EMV

EMV
5143773081812421

EMV는 스마트 결제 카드, 결제 단말기, 현금 자동 입출금기대한 기술 표준을 기반으로 한 결제 수단입니다.EMV는 Europay, Mastercard, Visa의 약자로 이 표준을 [1]만든 3개 회사입니다.

EMV카드는 칩카드, 집적회로카드 또는 IC카드라고도 불리는 스마트카드이며 데이터집적회로칩에 저장하여 하위 호환성을 위한 마그네틱 스트라이프입니다.여기에는 리더에 물리적으로 삽입 또는 "삽입"해야 하는 카드와 근거리 통신 기술을 사용하여 짧은 거리에서 읽을 수 있는 비접촉식 카드가 포함됩니다.EMV 표준에 준거한 지불카드는 개인식별번호(PIN)나 디지털 서명 등 카드 발행자가 사용하는 인증방법에 따라 칩과 PIN 또는 칩과 시그니처 카드라고 불리는 경우가 많습니다.ISO/IEC 7816비접촉식 카드(Mastercard Contactless, Visa PayWave, American Express Pay)[2][better source needed]의 경우 ISO/IEC 14443을 기반으로 표준이 존재합니다.

역사

칩&PIN이 도입되기 전까지 모든 대면 신용카드 또는 직불카드 거래에는 자기 스트라이프 또는 기계식 임프린트를 사용하여 계정 데이터를 읽고 기록하며 본인 확인을 위한 서명이 필요했습니다.고객은 판매 시점에 카드를 계산원에게 건네고 계산원은 카드를 마그네틱 리더를 통해 전달하거나 카드의 인쇄된 텍스트로 인쇄합니다.전자의 경우, 시스템은 계좌의 상세 내용을 확인하고 고객이 서명할 수 있도록 전표를 인쇄합니다.기계인쇄의 경우 거래내역을 기입하고 도난번호 일람표를 조회한 후 고객이 날인한 전표에 서명한다.두 경우 모두 출납원은 고객의 서명이 카드 뒷면에 기재된 서명과 일치하는지 확인하여 거래를 인증해야 거래를 인증할 수 있습니다.

카드의 서명을 검증 방법으로 사용하는 것에는 많은 보안상의 결함이 있습니다.가장 분명한 것은 합법적인 소유자가 서명하기 전에 카드를 분실할 가능성이 있다는 것입니다.또 하나는 합법적인 서명의 삭제와 치환이고, 또 다른 하나는 정확한 서명의 위조를 포함합니다.

1959년 실리콘 집적회로 칩의 발명은 1960년대 후반 헬무트 그뢰트럽위르겐 [3]데틀로프라는 두 독일 엔지니어에 의해 플라스틱 스마트 카드에 실리콘 집적회로 칩을 통합하는 아이디어로 이어졌다.최초의 스마트 카드는 1970년대에 전화 카드로 도입되었고, 나중에 결제 [4][5]카드로 사용하기 위해 개조되었다.이후 스마트카드는 플래시 메모리 EEPROM(전기적으로 소거 가능한 프로그램 가능 읽기 전용 메모리)[6]같은 MOS 메모리 기술과 함께 MOS 집적회로 칩을 사용해 왔습니다.

스마트 결제 카드의 첫 번째 표준은 1986년 프랑스에 배치된 Bull-CP8의 카르테 방카레 B0M4였으며, 1989년에 배치된 B4B0' (M4와 호환)이 뒤를 이었다.독일의 Geldkarte도 EMV보다 앞서 있습니다.EMV는 카드와 단말기가 이러한 표준에 역호환할 수 있도록 설계되었습니다.이후 프랑스는 모든 카드와 단말 인프라스트럭처를 EMV로 이행했다.

EMV는 Europay, Mastercard, Visa의 약자로, 이 표준을 만든 세 회사입니다.이 표준은 현재 Visa, Mastercard, JCB, American Express, China Union Pay [7]Discover로 균등하게 분할된 컨소시엄인 EMVCo에 의해 관리되고 있습니다.또한 EMVCo는 EMV 사양 및 관련 [8]프로세스에 관련된 세부 기술 및 운영 문제에 대해 의견을 제공하고 피드백을 받을 수 있는 기업인 "어소시에이트"를 지칭합니다.

JCB는 2009년 2월에, China Union Pay는 2013년 [9]5월에, Discovery는 2013년 [10]9월에 컨소시엄에 가입했습니다.

차이점과 이점

스마트카드 기반의 신용카드 결제시스템으로 이행할 경우 보안 향상(사기 감소 포함)과 신용카드 거래 승인을 보다 세밀하게 제어할 수 있는 가능성 등 두 가지 주요 이점이 있습니다.EMV의 원래 목표 중 하나는 신용카드 및 직불카드 애플리케이션 또는 전자퍼스를 위해 카드에 여러 애플리케이션을 제공하는 것이었다.미국의[when?] 신간 직불카드에는 카드 어소시에이션(Visa, Mastercard 등) 어플리케이션과 공통 직불 어플리케이션의 2가지 어플리케이션이 포함되어 있습니다.공통 직불 어플리케이션 ID는 각 "공통" 직불 어플리케이션이 실제로 거주자 카드 [11]연합 어플리케이션을 사용하기 때문에 다소 잘못된 명칭입니다.

EMV 칩카드 거래는 홀로그램 등의 특징을 확인하기 위해 카드 소지자의 서명과 육안 검사에 의존하는 마그네틱 스트라이프 카드 거래보다 사기 방지 보안이 향상됩니다.PIN 및 Triple DES, RSA SHA 등의 암호화 알고리즘을 사용하면 처리 단말기와 카드 발급자의 호스트 시스템에 대한 카드 인증이 제공됩니다.처리 시간은 통신 지연이 대부분을 차지하는 온라인 트랜잭션과 비슷하지만 단말기에서의 암호화 작업은 비교적 적은 시간이 소요됩니다.사기에 대한 보호 강화로 인해 은행과 신용카드 발행사는 "책임 이행"을 추진할 수 있게 되었고, 이제 가맹점은 EMV를 사용할 [1][12][13]수 없는 시스템의 거래로 인해 발생하는 사기에 대해 책임을 져야 한다(2005년 1월 1일 현재, 그리고 2015년 10월 1일 현재).EMV 카드와 단말기의 대부분은 종이 영수증에 서명하는 대신 개인 식별 번호(PIN) 입력을 요구함으로써 카드 소유자의 신원을 확인합니다.PIN 인증의 실행 여부는 단말기의 기능과 카드의 프로그래밍에 따라 달라집니다.

신용카드가 처음 도입되었을 때, 상인들은 자석식 휴대용 카드 임프린터가 아닌 기계식 카드 임프린터를 사용했는데, 이 임프린터는 탄소지가 찍혀야 했다.그들은 카드 발급자와 전자적으로 통신하지 않았고 카드는 고객의 시야에서 떠나지 않았다.가맹점은 카드사에 전화를 걸어 일정 통화 한도를 넘는 거래를 확인해야 했다.1970년대 미국에서 많은 상인들은 정기적으로 갱신된 도난 또는 유효하지 않은 신용카드 번호 목록을 구독했다.이 목록은 보통 신문용지에 소책자 형태로 번호순으로 인쇄되며, 얇은 전화번호부처럼 보이지만 유효하지 않은 번호 목록 외에는 아무런 데이터도 없다.계산원은 거래를 승인하기 전에 신용카드를 제시할 때마다 이 소책자를 훑어보아야 했고, 이 소책자는 잠시 [14]지연되었다.

나중에 기기는 마그네틱 스트라이프의 정보를 사용하여 카드를 확인하고 거래를 승인하기 위해 카드 발급사에 전자적으로 연락했습니다.이것은 이전보다 훨씬 더 빨랐지만, 고정된 장소에서 트랜잭션을 수행해야 했습니다.그 결과, 거래가 터미널 부근(예를 들어 레스토랑 등)에서 이루어지지 않는 경우, 점원이나 웨이터는 카드를 고객으로부터 카드 기계로 가져가야 했습니다.부정직한 직원이 카드와 스트라이프의 정보를 즉시 기록하는 값싼 기계를 통해 몰래 카드를 긁는 것은 언제든지 가능했다. 사실, 단말기에서조차 도둑이 고객 앞에 엎드려 카드를 몰래 훔쳐볼 수 있었다.이것은 카드의 불법 복제를 비교적 쉽게 [citation needed]만들었으며 이전보다 더 흔한 일이 되었다.

결제카드 Chip과 PIN이 도입된 이후 칩 복제는 불가능하고 자기 스트라이프만 복사할 수 있으며 PIN이 필요한 단말기에서 복사된 카드를 단독으로 사용할 수 없습니다.칩과 PIN의 도입은 무선 데이터 전송 기술이 저렴해지고 널리 보급되면서 동시에 이루어졌습니다.휴대 전화 기반의 마그네틱 리더에 가세해, 가맹점의 종업원이 무선 PIN 패드를 고객에게 가지고 갈 수 있게 되어, 카드가 카드 소지자의 시야에서 벗어날 수 없게 되었습니다.따라서 칩 앤 PIN 테크놀로지와 무선 테크놀로지를 모두 사용하여 부정 스위핑 및 카드 [15]클로닝의 위험을 줄일 수 있습니다.

