.이후 프로토콜 개정판은 EMVCo에 의해 EMV 3-D Secure라는 이름으로 제작되었습니다.프로토콜 버전 2는 새로운 EU 인증 요건을 준수하고 원본 [5]프로토콜의 일부 단락을 해결하기 위해 2016년에 발행되었습니다.

학계의 첫 번째 버전의 프로토콜에 대한 분석 결과, 피싱의 넓은 표면적 영역과 부정 [6]지불의 경우 책임 전가 등 소비자에게 영향을 미치는 많은 보안 문제가 있는 것으로 나타났습니다.

설명 및 기본적 측면

이 프로토콜의 기본 개념은 금융 승인 프로세스를 온라인 인증과 연결하는 것입니다.이 추가 보안 인증은 3개의 도메인 모델(따라서 이름에 "3-D"가 포함)에 기반합니다.다음의 3개의 도메인이 있습니다.

  • 취득자 도메인(금전이 지급되는 은행 및 상인),
  • 발급자 도메인(카드 발급자),
  • 상호운용성 도메인(3-D Secure 프로토콜을 지원하기 위해 카드 체계, 신용, 직불, 선불 또는 기타 유형의 결제 카드로 제공되는 인프라).여기에는 인터넷, 상점 플러그인, 액세스 제어 서버 및 기타 소프트웨어 공급자가 포함됩니다.

이 프로토콜은 클라이언트 인증과[7] 함께 SSL 연결을 통해 전송된 XML 메시지를 사용합니다(이것에 의해 디지털 인증서를 사용하여 서버와 클라이언트 모두의 피어(peer)의 신뢰성이 보장됩니다).

Visa에 의한 검증 또는 Secure Code를 사용한 트랜잭션은 카드 발행사의 웹 사이트로 리다이렉트를 시작하여 트랜잭션을 승인합니다.각 발급자는 어떤 인증방식(프로토콜은 이에 해당하지 않음)을 사용할 수 있지만 일반적으로 온라인 구매 시 카드에 연결된 비밀번호를 입력한다.Visa 프로토콜은 인라인 프레임 세션에서 카드 발급자의 검증 페이지를 로드할 것을 권장합니다.이와 같이 카드 발급사의 시스템은 대부분의 보안 침해에 대한 책임을 질 수 있습니다.오늘날 사용자의 휴대전화나 이메일에 SMS 문자 메시지의 일부로 일회용 비밀번호를 보내는 것은 적어도 등록 중이나 비밀번호를 잊어버린 경우 쉽게 인증할 수 있습니다.

Visa와 Mastercard 구현의 주요 차이점은 UCAF(Universal Cardholder Authentication Field)를 생성하는 방식에 있습니다.마스터 카드는 AAV(Accountholder Authentication Value)를 사용하고 Visa는 CAVV(Cardholder Authentication Value)[clarification needed]를 사용합니다.

3D 시큐어 플로우

ACS 공급자

3-D Secure 프로토콜에서는 ACS(Access Control Server)가 카드 발급자 측에 있습니다.현재 대부분의 카드 발급자는 ACS를 서드파티에 아웃소싱하고 있습니다.일반적으로 구매자의 웹 브라우저에는 카드 발급자의 도메인 이름이 아닌 ACS 공급자의 도메인 이름이 표시됩니다.단, 프로토콜에서는 이 이름이 필요하지 않습니다.ACS 프로바이더에 따라서는, ACS 로 사용하는 카드 발행자 소유의 도메인명을 지정할 수 있습니다.

MPI 프로바이더

각 3D Secure 버전1 트랜잭션에는 VEReq/VERES와 PAReq/PARES의 [7]2개의 인터넷 요구/응답 쌍이 포함됩니다.Visa 및 Mastercard는 가맹점이 서버에 직접 요청을 보내는 것을 허용하지 않습니다.가맹점은 대신 MPI(Merchant Plug-in) 공급자를 사용해야 합니다.

