[clearfix]
1. 개요
3D Secure글로벌 브랜드 카드사들의 모바일 환경에서 본인 인증을 위한 보안 프로토콜이다. 카드발급자 영역(Issuer Domain), 카드가맹점 영역(Acquirer Domain), 정보처리 상호운용 영역(Interoperability domain)을 포함하여 3D라고 한다. 버전별로는 1.0과 2.0이 있다.
2. 상세
한국 카드사의 ISP와 유사한 것으로 해외 인터넷 사이트에서는 카드번호, 유효기간, CVC/CVV, 소유자 성명만으로 승인을 내지만, 일부 가맹점은 한국처럼 카드사 창을 띄워서 결제를 진행한다. 이 인터넷 본인인증(3D Secure)은 카드사 홈페이지에서 미리 지정해 둔 비밀번호를 입력해서 승인을 내는 형식이지만, 옛날의 한국 카드사 홈페이지는 수없이 많은 ActiveX나 플러그인 등을 떡칠해 놓고 있는지라 별로 환영받지 못했다.[1] 특히 이게 꼬이고 꼬여서 예전 ETS TOEFL 응시료 결제창처럼 한국 카드를 집어넣으면 온갖 오류를 쏟아내면 정말 답이 없다. 하지만 2022년 9월 기준, 각종 플러그인 떡칠은 사라진 상태.이 창이 걸리면 안심클릭을 등록하지 않은 카드는 안심클릭 등록부터 해야 한다. 각 카드사 홈페이지에서 해도 되고, 아니면 결제창 떴을 때 등록을 진행해도 된다.
비씨카드, 국민카드는 국내 온라인 가맹점에서 3D Secure를 쓰지 않고 ISP 결제를 요구하는데, 해외 가맹점에서는 마찬가지로 VbV, MasterCard Identity Check나 J/Secure를 사용해야 한다. 이것들은 홈페이지 구석에서 따로 등록할 수 있다.
비자, 마스타카드, JCB라도 은행이나 카드사에서 3D Secure를 지원하지 않거나 SafeKey, ProtectBuy 서비스가 없는 카드사가 발행한 아메리칸 익스프레스, 디스커버[2]라면 본인인증 창이 뜨지 않고 이전처럼 카드번호, 유효기간, CVV/CVC만으로도 승인을 낼 수 있기는 하지만 3D Secure를 이용 안 하면 결제가 이루어지지 않는 곳도 있으니 주의가 필요하다. 실제로 2013년 7월에 에어아시아에서 3D Secure이용이 안되는 KB국민카드 비자 체크카드로 결제가 이루어지지 않은 사례가 있었다.[3]
보기에는 엄청 안전해 보이지만 실제로는 피싱에 취약할 수 있다. 실제 결제가 쇼핑몰이 아닌 다른 사이트에서 진행되었을 때 결제창 주소가 쇼핑몰도 아니고, 비자나 마스타 본사도 아닌 발급사 주소가 뜨기 때문. 게다가 좀 꼬이면(쇼핑몰이나 PG사에서 iFrame 사용) 카드 발급사 주소도 안 떠서 이 안심결제 창을 처음 보는 사람들은 낚시인가 싶다. 게다가 실제로 이 VbV 창을 피싱용으로 사용한 예도 있다.
2013년 10월 현재 국민카드, 비씨카드, 삼성카드, 현대카드, 신한카드는 EV-SSL에 액티브 X 없는 환경으로 바뀌었다. 그러므로 플러그인 한두 개만 설치하면 브라우저 제한 없이 이용할 수 있다. 신한카드는 FAN페이 결제 시 플러그인도 필요 없다.
참고로 3D Secure 개인 확인 메시지 표시와 비밀번호 입력[4]은 전세계 공통이다. 그런데 미츠비시도쿄UFJ은행에서 발행한 신용카드처럼 일부 카드사에는 개인 확인 메세지가 없을 수도 있다.[5]
한국의 인터넷 쇼핑사이트에서 해외발행카드로 결제가능하다면 3D시큐어가 이용이 강제된다. 역시 해외 인터넷 사이트에서도 결제할 경우 3D시큐어 이용이 필요하긴 한데 가맹점마다 다른 모양. 그래서 비자, 마스터카드, JCB만 가능한 곳이 많고 3D시큐어 서비스를 지원하지 않는 카드회사의 카드로는 결제 불가다.