칩 및 PIN과 칩 및 시그니처 비교

칩과 PIN은 EMV 대응 카드로 사용할 [14]수 있는2가지 검증 방법 중 하나입니다.사용자는 식별을 위해 영수증에 물리적으로 서명하지 않고 보통 4~6자리 길이의 개인 식별 번호(PIN)를 입력합니다.이 번호는 칩에 저장된 정보와 일치해야 합니다.칩과 PIN 기술은 누군가가 카드를 훔치는 것처럼 PIN을 모르면 사기 구매를 할 수 없도록 사기범들이 발견된 카드를 사용하는 것을 훨씬 더 어렵게 만든다.

반면 칩과 시그니처는 서명을 [16]통해 소비자 신원을 확인함으로써 칩이나 PIN과 차별화된다.

2015년 현재 칩과 시그니처 카드는 미국, 멕시코, 남미 일부 지역(아르헨티나, 콜롬비아, 페루 등) 및 일부 아시아 국가(대만, 홍콩, 태국, 한국, 싱가포르, 인도네시아 등)에서 더 많이 사용되고 있는 반면 칩과 PIN 카드는 대부분의 유럽 국가(예: 프랑스, 아일랜드)에서 더 많이 사용되고 있습니다.이란, 브라질, 베네수엘라, 인도, 스리랑카, 캐나다, 호주,[17][18] 뉴질랜드 등에서도 마찬가지입니다.

온라인, 전화 및 우편 주문 트랜잭션

EMV 기술을 통해 판매 시점에서의 범죄가 감소했지만, 사기성 트랜잭션은 더 취약한 전화, 인터넷통신 주문 트랜잭션(업계에서는 카드 없음 또는 CNP [19]트랜잭션으로 알려져 있음)으로 전환되었습니다.CNP 거래는 모든 신용카드 [20]사기의 최소 50%를 차지한다.물리적인 거리 때문에, 이러한 경우, 판매자는 고객에게 키패드를 제시할 수 없기 때문에, 다음과 같은 대체 방법이 고안되었습니다.

  • Visa 및 Mastercard SecureCode(Visa의 3-D Secure 프로토콜 구현)와 같이 카드 발급 은행 또는 네트워크 웹 사이트와의 상호작용을 수반하는 온라인 거래를 위한 소프트웨어 접근법입니다.3-D Secure는 유럽 세컨드 결제 서비스 지침에 정의강력한 고객 인증으로 대체되었습니다.
  • 지정된 최대 용량을 가진 물리적 카드에 연결된 일회성 가상 카드 생성.
  • 칩 인증 프로그램1회성 패스워드를 생성할 수 있는 키패드 및 화면이 있는 추가 하드웨어.
  • 키패드와 화면을 복잡한 카드에 통합하여 원타임 패스워드를 생성합니다.Visa는 2008년부터 Emue 카드를 사용하여 파일럿 프로젝트를 진행하고 있습니다.이 테스트에서는 생성된 번호가 표준 [21]카드 뒷면에 인쇄된 코드를 대체하고 있습니다.

뉴욕타임스는 어느 쪽이 빠른지에 대해 인식의 문제라고 설명했다. 칩 방식은 거래와 승인 절차가 완료될 때까지 칩을 기계 안에 넣어두어야 하지만 폰 스와이프 방식은 백그라운드에서 승인을 하고 바로 [22]영수증이 나오기 시작한다.

명령어

ISO/IEC 7816-3은 칩 카드와 리더 사이의 전송 프로토콜을 정의합니다.이 프로토콜을 사용하면 APDU(Application Protocol Data Unit)에서 데이터가 교환됩니다.여기에는 카드에 대한 명령어 전송, 카드 처리 및 응답 전송이 포함됩니다.EMV는 다음 명령을 사용합니다.

  • 응용 프로그램 블록
  • 응용 프로그램 차단 해제
  • 카드 블록
  • 외부인증(7816-4)
  • 응용 프로그램 암호문 생성
  • 데이터 가져오기(7816-4)
  • 처리 옵션을 취득하다
  • 내부 인증(7816-4)
  • PIN 변경/차단 해제
  • 판독 레코드(7816-4)
  • 선택(7816-4)
  • 확인(7816-4)

"7816-4" 뒤에 이어지는 명령어는 ISO/IEC 7816-4에 정의되어 있으며 GSM SIM 카드와 같은 많은 칩 카드 애플리케이션에서 사용되는 업계 간 명령어입니다.

트랜잭션 흐름

EMV 트랜잭션에는 다음 [23][third-party source needed]단계가 있습니다.

응용 프로그램 선택

ISO/IEC 7816은 애플리케이션 선택을 위한 프로세스를 정의한다.애플리케이션 선택의 목적은 카드에 완전히 다른 애플리케이션 (를 들어 GSM과 EMV)이 포함되도록 하는 것이었습니다. 그러나, EMV 개발자들은 제품 유형을 식별하는 방법으로 애플리케이션 선택을 구현하여 모든 제품 발행자 (Visa, Mastercard 등)가 자체 애플리케이션을 가져야 합니다.EMV에서 애플리케이션 선택을 규정하는 방법은 카드와 단말기 간의 상호 운용성 문제의 원인이 됩니다.EMV 표준의 제1권에서는[24], 애플리케이션 선택 프로세스를 15 페이지 분량 설명하고 있습니다.

Application Identifier(AID; 응용 프로그램 식별자)는 카드 또는 Host Card Emulation(HCE; 호스트 카드 에뮬레이션) 내의 응용 프로그램을 카드 없이 전송하기 위해 사용됩니다.AID는 5바이트의 Registered Application Provider Identifier(RID; 등록 어플리케이션프로바이더 식별자)로 구성됩니다.이것은 ISO/IEC 7816-5 등록국에서 발행됩니다. 후, 독자적인 애플리케이션 식별자 확장(PIX)을 실시해, 애플리케이션 프로바이더가 제공하는 다양한 애플리케이션을 구별할 수 있도록 합니다.AID는 모든 EMV 카드 소유자 영수증에 인쇄됩니다.카드 발급자는 카드 네트워크 이름에서 응용 프로그램 이름을 변경할 수 있습니다.를 들어, Chase는 비자카드의 Visa 어플리케이션의 이름을 "CHASE VISA"로, 마스터카드의 Mastercard 어플리케이션의 이름을 "CHASE MASTERCARD"로 변경합니다.Capital One은 마스터카드 어플리케이션의 이름을 "CAPITIA ONE"으로 변경합니다.그 이외의 어플리케이션은 동일합니다.[a]

응용 프로그램 목록:

카드 스킴/결제 네트워크 리드 제품. PIX 구호.
Danmönt (덴마크) A0000001 현금 카드 1010 A00000011010
비자(미국) A0000003 비자 크레딧 또는 직불 1010 A00000031010
Visa 2010 A00000032010
V페이 2020 A00000032020
플러스 8010 A00000038010
마스터 카드(미국) A000000004 마스터카드 크레딧 또는 직불 1010 A00000041010
마스터 카드[25] 9999 A0000004999
마에스트로 3060 A00000043060
Cirrus ATM 카드만 6000 A00000046000
인증 프로그램 보안 코드 8002 A00000048002
마스터 카드 A000000005 마에스트로 영국
(이전 스위치)
0001 A00000050001
아메리칸 익스프레스(USA) A000000025 아메리칸 익스프레스 01 A00000002501
아메리칸 익스프레스(USA) A000000790 아메리칸 익스프레스(중국 직불 및 신용카드) 01 A000079001
US Debit (모든 은행 간 네트워크) (미국) A000000098 비자 브랜드 카드 0840 A0000000980840
A000000004 마스터 카드 브랜드 카드 2203 A00000042203
A0000152 검출 브랜드 카드 4010 A00001524010
Menards Credit Card (점포 카드) (미국) A000000817 002001 A0000817002001
LINK ATM 네트워크(영국) A000000029 ATM 카드 1010 A0000000291010
CB(프랑스) A000000042 CB(신용카드 또는 직불카드) 1010 A0000000421010
CB(데빗카드만) 2010 A0000000422010
JCB(일본) A000000065 재팬 크레디렉트뷰로 1010 A0000000651010
Dankort (덴마크) A000000121 단코트 1010 A0000001211010
비자당코트 4711 A0000001214711
Dankort (J/speedy) 4712 A00001214712
콘소르지오 반코마트(이탈리아) A000000141 반코마트/파고반코마트 0001 A00001410001
다이너스 클럽/디스커버(미국) A0000152 다이너스 클럽 / 디스커버 3010 A00001523010
반리술(브라질) A0000154 바리콤프라스 데비토 4442 A000015442
SPAN2(사우디아라비아) A0000228 기간 1010 A00002281010
인터악(캐나다) A000000277 직불카드 1010 A00002771010
검출(미국) A000000324 지퍼 1010 A00000032410
Union Pay (중국) A000000333 차변 010101 A00003330101
신용 거래 010102 A00003330102
준학점 010103 A00003330103
전자화폐 010106 A00003330106
ZKA(독일) A000000359 지로카드 1010028001 A00003591010028001
EAPS Bancomat (이탈리아) A000000359 파고반코마트 10100380 A000035910100380
베르베(나이지리아) A0000371 베베 0001 A00003710001
Exchange 네트워크 ATM 네트워크(캐나다/미국) A000000439 ATM 카드 1010 A00000043910
RuPay(인도) A000000524 루페이 1010 A0000005241010
Dinube(스페인) A000000630 Dinube 지불 개시(PSD2) 0101 A0000006300101
MIR(러시아) A0000658 MIR 차변 2010 A00006582010
MIR 크레딧 1010 A00006581010
에덴레드(벨기에) A000000436 티켓 레스토랑 0100 A00004360100
eftpos(호주) A0000384 절감액(직불카드) 10 A000038410
수표(직불카드) 20 A000038420
김미모아