판매점

가맹점의 장점은 "부정 트랜잭션" 과금을 줄일 수 있다는 것입니다.가맹점의 단점 중 하나는 Visa 또는 Mastercard 디렉토리 서버에 접속하기 위해 MPI(Merchant Plug-in)를 구입해야 한다는 것입니다.이는 비싼 비용[clarification needed](설정 수수료, 월 수수료, 거래당 수수료)이며, MPI 프로바이더에게는 추가 수익을 나타냅니다.3-D Secure를 지원하는 것은 복잡하고 경우에 따라서는 트랜잭션 실패가 발생할 수 있습니다.아마도 가맹점들에게 가장 큰 단점은 많은 사용자들이 추가적인 인증 단계를 성가신 문제나 장애물로 보고 거래 포기와 [8]수익 손실을 상당히 증가시킨다는 것이다.

구매자 및 신용카드 소유자

현재 구현되어 있는 3-D Secure의 대부분은 카드 발급자 또는 그 ACS 공급자가 카드 발급자 또는 ACS 공급자 및 구매자에게만 알려진 비밀번호를 입력하도록 요구합니다.가맹점은 이 패스워드를 모르며 캡처할 책임이 없기 때문에 카드사가 구매자가 카드 소유자라는 증거로 사용할 수 있다.이는 두 가지 방법으로 위험을 줄이는 것을 목적으로 합니다.

  1. 카드 자체에 번호를 적거나 변경된 단말기 또는 ATM을 통해 카드 세부 정보를 복사해도 카드에 저장되거나 카드에 기록되지 않는 추가 비밀번호 때문에 인터넷을 통해 구매할 수 없습니다.
  2. 가맹점이 패스워드를 취득하지 않기 때문에 온라인 가맹점의 보안사고로 인한 리스크가 감소합니다.해커가 다른 카드 정보를 취득하는 경우도 있습니다만, 관련 패스워드를 취득할 수 있는 방법은 없습니다.

3-D Secure는 비밀번호 인증을 엄격하게 요구하지 않습니다.스마트 카드 리더, 보안 토큰 등과 연동하여 사용할 수 있다고[9] 합니다.이러한 유형의 장치는 구매자가 안전한 비밀번호를 사용하지 않아도 되기 때문에 고객에게 더 나은 사용자 환경을 제공할 수 있습니다.현재 일부 발급자는 칩 인증 프로그램 또는 다이내믹 패스코드 인증 [10]방식의 일부로 이러한 장치를 사용하고 있습니다.

중요한 단점 중 하나는 벤더의 MPI 실장 및 카드 발행자의 아웃소싱 ACS 실장 사용으로 인해 카드 소유자가 브라우저가 낯선 도메인 이름에 접속되어 있는 것을 알 수 있기 때문에 카드 소유자에 대한 피싱 공격을 쉽게 실행할 수 있다는 것입니다.

총평

사이트 아이덴티티 검증 가능성

이 시스템에서는 온라인 트랜잭션 프로세스 중에 팝업창 또는 인라인프레임이 표시되므로 카드 소유자가 패스워드를 입력해야 합니다.패스워드는 트랜잭션이 합법적인 경우 카드 발행자가 인증할 수 있습니다.카드 소유자의 문제는 팝업창이나 프레임이 카드 소유자의 세부 정보를 수집하려는 사기 웹사이트에서 온 것일 수 있는 경우 카드 발행사에서 온 것인지 확인하는 것입니다.이러한 팝업창 또는 스크립트 기반 프레임에서는 보안 증명서에 액세스할 수 없으므로 3-DS 구현의 자격 증명을 확인할 수 있는 방법이 없습니다.

VISA 검증 시스템은 사용자가 합법적인 VISA 검증 팝업 창이나 인라인 프레임과 사기 피싱 사이트를 구별하기 어려워 [11][12][13][6]일부 비판을 받고 있다.이는 팝업창이 다음과 같은 도메인에서 제공되기 때문입니다.

  • 사용자가 쇼핑하는 사이트가 아닙니다.
  • 카드 발급자가 아닙니다.
  • visa.com 또는 mastercard.com이 아닙니다.