2022년 10월 14일까지 기존 3D Secure를 이용하고 있는 가맹점들은 전부 3D Secure 2.0으로 전환을 해야한다. 3D Secure 1.0이 출시된지 꽤 오래된 구식의 시스템이다 보니 모바일 결제가 대중화 된 지금과는 안맞는 부분도 많고, 보안 취약점도 여러번 노출되었기 때문에 아예 새로운 시스템으로 전환하려고 하고 있다. 다만 대한민국 카드사의 경우 지원 속도가 제각각이다 보니 기존 3D Secure 1.0을 지원했던 카드들도 2.0에서는 지원하지 않을 수 있다. 이때문에 국가 코드를 확인하지 않는 JCB의 경우에도 J/Secure™2.0 가맹점에서는 결제되지 않는 경우가 많아졌다. 일본의 경우 주로 SMS 혹은 메일 인증으로 전환하는 추세이지만 한국은 이미 모바일 지원과 본인확인을 이용한 사전등록이 1.0 시점에 독자적으로 보편화된 추세라 한국 비자카드도 아예 3D Secure 2.0을 한국어 페이지로는 소개하지 않으며 국내 카드사도 잠수함 패치로 2.0을 지원하는 경우가 대부분이다.
2.1. 본인인증방법 종류
카드사마다 디자인이나 인증방법이 다르긴하지만 기본적인 3D Secure[6] 디자인이 정해져있다.그리고 대체적으로 종류는 이러하다.
종류 | 적용국가 | 비고 |
휴대전화 인증 (SMS) | 일본 등 | 1회용 비밀번호 |
E메일 | 1회용 비밀번호 | |
전용 OTP 어플리케이션 | 일본 | 1회용 비밀번호 |
스마트폰 어플리케이션 | 한국 | 앱카드 등 |
비밀번호 | ||
공동인증서 | 한국 |
아마도 국제브랜드는 카드회사가 2단계 인증만 되게 하면 그 방법에 관해서는 딱히 터치를 하지 않는 모양이다.
3. 국제 브랜드 카드사별 규격
3.1. Verified By Visa(Visa 안심클릭)
Visa 안심클릭비자카드에서 지원하는 규격. 카드사 인증 시스템의 원조다. 한국에서 쓰는 안심클릭이 바로 이 물건이 로컬라이징된 버전이다. 가맹점이 상당한 편.
대한민국 모든 카드사가 지원하고 있다.
3.2. MasterCard Identity Check
Mastercard Identity Check대한민국 모든 카드사가 지원하고 있다.
자세한 내용은 마스터카드 문서 참고하십시오.
3.3. J/Secure
J/Secure™1.0과 2.0의 차이점 (일본어)
JCB 해외 온라인쇼핑 이용안내
자세한 내용은 JCB 문서
의 s-6.4 부분을
참고하십시오.3.4. SafeKey
SafeKey2010년부터 시범 운영 기간을 거쳐 도입된 아메리칸 익스프레스사의 규격. 하나카드를 시작으로 국내에서 서비스를 개시했다.
3.5. ProtectBuy
ProtectBuy®디스커버사에서 지원하는 규격이다. 일부 소수 국내 카드사들이 지원한다.
4. 각 카드사별 3D Secure 인증창
|
▲ 일본 미츠이스미토모카드의 VbV, SecureCode 입력창 |
|
▲ 신한카드의 VbV, SecureCode 입력창 |
|
▲ JCB의 J/Secure |
|
▲ 하나카드의 SafeKey (American Express) |
|
▲MasterCard의 ID CHECK[7] |
|
▲MIR의 MIR Accept[8] |
5. 관련 문서
[1] ActiveX나 플러그인 등을 사용하지 않는 해외 금융기관은 다른 걸 설치하지 않아도 무난하게 사용할 수 있었다.[2] 다이너스 클럽 포함[3] 지금은 KB국민카드에서 발행한 비자 체크카드도 3D Secure를 지원하므로 해당사항 없음[4] 또는 유사한 인증방식[5] 이런 식으로 말이다.[6] 기본적으로 비밀번호 입력방식이나 1회용 비밀번호이며, 한국 카드사는 앱카드에서 하는 2차인증 (지정번호 입력 혹은 QR코드 스캔) 방식이다.[7] 위메프에서 monzo에서 발행된 카드로 결제[8] YooMoney에서 Gazprombank에서 발행된 카드로 결제