(서아프리카 8개국:베냉, 부르키나파소, 코트디부아르, 기니비사우, 말리, 니제르, 세네갈, 토고)

A000000337 재평가 01 000001 A0000337301000
표준. 01 000002 A0000337101000
클래식 01 000003 A000000337102000
선불 온라인 01 000004 A0000337101001
선불 가능 파일 오프라인 01 000005 A0000337102001
포르테 모나리에 일렉트로닉 01 000006 A0000337601001
meza(이집트) A000000732 meeza 카드 100123 A0000732100123
수은(UAE) A000000529 머큐리 카드 1010 A00005291010

응용 프로그램 처리 시작

단말기는 get processing options 명령을 카드로 전송합니다.이 명령어를 발행하면 단말기는 카드에 대해 Processing Options Data Objects List(PDOL; 처리옵션 데이터 객체리스트) 내의 모든 데이터 요소를 제공합니다.PDOL(태그 및 데이터 요소의 길이 목록)은 응용 프로그램 선택 에 카드에 의해 단말기에 옵션으로 제공됩니다.카드는 트랜잭션 처리 시 실행하는 기능의 목록인 Application Interchange Profile(AIP; 응용 프로그램인터체인지 프로파일)로 응답합니다.또, 카드에는, 단말기가 [citation needed]카드에서 읽어낼 필요가 있는 파일 및 레코드의 리스트인 Application File Locator(AFL)도 준비되어 있습니다.

응용 프로그램 데이터 읽기

스마트 카드는 데이터를 파일에 저장합니다.AFL 에는, EMV 데이터가 격납되어 있는 파일이 포함됩니다.모두 read record 명령을 사용하여 읽어야 합니다.EMV는 데이터가 저장되는 파일을 지정하지 않으므로 모든 파일을 읽어야 합니다.이러한 파일의 데이터는 BER TLV 형식으로 저장됩니다.EMV는 카드 [26]처리에 사용되는 모든 데이터에 대한 태그 값을 정의합니다.

처리 제한

처리 제한의 목적은 카드를 사용할 필요가 있는지 확인하는 것입니다.이전 단계에서 읽은 세 가지 데이터 요소가 검사됩니다.응용 프로그램 버전 번호, 응용 프로그램 사용 관리(카드가 국내 전용인지 여부 등), 응용 프로그램 유효/유효기간 확인.[citation needed]

이러한 체크 중 하나가 실패해도 카드는 반드시 거부되지 않습니다.단말기는 Terminal Verification Results(TVR; 단말 검증 결과)에서 적절한 비트를 설정합니다.이 컴포넌트는 트랜잭션흐름의 후반부에서 수용/감소 결정의 기초를 형성합니다.예를 들어, 이 기능을 사용하면 카드 발급자는 유효기간이 지난 카드를 계속 사용할 수 있지만 유효기간이 지난 카드를 가진 모든 트랜잭션을 [citation needed]온라인으로 실행할 수 있습니다.

오프라인 데이터 인증(ODA)

오프라인 데이터 인증은 공개키 암호화를 사용하여 카드를 검증하는 암호화 검사입니다.카드에 [citation needed]따라 다음 세 가지 프로세스를 수행할 수 있습니다.

  • 정적 데이터 인증(SDA)을 사용하면 카드에서 읽은 데이터가 카드 발급자에 의해 서명된 것을 확인할 수 있습니다.이렇게 하면 데이터 수정은 방지되지만 복제는 방지되지 않습니다.
  • DDA(Dynamic Data Authentication)는 데이터 수정 및 클로닝으로부터 보호합니다.
  • 복합 DDA/Generate Application Cryptogram(CDA)은 카드의 유효성을 보증하기 위해 DDA와 카드의 애플리케이션 Cryptogram 생성을 결합합니다.이 프로세스는 특정 시장에서 구현되었기 때문에 디바이스에서의 CDA 지원이 필요할 수 있습니다.이 프로세스는 단말기에서 필수가 아니며 카드와 단말기가 [citation needed]모두 지원하는 경우에만 수행할 수 있습니다.

EMV 증명서

지불 카드의 신뢰성을 확인하기 위해서, EMV 증명서를 사용합니다.EMV Certificate[27] Authority는 디지털 증명서를 결제 카드 발급자에게 발급합니다.결제카드칩은 요청 시 카드사의 공개키 증명서와 SSAD를 단말기에 제공한다.단말기는 로컬스토리지에서 CA의 공개키를 취득하여 CA에 대한 신뢰를 확인하고 신뢰할 수 있는 경우 카드 발행자의 공개키가 CA에 의해 서명되었음을 확인하기 위해 사용합니다.카드사의 공개 키가 유효한 경우 단말기는 카드사의 공개 키를 사용하여 카드사의 SSAD가 카드사의 [28]서명을 받았는지 확인합니다.

카드 소유자 확인

카드 소유자 확인은 카드를 제시한 사람이 합법적인 카드 소유자인지 여부를 평가하기 위해 사용됩니다.EMV에서는 많은 Cardholder Verification Method(CVM; 카드 소유자 검증 방식)가 지원됩니다.그들은[citation needed]

  • 서명
  • 오프라인 보통 텍스트 PIN
  • 오프라인 암호화 PIN
  • 오프라인 일반 텍스트 PIN 및 서명
  • 오프라인 암호화 PIN 및 서명
  • 온라인 PIN
  • CVM 불필요
  • 컨슈머 디바이스 CVM
  • CVM 처리 실패

단말기는 카드에서 읽어낸 CVM 목록을 사용하여 실행할 검증 유형을 결정합니다.CVM 목록은 단말기의 기능에 대해 사용하는 CVM의 우선순위를 설정합니다.단말마다 다른 CVM을 지원합니다.ATM은 일반적으로 온라인 PIN을 지원합니다.POS 단말기는 유형과 국가에 [citation needed]따라 CVM 지원이 다릅니다.

오프라인 암호화 PIN 방식의 경우 단말기는 검증 명령어를 사용하여 카드로 전송하기 전에 카드의 공개 키로 클리어 텍스트 PIN 블록을 암호화합니다.온라인 PIN 방법은 클리어텍스트 PIN 블록을 단말기에 의해 포인트 투 포인트 암호키를 이용해 암호화한 후 인가 요구 메시지에서 취득자 프로세서에 송신한다.

모든 오프라인 방식은 중간자 공격에 취약합니다.2017년, EMVCo는 EMV [29]사양 버전 4.3에서 바이오메트릭 검증 방법에 대한 지원을 추가했습니다.

단말리스크 관리

터미널 리스크 관리는 트랜잭션을 온라인이냐 오프라인이냐가 결정되는 디바이스에서만 실행됩니다.트랜잭션이 항상 온라인(ATM 등) 또는 항상 오프라인으로 실행되는 경우 이 단계를 건너뛸 수 있습니다.단말기 리스크 관리는 거래금액을 오프라인 상한액(온라인에서 처리해야 하는 거래금액 이상)과 대조하여 확인합니다.온라인 카운터에 1을 붙이고 핫카드목록에 체크할 수도 있습니다(오프라인 트랜잭션에만 필요).이러한 테스트 중 하나의 결과가 양성이면 단말기는 Terminal Verification Results(TVR;[30] 단말 검증 결과)에서 적절한 비트를 설정합니다.

단말 액션 분석

이전 처리 단계의 결과는 트랜잭션을 오프라인으로 승인할지, 승인을 위해 온라인으로 전송할지 또는 오프라인으로 거부할지 결정하는 데 사용됩니다.이것은 단말기에 보관되어 있는 Terminal Action Code(TAC; 터미널 액션코드)라고 불리는 데이터 객체와 카드에서 읽어낸 IAC(발행자 액션코드)의 조합을 사용하여 이루어집니다.TAC는 거래 취득자에게 거래 결과에 대한 통제 수준을 제공하기 위해 IAC와 논리적으로 OR'd된다.두 작업 코드 유형 모두 Denial, Online 및 Default 값을 사용합니다.각 액션 코드는, Terminal Verification Results(TVR; 단말 검증 결과)의 비트에 대응하는 일련의 비트를 포함하고, 지불 거래를 받아들일지, 거부할지를, 또는 온라인으로 할지를 단말기의 결정에 사용된다.TAC는 카드 취득자에 의해 설정됩니다.실천 카드 방식에서는 기능에 따라 특정 단말기 유형에 대해 사용해야 하는 TAC 설정을 권장합니다.IAC는 카드 발행자가 설정합니다.일부 카드 발행자는 Denial IAC에서 적절한 비트를 설정하여 유효기간이 지난 카드를 거부해야 한다고 결정할 수 있습니다.다른 발행자는 경우에 따라서는 이러한 트랜잭션을 실행할 [31][better source needed]수 있도록 트랜잭션을 온라인으로 진행하기를 원할 수 있습니다.

온라인 전용 디바이스가 IAC(온라인 및 TAC)를 실행하는 경우 관련된 TVR 비트는 "Transaction value exceeds the floor limit"뿐입니다.상한선이 0으로 설정되어 있기 때문에 트랜잭션은 항상 온라인으로 진행되며 TAC(온라인 또는 IAC)의 다른 모든 값은 관련이 없습니다.온라인 전용 디바이스에서는 IAC 디폴트 처리를 실행할 필요가 없습니다.ATM 등의 온라인 전용 디바이스는 발행자 액션코드(거부 설정)로 인해 오프라인이 거부되지 않는 한 인가 요구에 따라 항상 온라인이 되려고 합니다.온라인 전용 디바이스의 IAC(거부 및 TAC) 거부 처리 중 관련된 단말 검증 결과 비트는 "Service not [32]allowed"뿐입니다.