경우에 따라서는 Visa에 의한 검증 시스템이 사용자에[14] 의해 피싱 사기로 오인되어 일부 피싱 [15]사기의 표적이 되고 있습니다.팝업 대신 인라인프레임(iframe)을 사용하는 새로운 권장사항은 사용자의 혼란을 줄여주었습니다.단, 사용자가 페이지가 정품인지 확인하는 것은 불가능하지는 않더라도 더 어려워집니다.2011년 [needs update]현재 대부분의 웹 브라우저에서는 iframe의 내용에 대한 보안 증명서를 확인하는 방법이 제공되지 않습니다.Visa에 의한 검증 사이트의 유효성에 관한 이러한 우려 중 일부는 완화됩니다.단, 현재 등록 프로세스의 실장에서는 사용자에게 팝업이 [16]정품임을 보증하기 위해 나중에 Visa에 의해 검증되는 팝업에 표시되는 개인 메시지를 입력해야 하기 때문입니다.

일부 카드 발급자는 쇼핑 중 액티베이션([17]ADS)도 사용합니다.이 방법에서는, 스킴에 등록되어 있지 않은 카드 소유자는, 구입 프로세스중에 등록(또는 강제 등록)할 수 있습니다.이렇게 하면 일반적으로 카드 발급자가 알아야 할 보안 질문에 답함으로써 신원을 확인할 수 있는 형식이 됩니다.다시 말씀드리지만, 이 작업은 제공처의 사이트를 쉽게 검증할 수 없는 iframe 내에서 이루어집니다.이러한 사이트나 불법 판매점에서는, 이러한 방법으로, 고객으로서 행세하기 위해서 필요한 모든 정보를 수집할 수 있습니다.

3-D Secure 등록 실장에서는 사용자가 최대 3D Secure 및 계약조건에 서명할 때까지 구매를 진행할 수 없으며 페이지를 닫는 것 외에 다른 방법으로 페이지를 이동할 수 없으므로 트랜잭션이 중단됩니다.

어느 정도 브라우저를 제어하는 커머스 사이트와 함께 구매 중 카드 등록의 위험을 감수하고 싶지 않은 카드 소지자는 별도의 브라우저 창에서 카드 발급사 웹사이트에 접속하여 등록할 수 있다.상거래 사이트로 돌아가서 다시 시작하면 카드가 등록되어 있는지 확인해야 합니다.등록 시 선택한 Personal Assurance Message(PAM; 개인보증 메시지) 비밀번호 페이지에 해당 페이지가 카드사에서 온 것임을 확인합니다.따라서 카드 소유자가 비밀번호 페이지의 SSL 서버 증명서를 확인할 수 없는 경우에도 중간자 공격 가능성이 남아 있습니다.일부 커머스 사이트에서는 보안성이 낮은 오브젝트인 프레임(iFrame은 아님)을 사용하지 않고 브라우저 페이지 전체를 인증에 할애합니다.이 경우 브라우저의 잠금 아이콘에 카드 발급자 또는 인증 사이트 운영자의 ID가 표시됩니다.카드 소유자는 카드 등록 시 방문했던 도메인이 카드 발급자의 도메인이 아닌 경우 동일한 도메인에 있는지 확인할 수 있습니다.

모바일 브라우저에서는 프레임이나 팝업 등의 특정 기능이 일반적으로 없기 때문에 3-D Secure에 특별한 문제가 발생합니다.가맹점이 모바일 웹사이트를 가지고 있어도 발행자가 모바일 인식을 하지 않는 한 인증 페이지가 제대로 렌더링되지 않거나 아예 렌더링되지 않을 수 있습니다.결국, 많은 분석가들은[vague] 쇼핑 중 활성화(ADS) 프로토콜이 제거되는 것보다 더 많은 위험을 유발하며, 나아가 이러한 증가된 위험을 소비자에게 전달한다는 결론을 내렸습니다.

경우에 따라서는 3-D Secure가 카드 소유자에게 거의 보안을 제공하지 못하고 카드 발급자나 소매점에서 카드 소유자에게 부정 거래에 대한 책임을 전가하는 장치 역할을 할 수 있습니다.3-D Secure 서비스에 적용되는 법적 조건은 때때로 카드 소유자가 "카드 소유자가 존재하지 않는"[6] 사기 거래로부터 책임을 면하기 어려운 방식으로 표현됩니다.