첫 번째 카드 액션 분석

Read 어플리케이션 데이터 스테이지에서 카드에서 읽어낸 데이터 객체 중 하나는 CDOL1(Card Data Object List)입니다.이 오브젝트는 트랜잭션(트랜잭션 금액 포함)을 승인할지 거부할지를 결정하기 위해 카드로 전송되는 태그 목록입니다.단말기는 이 데이터를 전송하고 generate application cryptogram 명령을 사용하여 암호문을 요구합니다.단말기의 결정(오프라인, 온라인, 거부)에 따라 단말기는 [citation needed]다음 중 하나의 암호문을 카드에 요구합니다.

  • 트랜잭션 증명서(TC): 오프라인 승인
  • Authorization Request Cryptogram(ARQC): 온라인 인가
  • Application Authentication Cryptogram(AAC): 오프라인 사양

이 단계를 통해 카드는 단말기의 액션 분석을 받아들이거나 트랜잭션을 거부하거나 트랜잭션을 온라인으로 강제할 수 있습니다.카드는 ARQC가 요구되었을 때 TC를 반환할 수 없지만 TC가 [32]요구되었을 때 ARQC를 반환할 수 있습니다.

온라인 거래 승인

ARQC가 요청되면 트랜잭션은 온라인으로 전환됩니다.ARQC는 인가 메시지로 전송됩니다.카드는 ARQC를 생성합니다.포맷은 카드 어플리케이션에 따라 달라집니다.EMV는 ARQC의 내용을 지정하지 않습니다.카드 어플리케이션에 의해 작성된 ARQC는 거래내역의 디지털 서명이며, 카드 발급자는 이를 실시간으로 확인할 수 있습니다.이것에 의해, 카드가 정품인지 아닌지를 강하게 암호화 체크할 수 있습니다.발행자는 인가 요구에 응답 코드(트랜잭션을 수락 또는 거부함), Authorization Response Cryptogram(ARPC) 및 옵션으로 발행자 스크립트([32]카드로 전송되는 일련의 명령어)로 응답합니다.

EMV용 Visa Quick[33] Chip 및 Mastercard M/Chip [34]Fast로 처리되는 컨택트랜잭션 및 스킴 간 비접촉트랜잭션에서는 ARQC 생성 후 카드가 리더에서 분리되기 때문에 ARPC 처리는 실행되지 않습니다.

두 번째 카드 액션 분석

CDOL2(Card data object list)에는 온라인 거래 승인 후 카드 발송을 원하는 태그 목록이 포함되어 있습니다(응답 코드, ARPC 등).어떠한 이유로 단말기가 온라인이 되지 않는 경우(통신 장애 등), 단말기는 generate authorization cryptogram 명령을 사용하여 이 데이터를 다시 카드로 전송해야 합니다.그러면 카드가 발급자의 반응을 알 수 있습니다.그러면 카드 애플리케이션이 오프라인 사용 제한을 재설정할 수 있습니다.

발행자 스크립트 처리

카드사가 카드 포스트 발급 갱신을 원할 경우 발급사 스크립트 처리를 통해 카드에 명령을 전송할 수 있습니다.발급자 스크립트는 단말기에 의미가 없으며 카드와 발급자 간에 암호화하여 보안을 강화할 수 있습니다.발급자 스크립트를 사용하여 카드를 차단하거나 카드 [35]파라미터를 변경할 수 있습니다.

EMV 및 Mastercard M[33]/ChipFast용 Visa Quick [34]Chip으로 처리되는 컨택트랜잭션 및 스킴 간 비접촉트랜잭션에서는 발급자 스크립트 처리를 사용할 수 없습니다.

EMV 칩 사양

신용 카드 전면의 전기 인터페이스용 접점 패드

EMV 표준의 첫 번째 버전은 1995년에 출판되었습니다.현재 이 표준은 개인 소유 법인 EMVCo LLC에 의해 정의되고 있습니다.EMVCo의[36] 현재 회원은 American Express, Discover Financial, JCB International, Mastercard, China Union Pay 및 Visa Inc.입니다.이들 조직 각각은 EMVCo의 동등한 지분을 소유하고 있으며 EMVCo 조직 및 EMVCo 작업 그룹에 대표자를 두고 있다.

EMV 표준 준수 인정(즉, 장치 인증)은 공인 [citation needed]시험소가 수행한 시험 결과를 제출한 후 EMVCo에 의해 발급된다.

EMV 컴플라이언스 테스트에는 물리, 전기 및 트랜스포트 레벨인터페이스를 망라하는 EMV 레벨1과 지불 어플리케이션 선택 및 신용금융거래 처리를 [citation needed]망라하는 EMV 레벨2의 2가지 레벨이 있습니다.

일반적인 EMVCo 테스트에 합격한 후 소프트웨어는 Visa VSDC, American Express AEIPS, Mastercard MChip, JCB JSmart 등의 EMV 준거 실장 또는 영국이나 캐나다 [citation needed]인터AC의 LINK와 같은 EMV 준거 실장에 적합하도록 결제 브랜드에 의해 인증되어야 합니다.

EMV 문서 및 표준 목록

2011년 버전 4.0 이후, EMV 지불 시스템의 모든 구성요소를 정의하는 공식 EMV 표준 문서는 4개의 "책"과 몇 가지 추가 문서로 출판되었다.

  • 북 1: 애플리케이션 독립형 ICC에서 터미널 인터페이스까지의[24] 요건
  • 제2권: 보안 및[37] 키 관리
  • 북 3: 응용 프로그램 사양[38]
  • 북 4: 카드 보유자, 접수자 및 취득자 인터페이스[39] 요건
  • 공통결제신청사양[40]
  • EMV 카드 퍼스낼라이제이션 사양[41]

버전

최초의 EMV 표준은 1995년에 EMV 2.0으로 제정되었습니다.이 버전은 1996년에 EMV 3.0(일명 EMV '96)으로 업그레이드되었으며 1998년에 EMV 3.1.1로 수정되었습니다.이것은 2000년 12월에 버전 4.0(EMV 2000이라고도 함)으로 추가 수정되었습니다.버전 4.0은 2004년6월에 유효하게 되었습니다.버전 4.1은 2007년6월에 유효하게 되었습니다.버전 4.2는 2008년6월부터 유효합니다.버전 4.3은 2011년 [42]11월부터 유효합니다.

취약성

PIN을 수집하고 자기 스트라이프를 복제할 기회

자기 스트라이프상의 트랙2 데이터 외에 EMV 카드에는 통상적인 EMV 트랜잭션 프로세스의 일부로서 읽히는 칩상의 동일한 데이터가 부호화되어 있습니다.EMV 리더가 카드와 단말기 간의 대화를 가로채는 정도까지 손상되면 공격자는 Track 2 데이터와 PIN을 모두 회복할 수 있습니다.이것에 의해, 예를 들면, 칩이나 PIN 단말에서는 사용할 수 없지만, 예를 들면 p의 단말 디바이스에서는 사용할 수 없는 자기 스트라이프 카드를 구축할 수 있습니다.칩 카드나 불량 카드를 사용하지 않는 외국 고객을 위해 마그 스트라이프 처리로 폴백합니다.이 공격은 (a) 오프라인 PIN이 (a) PIN 입력 장치에 의해 카드에 보통 텍스트로 제시되고 (b) 카드 발급자에 의해 매그 스트라이프 폴백이 허용되며 (c) 카드 [citation needed]발급자에 의해 지리적 및 동작 확인이 수행되지 않을 수 있는 경우에만 가능합니다.

영국 결제업계를 대표하는 APACS는 프로토콜에 지정된 변경(자기 스트라이프와 칩(iCV) 간에 카드 검증 값이 다른 경우)으로 인해 이 공격이 무효화되었으며 2008년 [43]1월부터 이러한 조치가 시행될 것이라고 주장했다.2008년 2월의 카드 테스트에서는,[44] 이것이 지연되었을 가능성이 있습니다.

성공한 공격

대화 캡처는 2006년 5월에 Shell 단말기에 대해 발생한 것으로 보고된 공격의 일종으로,[45] 고객으로부터 100만파운드 이상이 도난당한 후 충전 스테이션의 모든 EMV 인증을 비활성화해야 했습니다.

2008년 10월에는 영국, 아일랜드, 네덜란드, 덴마크 및 벨기에에서 사용되는 수백 개의 EMV 카드 리더가 제조 중 또는 제조 직후 중국에서 전문적으로 조작되었다고 보고되었습니다.9개월 동안 신용카드 및 직불카드의 세부사항과 PIN이 휴대전화 네트워크를 통해 파키스탄 라호르의 범죄자들에게 전송되었습니다.조엘 브레너 미 국가방첩국장은 이전에는 국가 정보기관만이 이런 작전을 수행할 수 있었을 것이라고 말했다.무섭다.데이터는 일반적으로 카드 거래 후 몇 개월 후에 사용되어 조사원이 취약성을 특정하기 어렵게 되었습니다.부정행위가 발견된 후 추가 회로에 의해 약 100g의 무게가 증가했기 때문에 변조된 단자를 식별할 수식별할 수 있었습니다.수천만 파운드가 [46]도난당한 것으로 추정된다.이 취약성에 의해, 라이프 사이클 전체에 걸쳐 전자 POS 디바이스를 보다 효율적으로 제어하기 위한 대처가 촉진되었습니다.이러한 대처는 Secure POS Vendor Alliance(SPVA)[47]가 개발한 것과 같은 전자 지불 보안 규격에 의해 승인되었습니다.

PIN 수집 및 스트라이프 클로닝

2008년 2월 BBC 뉴스나이트 프로그램에서 캠브리지 대학의 연구원인 스티븐 머독과 사어 드리머는 칩과 PIN이 은행으로부터 사기 입증 책임을 고객에게 [48][49]전가할 만큼 안전하지 않다는 것을 보여주기 위해 한 가지 공격 예를 제시했습니다.캠브리지 대학의 실적은 실험자들이 자기 스트라이프와 PIN을 만들기 위한 카드 데이터를 모두 얻을 수 있게 했다.

영국 결제협회인 APACS는 "이 보고서에 설명된 PIN 입력 장치에 대한 공격 유형은 실행하기가 어렵고 현재 [50]사기범이 실행하기에 경제적으로 가능하지 않다"며 보고서의 과반수에 동의하지 않았다.또, 프로토콜(칩과 마그네틱 스트라이프(iCVV)의 다른 카드 검증치를 지정)을 변경하면, 2008년 1월부터는 이 공격이 무효가 됩니다.2008년 10월에 보고된 부정행위는 9개월(위 참조) 동안 행해졌을 가능성이 높지만, 몇 달 동안 발견되지 않았습니다.

2016년 8월 NCR 보안 연구진은 신용카드 절도범들이 마그네틱 스트립의 코드를 어떻게 고쳐 쓸 수 있는지 보여주었고,[citation needed] 이는 위조할 수 있는 치프리스 카드처럼 보이게 했다.

2010: 하드웨어가 숨겨져 있으면 도난당한 카드의 PIN 체크가 무효가 됩니다.

2010년 2월 11일, 캠브리지 대학의 머독과 드리머의 팀은, 「칩과 PIN의 결점이 매우 심각해, 시스템 전체에 재기입이 필요한 것을 나타내고 있다」라고 하는 「충격할 정도로 심플했다」[51][52]라고 발표했다.도난카드는 전자회로에 접속되어 단말기에 삽입된 가짜카드에 접속된다(「중간자 공격」).임의의 4자리 숫자가 입력되어 유효한 [citation needed]PIN으로 받아들여집니다.

BBC의 뉴스나이트 프로그램 팀은 이 시스템을 가지고 캠브리지 대학 구내식당을 방문하여 회로에 연결된 자체 카드(도둑은 훔친 카드를 사용함)를 사용하여 결제를 할 수 있었고 가짜 카드를 삽입하고 PIN으로 "0000"을 입력할 수 있었다.거래는 정상적으로 등록되었으며 은행의 보안 시스템에 의해 픽업되지 않았습니다.한 연구위원은 소규모 범죄 시스템도 우리보다 더 좋은 장비를 갖추고 있다.이 공격을 수행하는 데 필요한 기술적 정교함은 매우 낮습니다."취약성에 대한 발표는 다음과 같습니다.필요한 전문지식이 높지 않습니다(학부 수준의 전자제품).우리는 범죄자들이 충분히 교묘하지 않다는 은행업계의 주장에 이의를 제기합니다.왜냐하면 범죄자들은 이미 소형화된 PIN 입력 장치 스키머에서 이번 공격에 필요한 수준보다 훨씬 높은 기술을 보여줬기 때문입니다."이 취약성이 부정 [citation needed]이용되었는지 여부는 알 수 없습니다.

EMVCo는 이에 동의하지 않고, 그러한 공격이 이론적으로 가능할 수 있지만, 성공적으로 수행하는 것은 매우 어렵고 비용이 많이 들 것이며, 현재의 보상 통제는 사기를 탐지하거나 제한할 가능성이 있으며, 공격으로부터 가능한 재정적 이득은 최소이지만 감소의 위험이 있다고 응답했다.사기범의 거래 또는 노출이 [53]중대한 경우.

코멘트를 요구받자 몇몇 은행(협동조합은행, 바클레이스, HSBC)은 각각 이것이 업계 전체의 문제라며 뉴스나이트 팀을 은행거래협회에 [54]의뢰했다.소비자 협회의 Phil Jones에 따르면 칩과 PIN이 카드 범죄의 사례를 줄이는 데 도움이 되었지만, 많은 사례들은 여전히 밝혀지지 않은 채로 남아 있다고 합니다."우리가 알고 있는 것은 개인들로부터 제기된 상당히 [citation needed]설득력 있어 보이는 사례들이 있다는 것입니다.

PIN 의 송신이 억제되기 때문에, 이것은 가맹점이 PIN 바이패스 트랜잭션을 실시하는 것과 같은 것입니다.이러한 트랜잭션은 오프라인에서 성공할 수 없습니다.PIN 엔트리에 성공하지 않으면 카드가 오프라인 인증을 생성하지 않기 때문입니다.그 결과 트랜잭션 ARQC는 온라인으로 발행자에게 제출되어야 합니다.이 발행자는 (암호화된 ARQC에 이 정보가 포함되어 있기 때문에) 정상적으로 PIN을 송신하지 않고 생성된 것을 알고 있기 때문에 높은 값, 문자 이외의 값일 경우 트랜잭션이 거부될 가능성이 있습니다.l [citation needed]발행자가 설정한 리스크 관리 파라미터.

원래 은행 고객은 보상을 받기 전에 PIN에 소홀하지 않았음을 입증해야 했지만, 2009년 11월 1일부터 시행된 영국의 규제에 따라 고객이 분쟁에 소홀했다는 것을 증명하기 위해 은행에게 13개월의 [55]배상기간을 부여했습니다.머독은 "[은행들은] 고객이 PIN을 사용하지 않았다고 말한 이전 거래와 은행 기록에 나타난 거래를 되돌아보고, 이러한 유형의 [citation needed]사기의 희생양이 될 수 있기 때문에 환불을 고려해야 한다"고 말했다.

2011년: CVM 다운그레이드를 통해 임의의 PIN 수집 가능

2011년 3월 CanSecWest 컨퍼런스에서 Andrea Barisani와 Danielle Biancco는 지원되는 CVM 데이터가 서명된 [56]경우에도 카드의 카드 홀더 검증 구성에도 불구하고 임의의 PIN 수집이 가능한 EMV의 취약성을 발견했습니다.

PIN 수집은 칩 스키머를 사용하여 수행할 수 있습니다.기본적으로 CVM을 오프라인 PIN으로 다운그레이드 하도록 변경된 CVM 목록은 시그니처가 [57]무효인 경우에도 POS 단말기에서 계속 유지됩니다.

PIN 바이패스

2020년 ETH Zurich의[58][59] 연구원 David Basin, Ralf Sasse 및 Jorge Toro는 Visa 비접촉형 카드에 영향을 미치는 중요한 보안 문제를 보고했습니다. 즉, EMV 트랜잭션 중에 카드가 단말기로 전송하는 중요한 데이터의 암호화 보호가 부족하다는 것입니다.해당 데이터에 따라 트랜잭션에 사용할 카드 소유자 검증 방법(PIN 검증 등 CVM)이 결정됩니다.연구팀은 카드 소지자가 장치(예: 스마트폰)를 사용하여 확인되었기 때문에 단말기가 PIN이 필요하지 않다고 믿게끔 이 데이터를 수정할 수 있다는 것을 입증했다.연구진은 물리적 비자 카드를 모바일 결제 앱(예: Apple Pay, Google Pay)으로 효과적으로 전환하여 PIN 없이 고액 구매를 수행할 수 있는 개념 증명 Android 앱을 개발했습니다.공격은 두 개의 NFC 지원 스마트폰을 사용하여 수행되는데, 하나는 물리적 카드 근처에 있고 다른 하나는 결제 단말기 근처에 있습니다.이 공격은 디스커버와 중국의 유니온페이카드에 영향을 줄 수 있지만 비자카드와는 달리 실제로 증명되지 않았다.

2021년 초, 같은 팀은 마스터 카드도 PIN 바이패스 공격에 취약하다고 발표했습니다.그들은 범죄자들이 비자카드로 믿으면서도 마스터카드로 거래하도록 단말기를 속일 수 있다는 것을 보여주었다. 카드 브랜드의 혼동은 Visa용 PIN 바이패스와 조합하여 마스터 [59]카드용 PIN을 바이패스할 수 있기 때문에 중대한 결과를 초래합니다.

"EMV와 같은 복잡한 시스템은 모델 체커[59] 같은 자동화된 도구를 통해 분석되어야 합니다."라고 연구자들은 연구 결과의 주요 사례로 지적합니다.인간과 달리, 타마린과 같은 모델 검사 도구는 EMV와 [citation needed]같은 실제 시스템의 복잡성을 처리할 수 있기 때문에 이 과제를 해결할 수 있습니다.

실행

EMV는 Europay, Mastercard, Visa의 약자로 이 표준을 만든 3개 회사입니다.이 기준은 현재 금융회사 컨소시엄인 EMVCo에 의해 관리되고 있다.[1] EMV 표준의 기타 널리 알려진 칩은 다음과 같습니다.