지리적 차별

카드 발급자와 가맹점은 여러 지역에서 카드를 발급하는 카드 발급자와 관련하여 3-D Secure 시스템을 불균등하게 사용할 수 있으며, 예를 들어 국내 미국 카드와 미국 이외의 카드 간의 차별화를 꾀할 수 있습니다.예를 들어, Visa 및 Mastercard는 미국 영토인 푸에르토리코를 국내 거점이 아닌 비미국 국제 거점으로 취급하기 때문에 카드 소지자는 50개 주 카드 소지자에 비해 3-D Secure 쿼리의 발생률이 더 높을 수 있습니다.푸에르토리코 소비자 문제부는 이러한 취지의 불만을 "균등하게 취급"[18] 경제 차별 사이트에 접수했다.

강력한 고객 인증으로서의 3-D 보안

1회용 패스코드를 내장한 3-D Secure 버전2는 EU의 PSD2(Revisioned Directive on Payment Services)에서 정의된 소프트웨어 기반의 강력한 고객 인증 형식입니다.이러한 패스워드는 이전 버전에서는 이 명령의 요건을 충족하기에 충분하지 않습니다.

3-D Secure는 발급자가 적극적으로 관여하고 발급된 카드가 카드 소유자에 의해 등록되도록 하는 것에 의존합니다.따라서, 취득자는 강력한 고객 인증을 실시하지 않고 미등록 카드를 받아들이거나, 3-D Secure를 실장하지 않은 소규모 카드 스킴을 포함한 이러한 거래를 거부해야 합니다.

대체 접근법은 발행자에 대한 사전 등록 없이 취득 측에서 인증을 수행합니다.예를 들어, PayPal의 특허받은 '검증'[19]은 하나 이상의 더미 거래를 신용 카드로 향하게 하고, 카드 소유자는 이러한 거래의 가치를 확인해야 하며, 그 결과 발생하는 인증이 가맹점과 카드 소유자 간의 특정 거래와 직접 관련될 수는 없다.iSignthis라고 불리는[20] 특허 시스템은 합의된 거래 금액을 두 개 이상의 임의 금액으로 나누고 카드 소유자는 명세서 [21]금액을 확인함으로써 그들이 계정의 소유주임을 증명한다.

ACCC 블록 3-D 안전한 제안

호주에서 3-D Secure를 의무화하는 제안은 수많은 이의 신청과 결함 관련 제출을 [22]받은 후 호주 경쟁 소비자 위원회(ACC)에 의해 저지되었습니다.

인도

인도 등 일부 국가에서는 CVV2뿐만 아니라 카드사에서 발송한 SMS 코드인 3-D Secure를 의무적으로 사용하고 있으며, 결제 시스템 또는 카드사 시스템 사이트로 "구입"을 클릭하면 해당 코드가 입력되고 조작이 허용됩니다.그럼에도 불구하고 아마존은 3-D Secure를 [23]켜면 다른 나라에서도 거래를 할 수 있다.