  • AEIPS: 아메리칸 익스프레스
  • UICS: 차이나 유니온 페이
  • J스마트: JCB
  • D-PAS: Discover/Diners Club International
  • 루페이: NPCI
  • 베베

Visa 및 Mastercard는 전화 및 인터넷을 통해 Card Not Present Transactions(CNP; 카드가 존재하지 않는 거래)를 지원하기 위해 장치에서 EMV 카드를 사용하기 위한 표준을 개발했습니다.마스터 카드에는 안전한 전자 상거래를 위한 칩 인증 프로그램(CAP)이 있습니다.이 실장은 EMV-CAP로 알려져 있으며 다양한 모드를 지원합니다.Visa에는 Dynamic Passcode Authentication(DPA; 동적 패스코드 인증) 방식이 있습니다.이것은, 다른 디폴트치를 사용해 CAP 를 실장하고 있습니다.

세계의 많은 국가에서 직불 카드 및/또는 신용카드 결제 네트워크는 책임 [citation needed]전환을 구현했습니다.일반적으로 카드사는 부정거래에 대한 책임을 진다.단, 책임 이행 후 ATM 또는 가맹점의 판매점 단말기가 EMV를 지원하지 않는 경우에는 ATM 소유자 또는 가맹점은 부정거래에 대한 책임을 집니다.

칩과 PIN 시스템은 칩과 PIN 카드를 발행하지 않는 국가에서 온 여행객에게 문제를 일으킬 수 있습니다.이는 일부 소매점에서 칩과 PIN 카드를 [60]수령하기를 거부하는 경우가 있기 때문입니다.대부분의 단말기는 여전히 마그네틱 스트립 카드를 사용할 수 있으며 주요 신용카드 브랜드는 벤더에게 카드 [61]수령을 요구하지만 일부 직원은 카드가 PIN을 확인할 수 없는 경우 사기 행위에 대한 책임을 진다고 믿고 카드 수령을 거부할 수 있습니다.비칩 앤 PIN 카드는 기차역이나 슈퍼마켓의 [62]셀프서비스 계산대 등 일부 무인 자판기에서 작동하지 않을 수도 있습니다.

아프리카

  • Mastercard의 책임 [63]이행은 2006년 1월 1일에 이루어졌습니다.2010년 10월 1일까지 모든 판매시점 [64]거래에 대해 책임변동이 발생하였습니다.
  • 판매점에 대한 Visa의 책임 이행은 2006년 1월 1일에 이루어졌습니다.ATM의 경우 [65]책임 이행은 2008년 1월 1일에 이루어졌습니다.

남아프리카 공화국

  • 마스터카드의 책임 이전은 2005년 [63]1월 1일에 이루어졌다.

아시아 태평양 국가

  • Mastercard의 책임 [63]이행은 2006년 1월 1일에 이루어졌습니다.2010년 10월 1일까지는, 중국과 [64]일본의 국내 거래를 제외한 모든 판매점 거래에 대해 책임 이행이 행해지고 있다.
  • 판매점에 대한 Visa의 책임 이행은 2010년 [65]10월 1일에 실시되었습니다.ATM의 경우, 책임 이행일은 2015년 10월 1일에 이루어졌으며,[66] 중국, 인도, 일본 및 태국은 2017년 10월 1일에 변경되었다.중국 국내 ATM 거래에는 현재 책임 이행 기한이 적용되지 않는다.

호주.

  • 마스터 카드에서는 2013년 4월까지 모든 POS 단말기가 EMV를 지원해야 했습니다.ATM에 대해서는 2012년 4월에 책임 이행이 이루어졌습니다.ATM은 2015년 [67]말까지 EMV를 준수해야 합니다.
  • 비자의 ATM 책임 이행은 2013년 [65]4월 1일에 이루어졌습니다.

말레이시아

  • 말레이시아는 2005년 [68][69]도입 후 2년 만에 EMV 인증 스마트카드로 완전히 이행한 세계 최초 국가다.

뉴질랜드

  • 마스터 카드에서는 2011년 7월 1일까지 모든 POS 단말기가 EMV에 준거해야 했습니다.ATM에 대해서는 2012년 4월에 책임 이행이 이루어졌습니다.ATM은 2015년 [67]말까지 EMV를 준수해야 합니다.
  • Visa의 ATM 책임 이행은 2013년 [65]4월 1일이었다.

유럽

  • 마스터카드의 책임 이전은 2005년 [63]1월 1일에 이루어졌다.
  • 판매점에 대한 Visa의 책임 이행은 2006년 1월 1일에 이루어졌습니다.ATM의 경우 [65]책임 이행은 2008년 1월 1일에 이루어졌습니다.
  • 프랑스는 1992년 도입된 이후 카드 사기를 80% 이상 줄였다(카르테 블루 참조).

영국

Green rectangle containing a row of four white asterisks in black squares; the outline of a hand points to and obscures the second asterisk.
칩 및 PIN UK 로고

칩과 PIN은 2003년 [70]5월부터 영국 노샘프턴에서 테스트되었고, 그 결과 2006년 2월[71] 14일 영국 전역에 배포되었으며, 언론과 국영 TV에 "번호부여 안전" 구호를 홍보하는 광고가 게재되었습니다.도입 초기 단계에서 자기 스와이프 카드 부정 거래가 발생한 것으로 판단될 경우, 칩 및 PIN 도입 전과 마찬가지로 발행 은행으로부터 소매점을 환불받았습니다.2005년 1월 1일, 이러한 거래에 대한 책임이 소매업자에게 이전되었습니다.이는 소매업자에게 POS(Point of Sale) 시스템을 업그레이드하도록 장려하는 역할을 했고, 대부분의 주요 거리 체인은 EMV 마감에 맞춰 업그레이드되었습니다.많은 소규모 기업들은 완전히 새로운 PoS 시스템(대규모 투자)이 필요했기 때문에 처음에는 장비 업그레이드를 꺼렸습니다.

마그네틱 스트립과 칩을 모두 갖춘 새로운 카드는 현재 모든 주요 은행에서 발행되고 있습니다.2007년까지 유효기간이 지난 카드를 가지고 있는 사람이 많음에도 불구하고 은행들은 단순히 소비자들이 새로운 카드를 "기한이 만료되면" 받을 것이라고 밝혔기 때문에 프리칩 카드와 PIN 카드의 교환은 큰 문제가 되었습니다.카드 발행사인 스위치는 은행이 원하는 만큼 빨리 새로운 카드를 발급할 준비가 되지 않아 HBOSVisa와의 주요 계약을 놓쳤다.

칩과 PIN의 실장은 고객이 PIN과 카드를 보호하기 위해 "합리적으로 신중하게" 행동했다는 것을 증명하도록 요구함으로써 카드 부정 청구 시 은행의 책임을 줄이도록 설계되었다는 비판을 받았습니다.칩과 PIN 이전에는 고객의 서명이 위조된 경우 은행은 법적 책임을 지고 고객에게 상환해야 했습니다.2009년 11월 1일까지는 자발적인 은행 코드만 있을 뿐 칩과 PIN 트랜잭션을 부정하게 사용하는 것으로부터 소비자를 보호하는 법은 없었습니다.여러 차례의 대규모 [citation needed]공격이 성공했음에도 불구하고 보고된 상황에서 시스템이 고장날 수 없다고 주장하며 은행들이 부정 카드 사용 피해자들에게 변제를 거부했다는 보고가 많았다.

2009년 11월[72] 1일부터 Payment Services Regulations 2009가 발효되어 카드 소유자의 [55]과실을 증명하기 위한 책임을 은행에 전가하고 있습니다.금융당국은 은행, 건축협회, 카드사가 본인으로부터 거래가 이뤄졌다는 것을 증명하고 절차상 고장이나 기술적 어려움은 없다는 입장을 밝힌 뒤 책임을 회피했다.

중남미 및 카리브해

  • Mastercard의 책임 [63]이행은 2005년 1월 1일에 이루어졌습니다.
  • Visa의 판매점에 대한 책임 이행은 2012년 10월 1일 이 지역에서 책임 이행이 아직 실시되지 않은 국가에 대해 실시되었습니다.ATM의 경우, 책임 [65]이동이 아직 시행되지 않은 이 지역의 국가에 대해 2014년 10월 1일에 이루어졌다.

브라질

  • Mastercard의 책임 이행은 2008년 [63]3월 1일에 이루어졌습니다.
  • 판매점에 대한 Visa 책임 이행은 2011년 4월 1일에 이루어졌습니다.ATM의 경우 [65]책임 이행은 2012년 10월 1일에 이루어졌습니다.

콜롬비아

  • Mastercard의 책임 이행은 2008년 [63]10월 1일에 이루어졌습니다.

멕시코

  • 2015년 10월 1일에 책임 전환을 실시.주유소 펌프에서의 급여는 2017년 [73]10월 1일에 지급되었다.
  • 판매점에 대한 Visa 책임 이행은 2011년 4월 1일에 이루어졌습니다.ATM의 경우 [65]책임 이행은 2012년 10월 1일에 이루어졌습니다.

베네수엘라

  • 마스터 카드의 책임 이행은 2009년 [63]7월 1일에 행해졌다.

중동

  • Mastercard의 책임 [63]이행은 2006년 1월 1일에 이루어졌습니다.2010년 10월 1일까지 모든 판매시점 [64]거래에 대해 책임변동이 발생하였습니다.
  • 판매점에 대한 Visa의 책임 이행은 2006년 1월 1일에 이루어졌습니다.ATM의 경우 [65]책임 이행은 2008년 1월 1일에 이루어졌습니다.

북미

캐나다

  • American Express는 2012년 [1][74]10월 31일에 책임 전환을 실시했습니다.
  • 2015년 10월 1일 주유소에서의 선불 거래를 제외한 모든 거래에 대해 책임 이전을 시행했습니다. 이러한 거래는 2017년 [73][third-party source needed]10월 1일에 전환되었습니다.
  • 인터락(캐나다의 직불카드 네트워크)은 2012년 12월 31일 ATM에서 비EMV 거래를 중지하고 2016년 9월 30일 판매 시점 단말기에서 EMV 거래를 의무화했으며 2015년 [75][failed verification][third-party source needed]12월 31일 책임 이동이 이루어졌다.
  • Mastercard는 2011년 3월 31일에 국내 거래 책임 이행, 2011년 4월 15일에 국제 책임 이행 실시.주유소 펌프에서의 급여에 대한 책임 [74]이행은 2012년 12월 31일에 시행되었다.
  • Visa는 2011년 3월 31일에 국내 거래 책임 이행, 2010년 10월 31일에 국제 책임 이행 실시.주유소 펌프에서의 급여에 대한 책임 [74]이행은 2012년 12월 31일에 시행되었다.
  • EMV 이행 후 5년 동안 캐나다에서는 국내 카드 카드 부정 거래가 현저하게 감소했습니다.Helcim의 보고서에 따르면, 카드-현재의 국내 직불 카드 사기는 89.49%, 신용카드 사기는 68.37%[1][76] 감소했습니다.

미국

Target, Home Depot 및 기타 주요 소매점의 POS(Point-of-Sale) 단말기에 보안이 취약하여 ID 도용이 확산되자 2012년 3월 Visa, Mastercard 및[77] Discovery, 2012년 6월 American[78] Express는 미국에 대한 [79]EMV 마이그레이션 계획을 발표했습니다.이 발표 이후 아메리칸 익스프레스, 뱅크오브아메리카, 씨티은행, 웰스파고,[80] JP모건체이스, 미국은행, 몇몇 신용조합 등 여러 은행과 카드사들이 EMV 칩앤서명 기술을 탑재한 카드를 발표했다.

2010년, 많은 회사들이 칩과 PIN을 통합한 선불 직불 카드를 발행하기 시작했고, 미국인들은 현금을 유로화 [81][1]또는 파운드화로 로딩할 수 있게 되었다.유엔연방신용조합(United Nations Federal Credit Union)은 미국 최초로 칩과 [82]PIN 신용카드를 발급했다.2010년 5월, Gemalto(글로벌 EMV 카드 제조사)의 보도 자료에 의하면, 뉴욕에 있는 유엔 연방 신용 연합이 미국 [83]최초의 EMV 카드 발행사가 되어, 고객에게 EMV Visa 신용 카드를 제공할 예정입니다.JP모건은 2012년 [84]중반에 EMV 테크놀로지, 즉 Palladium 카드를 도입한 최초의 주요 은행입니다.

2016년 4월 현재 미국 소비자의 70%가 EMV 카드를 보유하고 있으며, 2016년 12월 현재 가맹점의 약 50%가 EMV를 [85][86]준수하고 있습니다.그러나 도입은 벤더 간에 느리고 일관성이 없었습니다.EMV 하드웨어를 사용하고 있는 판매점에서도 소프트웨어나 컴플라이언스 [87]결함으로 칩 트랜잭션을 처리할 수 없는 경우가 있습니다.또, Verifone 머신의 오디오·프롬프트의 변경 등, 소프트웨어 도입에 관한 문제도 언급하고 있습니다.그러나 업계 전문가들은 소프트웨어 도입과 표준화를 위해 미국에서 더 많은 표준화가 이루어질 것으로 예상하고 있습니다.VisaMastercard는 모두 칩 거래 시간을 3초 미만으로 단축하는 것을 목표로 칩 거래 속도를 높이기 위한 표준을 구현했다.이러한 시스템에는 Visa Quick Chip 및 Mastercard M/Chip [88]Fast라는 라벨이 붙어 있습니다.

  • American Express는 2015년 [89][promotional source?]10월 1일 POS(Point of Sale) 터미널에 대한 책임 이전을 구현했습니다.주유소에서의 급여는 2021년 4월 16일까지입니다.이는 COVID-19 [90]대유행으로 인해 2020년 10월 1일부터 연장되었다.
  • 2015년 10월 1일에 이행된 책임 변경에 대해 알아보십시오.주유소에서의 급여는 2020년 [73]10월 1일까지입니다.
  • Maestro는 [91]미국에서 사용되는 국제 카드에 대해 2013년 4월 19일 책임 전환을 시행했다.
  • Mastercard는 [89]2015년 10월 1일 POS(Point of Sale) 단말기에 대한 책임 이전을 구현했습니다.주유소에서의 급여는 2020년 [92]10월 1일에 정식으로 이행한다.ATM의 경우 책임 이행일은 2016년 [93][94]10월 1일이었다.
  • Visa는 2015년 10월 1일에 POS 단말기에 대한 책임 이전을 실시했습니다.주유소에서의 급여는 2020년 [92][95]10월 1일에 정식으로 이행한다.ATM의 경우 책임 이행일은 2017년 [66][1]10월 1일이었다.