3-D Secure 2.0

2016년 10월, EMVCo는 3D Secure 2.0의 사양을 공개했습니다.이 규격의 최초 버전보다 간섭이 적도록 설계되었기 때문에 거래의 위험을 검증하고 평가하기 위해 고객의 카드사에 더 많은 상황별 데이터(메일 주소 및 거래 내역 포함)를 전송할 수 있습니다.고객은 자신의 트랜잭션이 위험성이 높다고 판단될 경우에만 인증 도전을 통과해야 합니다.또, 인증의 워크플로우는, 다른 페이지로 리다이렉트 할 필요가 없어져, 기관의 모바일 앱에 의한 대역외 인증(바이오메트릭 인증에도 사용할 수 있다)도 가능하게 되어 있습니다.3-D Secure 2.0은 EU의 "강력한 고객 인증"[5][24][25] 규정에 준거하고 있습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ "3-D Secure".
  2. ^ "Visa USA tightens security with Arcot". ZDnet.
  3. ^ "ProtectBuy". discover.com. Archived from the original on 2019-08-22. Retrieved 2019-08-22.
  4. ^ "SafeKey". AmericanExpress.com. Archived from the original on 2011-08-07. Retrieved 2010-08-11.
  5. ^ a b "Merchants can't let 'PSD2' and 'SCA' be vague initials". PaymentsSource. 12 June 2019. Retrieved 2019-07-11.
  6. ^ a b c Murdoch, Steven J.; Anderson, Ross (25–28 January 2010). Sion, R. (ed.). Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication (PDF). Financial Cryptography and Data Security FC2010. Vol. 6052. Tenerife: Springer. pp. 336–342. doi:10.1007/978-3-642-14577-3_27. ISBN 978-3-642-14992-4. Retrieved 2012-04-23.
  7. ^ a b "Verified by Visa Implementation Guide" (PDF).
  8. ^ "Are Verified by Visa and MasterCard SecureCode Conversion Killers?". practicalecommerce.com. 14 June 2013. Retrieved 2013-07-30. 이 2010년 조사에서는 신규 가입 가맹점의 포기 거래 건수가 10~12% 증가했습니다.
  9. ^ "Card authentication and 3D Secure". stripe.com. Retrieved 2021-08-25.
  10. ^ "What is 3D Secure? Advantages for E-commerce". MONEI. Retrieved 2021-08-25.
  11. ^ "Antiworm: Verified by Visa (Veriphied Phishing?)". Antiworm.blogspot.com. 2006-02-02. Retrieved 2010-08-11.
  12. ^ Muncaster, Phil. "Industry lays into 3-D Secure - 11 Apr 2008". IT Week. Archived from the original on 2008-10-07. Retrieved 2010-08-11.
  13. ^ Brignall, Miles (2007-04-21). "Verified by Visa scheme confuses thousands of internet shoppers". The Guardian. London. Archived from the original on 6 May 2010. Retrieved 2010-04-23.
  14. ^ "Is securesuite.co.uk a phishing scam?". Ambrand.com. Archived from the original on 2010-06-16. Retrieved 2010-08-11.
  15. ^ "Verified By Visa Activation – Visa Phishing Scams". MillerSmiles.co.uk. 2006-08-22. Archived from the original on 8 July 2010. Retrieved 2010-08-11.
  16. ^ "Verified by Visa FAQs". www.visa.co.uk. Retrieved 6 October 2016.
  17. ^ "Activation During Shopping" (PDF). Visa Europe. Retrieved 2010-08-11.
  18. ^ "daco.pr.gov". daco.pr.gov. Archived from the original on 2014-08-12. Retrieved 2014-07-17.
  19. ^ "US2001021725 System and Method for Verifying a Financial Instrument". Patentscope.wipo.int. 2002-01-17. Retrieved 2014-07-17.
  20. ^ "AU2011000377 Methods and Systems for Verifying Transactions". Patentscope.wipo.int. Retrieved 2014-07-17.
  21. ^ "EPCA Payment Summit: iSignthis presents its authentication service as an alternative to 3D Secure". The Paypers. Archived from the original on 2013-11-01. Retrieved 2014-07-17.
  22. ^ "ACCC Releases Draft Determination Against Mandated Use Of 3D Secure For Online Payments".
  23. ^ "Amazon.in Help: About CVV and 3-D Secure". www.amazon.in. Archived from the original on 2021-06-24. Retrieved 2020-06-17. 3-D secure password has been made mandatory by the Reserve Bank of India to ensure safer online shopping. This will prevent misuse of a lost/stolen card as the user will be unable to proceed unless they enter the password associated with your card, created by yourself and known only to you.
  24. ^ "Adyen Touts Its 3-D Secure 2.0 Service As "First" to Market". Digital Transactions. Retrieved 2019-07-11.
  25. ^ Godement, Olivier. "Stripe: 3D Secure 2 - Guide to 3DS2 Authentication". Stripe. Retrieved 2019-07-11.

외부 링크