메모들

  1. ^ 이러한 애플리케이션명은, 이러한 카드의 Apple Pay 버전에는 없습니다.대신 원래 네트워크 이름을 유지합니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b c d e f g Stacy Cowley (23 September 2015). "Coming Soon to Checkouts: Microchip-Card Payment Systems". The New York Times. Retrieved 31 July 2022.
  2. ^ Important smart card industry standards. ISO 7816, Cardwerk Technologies
  3. ^ Chen, Zhiqun (2000). Java Card Technology for Smart Cards: Architecture and Programmer's Guide. Addison-Wesley Professional. pp. 3-4. ISBN 9780201703290.
  4. ^ "A short review of smart cards (2019 update)". Gemalto. 7 October 2019. Retrieved 27 October 2019.
  5. ^ Sorensen, Emily (26 July 2019). "The Detailed History of Credit Card Machines". Mobile Transaction. Retrieved 27 October 2019.
  6. ^ Veendrick, Harry J. M. (2017). Nanometer CMOS ICs: From Basics to ASICs. Springer. p. 315. ISBN 9783319475974.
  7. ^ "EMVCo Members". EMVCo. Retrieved 10 May 2015.
  8. ^ "Associates".
  9. ^ "China UnionPay joins EMVCo" (Press release). Finextra Research. 20 May 2013. Retrieved 10 May 2015.
  10. ^ "Discover Joins EMVCo to Help Advance Global EMV Standards". Discover Network News. 3 September 2013. Retrieved 10 May 2015.
  11. ^ "Visa and MasterCard Support Common Solutions to Enable U.S. Chip Debit Routing". Mastercard.
  12. ^ "Shift of liability for fraudulent transactions". The UK Cards Association. Retrieved 10 May 2015.
  13. ^ "Understanding the 2015 U.S. Fraud Liability Shifts" (PDF). www.emv-connection.com. EMV Migration Forum. Archived from the original (PDF) on 19 September 2015. Retrieved 15 November 2015.
  14. ^ a b Mark Scott (2 December 2014). "Preparing for Chip-and-PIN Cards in the United States". The New York Times. Retrieved 31 July 2022.
  15. ^ "Why You're Still Not Safe From Fraud If You Have a Credit Card With a Chip". ABC News.
  16. ^ Ann Carrns (20 June 2011). "U.S. Bank and Chase Add to E.M.V. Chip Cards for Travelers". Retrieved 31 July 2022.
  17. ^ {{filter url=http://www.ALREADY가 FILTER whens TOREDASCARDHub_perhaps_now#wallethub.com/edu/chip-and-pin-vs-chip-and-signature title=칩앤핀 vs.Chip-and-Signature publisher=CardHub.com(현 wallethub) access-date=2012년 7월 31일.
  18. ^ "EMV Update: Discussion with the Federal Reserve" (PDF). Visa. Retrieved 2 January 2017.
  19. ^ Carlin, Patricia (15 February 2017). "How To Reduce Chargebacks Without Killing Online Sales". Forbes.
  20. ^ "BBC NEWS – Technology – Credit card code to combat fraud". bbc.co.uk.
  21. ^ "Visa tests cards with built-in PIN machine". IT PRO.
  22. ^ Brian X. Chen (4 May 2016). "Why Apple Pay and Other Mobile Wallets Beat Chip Cards". The New York Times. Retrieved 31 July 2022.
  23. ^ "How EMV (Chip & PIN) Works – Transaction Flow Chart". Creditcall Ltd. Retrieved 10 May 2015.
  24. ^ a b "Book 1: Application Independent ICC to Terminal Interface Requirements" (PDF). 4.3. EMVCo. 30 November 2011. Retrieved 20 September 2018.
  25. ^ "MasterCard Product & Services - Documentation". Retrieved 17 April 2017.
  26. ^ "A Guide to EMV Chip Technology" (PDF). EMVCo. November 2014.
  27. ^ "EMV CA". EMV Certificate Authority Worldwide. 20 November 2010. Retrieved 20 March 2020.
  28. ^ "Book 2: Security and Key Management (PDF). 4.3" (PDF). EMVCo. 29 November 2011. Retrieved 20 September 2018.
  29. ^ https://www.emvco.com/wp-content/uploads/2017/03/EMVCo-Website-Content-2.1-Contact-Portal-plus-Biometric-FAQ_v2.pdf[베어 URL PDF]
  30. ^ "ContactlessSpecifications for Payment Systems" (PDF). EMVCo.
  31. ^ TAC Definition: Terminal Action Code
  32. ^ a b c "Visa technology partner: Terminal Action Code (VISA Minimum)".
  33. ^ a b "Quick Chip".
  34. ^ a b "M/Chip Fast from MasterCard Speeds EMV Transactions and Shoppers Through Checkout".
  35. ^ "Terms of Use" (PDF).
  36. ^ EMVCo. "EMVCo Members". Retrieved 1 August 2020.
  37. ^ "Book 2: Security and Key Management" (PDF). 4.3. EMVCo. 29 November 2011. Retrieved 20 September 2018.
  38. ^ "Book 3: Application Specification" (PDF). 4.3. EMVCo. 28 November 2011. Retrieved 20 September 2018.
  39. ^ "Book 4: Cardholder, Attendant, and Acquirer Interface Requirements" (PDF). 4.3. EMVCo. 27 November 2011. Retrieved 20 September 2018.
  40. ^ "SB CPA Specification v1 Plus Bulletins" (PDF). EMVCo. 1 March 2008. Retrieved 20 September 2018.
  41. ^ "EMV® Card Personalization Specification" (PDF). EMVCo. 1 July 2007. Retrieved 20 September 2018.
  42. ^ "Integrated Circuit Card Specifications for Payment Systems". EMVCo. Retrieved 26 March 2012.
  43. ^ "How secure is Chip and PIN?". BBC Newsnight. 26 February 2008.
  44. ^ Saar Drimer; Steven J. Murdoch; Ross Anderson. "PIN Entry Device (PED) vulnerabilities". University of Cambridge Computer Laboratory. Retrieved 10 May 2015.
  45. ^ "Petrol firm suspends chip-and-pin". BBC News. 6 May 2006. Retrieved 13 March 2015.
  46. ^ "Organized crime tampers with European card swipe devices". The Register. 10 October 2008.
  47. ^ "Technical Working Groups, Secure POS Vendor Alliance". 2009. Archived from the original on 15 April 2010.
  48. ^ "Is Chip and Pin really secure?". BBC News. 26 February 2008. Retrieved 2 May 2010.
  49. ^ "Chip and pin". 6 February 2007. Archived from the original on 5 July 2007.
  50. ^ John Leyden (27 February 2008). "Paper clip attack skewers Chip and PIN". The Channel. Retrieved 10 May 2015.
  51. ^ Steven J. Murdoch; Saar Drimer; Ross Anderson; Mike Bond. "EMV PIN verification "wedge" vulnerability". Computer Laboratory, University of Cambridge. Retrieved 12 February 2010.
  52. ^ Susan Watts (11 February 2010). "New flaws in chip and pin system revealed". BBC News. Retrieved 12 February 2010.
  53. ^ "Response from EMVCo to the Cambridge University Report on Chip and PIN vulnerabilities ('Chip and PIN is Broken' – February 2010)" (PDF). EMVCo. Archived from the original (PDF) on 8 May 2010. Retrieved 26 March 2010.
  54. ^ Susan, Watts. "New flaws in chip and pin system revealed (11 February 2010)". Newsnight. BBC. Retrieved 9 December 2015.
  55. ^ a b Richard Evans (15 October 2009). "Card fraud: banks now have to prove your guilt". The Telegraph. Archived from the original on 21 October 2009. Retrieved 10 May 2015.
  56. ^ Andrea Barisani; Daniele Bianco; Adam Laurie; Zac Franken (2011). "Chip & PIN is definitely broken" (PDF). Aperture Labs. Retrieved 10 May 2015.
  57. ^ Adam Laurie; Zac Franken; Andrea Barisani; Daniele Bianco. "EMV – Chip & Pin CVM Downgrade Attack". Aperture Labs and Inverse Path. Retrieved 10 May 2015.
  58. ^ D. Basin, R. Sasse, J. Toro-Pozo (2020). "The EMV Standard: Break, Fix, Verify". 2021 IEEE Symposium on Security and Privacy (SP): 1766–1781. arXiv:2006.08249.{{cite journal}}: CS1 maint: 여러 이름: 작성자 목록(링크)
  59. ^ a b c "The EMV Standard: Break, Fix, Verify".{{cite web}}: CS1 maint :url-status (링크)
  60. ^ "US credit cards outdated, less useful abroad, as 'Chip and PIN' cards catch on". creditcards.com.[영구 데드링크]
  61. ^ "Visa Australia". visa-asia.com.
  62. ^ Higgins, Michelle (29 September 2009). "For Americans, Plastic Buys Less Abroad". The New York Times. Retrieved 17 April 2017.
  63. ^ a b c d e f g h i "Chargeback Guide" (PDF). MasterCard Worldwide. 3 November 2010. Retrieved 10 May 2015.
  64. ^ a b c "Operating Regulations" (PDF). Visa International. Archived from the original (PDF) on 3 March 2013.
  65. ^ a b c d e f g h i "The Journey To Dynamic Data". Visa. Archived from the original on 28 June 2021.
  66. ^ a b "Visa Expands U.S. Roadmap for EMV Chip Adoption to Include ATM and a Common Debit Solution" (Press release). Foster City, Calif.: Visa. 4 February 2013. Retrieved 10 May 2015.
  67. ^ a b "MasterCard Announces Five Year Plan to Change the Face of the Payments Industry in Australia". Mastercard Australia. Archived from the original on 28 January 2013.
  68. ^ "Malaysia first to complete chip-based card migration". The Start Online.
  69. ^ "US learns from Malaysia, 10 years later". The Rakyat Post. 14 October 2015.
  70. ^ "Anti-fraud credit cards on trial". BBC Business News. 11 April 2003. Retrieved 27 May 2015.
  71. ^ The UK Cards Association. "The chip and PIN guide" (PDF). Retrieved 27 May 2015.
  72. ^ Foundation, Internet Memory. "[ARCHIVED CONTENT] UK Government Web Archive – The National Archives". Archived from the original on 12 November 2008. Retrieved 17 April 2017.
  73. ^ a b c "Discover to enforce EMV liability shift by 2015" (Press release). Finextra Research. 12 November 2012. Retrieved 10 May 2015.
  74. ^ a b c "Chip Liability Shift". globalpayments. Archived from the original on 30 July 2013.
  75. ^ "Interac - For Merchants". Retrieved 17 April 2017.
  76. ^ "EMV Reduces Card-Present Fraud in Canada (Infographic) - The Official Helcim™ Blog". Retrieved 17 April 2017.
  77. ^ "Discover Implements EMV Mandate for U.S., Canada and Mexico". Archived from the original on 10 May 2012.
  78. ^ "American Express Announces U.S. EMV Roadmap to Advance Contact, Contactless and Mobile Payments" (Press release). New York: American Express. 29 June 2012. Archived from the original on 10 May 2015. Retrieved 10 May 2015.
  79. ^ "EMV's Uncertain Fate in the US". Protean Payment. Archived from the original on 29 September 2013. Retrieved 22 September 2012.
  80. ^ Camhi, Jonathan (3 August 2012). "Wells Fargo Introduces New EMV Card for Consumers". Bank Systems & Technology. Archived from the original on 5 June 2014. Retrieved 10 May 2015.
  81. ^ "Travelex Offers America's First Chip & PIN Enabled Prepaid Foreign Currency Card". Business Wire. Business Wire. 1 December 2010. Retrieved 6 February 2014.
  82. ^ "UNFCU to be first issuer in the US to offer credit cards with a high security chip". United Nations Federal Credit Union.
  83. ^ Ray Wizbowski (13 May 2010). "United Nations Federal Credit Union Selects Gemalto for First U.S. Issued Globally Compliant Payment Card" (Press release). Austin, Texas: Gemalto. Retrieved 10 May 2015.
  84. ^ Paul Riegler (25 July 2013). "Chip-and-Pin and Chip-and-Signature Credit Card Primer for 2013". Frequent Business Traveler. Retrieved 10 May 2015.
  85. ^ Goldman, Sharon (20 March 2017). "Is the rocky road to EMV retail adoption getting smoother?". CIO magazine. Retrieved 17 April 2017.
  86. ^ "EMV Credit Cards Poll".
  87. ^ "Retailers have chip card readers -- why aren't they using them?". Retrieved 22 November 2017.
  88. ^ "The Plan to Make Chip Credit Cards Less Annoying". Bloomberg.com. 17 July 2017. Retrieved 5 August 2017.
  89. ^ a b Cathy Medich (July 2012). "EMV Migration – Driven by Payment Brand Milestones". Retrieved 10 May 2015.
  90. ^ "Amex joins Visa in postponing US gas EMV migration". 5 May 2020.
  91. ^ David Heun (10 September 2012). "MasterCard Brings EMV Chip-Card Liability Policy to U.S. ATMs". SourceMedia. Archived from the original on 22 February 2014. Retrieved 10 May 2015.
  92. ^ a b "EMV Fuel Liability Delay Pumps Card Fraud Concerns". Credit Union Times. Retrieved 4 December 2016.
  93. ^ Beth Kitchener (10 September 2012). "MasterCard Extends U.S. EMV Migration Roadmap to ATM Channel" (Press release). Purchase, N.Y.: Mastercard. Retrieved 10 May 2015.
  94. ^ "EMV For U.S. Acquirers: Seven Guiding Principles for EMV Readiness" (PDF). Archived from the original (PDF) on 5 July 2016. Retrieved 17 April 2017.
  95. ^ "Visa Announces U.S. Participation in Global Point-of-Sale Counterfeit Liability Shift" (PDF) (Press release). Visa. 9 August 2011. Archived from the original (PDF) on 23 May 2015. Retrieved 10 May 2015.

외부 링크