PSD2 규정 및 규정 준수에 대해 알아야 할 사항
전자 결제 시장에 있어서 금융 기관과 결제 서비스 제공업체는 공통점이 많습니다. 그중에서도 양측 모두 온라인 거래의 새로운 흐름을 활성화함에 따라 엄격한 규제 대상이 된다는 점이 그렇습니다. 이는 지역별 결제 서비스 지침으로 인해 강력한 인증, 오픈 뱅킹, 규정 준수에 대한 기준이 높아지고 있는 유럽에서 특히 두드러집니다.
PSD2 규정 준수의 기본 사항, 이것이 중요한 이유, 현재 조직의 미래 경쟁력을 보장하기 위해 할 수 있는 일을 파악하려면 계속 읽어 보십시오.
PSD2란 무엇입니까?
PSD2는 Payment Service Directive 2(결제 서비스 지침의 두 번째 버전)의 줄임말입니다. 이는 특히 EU(유럽 연합)에 적용되지만 은행, 결제 처리 업체 및 그와 유사한 회사가 전 세계적으로 운영 방식을 바꿀 수 있는 잠재력을 지닌 획기적인 결제 서비스 규정으로 받아들여지고 있습니다.
2007년 유럽 위원회는 다음의 2가지 주요 이유로 최초의 결제 서비스 지침을 제정했습니다.
- 더욱 통합되고 경쟁력 있으며 효율적인 유럽 결제 시장을 조성하기 위해
- 디지털 시대에 보안이 더욱 강화된 안전한 결제를 위해
즉, PSD1은 기존 형태와 다른 기관의 참여를 유도함으로써 모든 금융 주체가 공평하게 경쟁할 수 있는 장을 마련하는 것을 목표로 했습니다. 이를 통해 핀테크 회사, 제3자 결제 업체 등 새로운 기업이 시장에 더 쉽게 진입할 수 있었습니다. 또한 단일 규제 프레임워크로 금융 기관을 통합하여 전체를 대상으로 하는 공통 규칙을 확립했습니다.
PSD1은 대중에게 수수료, 책임 및 소비자 권리에 관한 더 많은 투명성과 정보를 제공하기도 했습니다. 여기에 새로운 결제 업체는 시장에 진입하기가 보다 수월했으므로 소비자는 규제를 통해 더 많은 선택의 자유를 갖게 되었습니다.
그러나 시간이 지남에 따라 EU는 PSD1을 업데이트하고 개정해야 할 필요성을 인식했습니다. 2013년에 EU는 기술적 변화와 확산되는 보안 문제를 언급하면서 공식적으로 업데이트 및 개정을 시행하기로 결정했습니다. 3년 후 EU 회원국들의 투표를 통해 2018년 발효 예정이었던 PSD2가 통과되었습니다. 그러나 업데이트된 PSD2 규정의 특정 요소는 금융 기관이 시간을 갖고 적응할 수 있도록 단계적으로 도입했습니다.
PSD2의 주요 목적은 다시 한번 유럽 결제 산업 전반에 걸쳐 혁신, 경쟁, 보안을 한층 더 도모하는 것이었습니다.
누가 PSD2 규정을 준수해야 합니까?
PSD2는 모든 EU 회원국의 소비자를 보호하기 위한 것입니다. 따라서 결제 처리 업체, 은행, 중개업체, 핀테크 회사 등을 포함한 EU 금융 기관에 주요 초점을 두고 있습니다.
그러나 유럽 이외 지역에 본사를 둔 조직도 해당 지역에 고객이나 사용자가 있는 경우 PSD2 규정 준수 요건을 따라야 할 수 있습니다. 이 경우 회사가 현재 EU에서 사업을 운영 중이거나 계획하고 있다면 PSD2 규정을 준수할 수밖에 없습니다.
PSD2 요건을 충족하지 못하는 기관에는 연간 수익의 최대 4%에 해당하는 벌금이 부과될 수 있습니다.
PSD2 규정 준수 이해
PSD2 요건을 충족하기 전에 먼저 이로 인해 유럽 연합 전체의 은행 업무가 근본적으로 어떻게 변화되었는지 이해해야 합니다. 특히 '오픈 뱅킹' 도입으로 인한 변화를 살펴봐야 합니다.
오픈 뱅킹이란 무엇입니까?
오픈 뱅킹은 제3자 금융 서비스 제공업체가 API(애플리케이션 프로그래밍 인터페이스)를 통해 은행 및 기타 금융 기관의 소비자 뱅킹, 거래, 기타 데이터에 대한 공개 액세스 권한을 얻는 프로세스입니다. 간단히 말해서, 양측에서 금융 정보를 안전하게 공유하는 것입니다. 이 개념은 오래전부터 있었지만 PSD2가 유럽 전역에서 도입을 선도했습니다.
오픈 뱅킹의 도입으로 PSD2는 시장에서 경쟁, 투명성, 보안을 강화하겠다는 목표를 달성할 수 있었습니다. 그 결과, 규제를 받는 새로운 2가지 유형의 결제 서비스 제공업체가 등장했습니다.
- PISP(결제 개시 서비스 제공업체)는 온라인 결제를 위해 디지털 뱅킹을 사용하는 것을 지원합니다. 간단히 말하자면, 제3자를 통해 신용 카드나 직불 카드를 사용하지 않고 은행 계좌에서 직접 결제할 수 있습니다. '결제 개시'란 PISP가 거래를 용이하게 하는 인터페이스를 통해 두 계좌를 연결하는 데 사용하는 프로세스를 의미합니다.
- AISP(계좌 정보 서비스 제공업체)는 고객의 모든 은행 계좌 정보를 한 곳에 수집하고 저장하는 것을 수월하게 해 줍니다. 이를 통해 소비자는 재정에 대한 전체적인 시각을 바탕으로 쉽게 비용을 분석할 수 있습니다. 예를 들어, 예산 편성 앱과 가격 비교 웹사이트는 이러한 데이터를 단일 창에 보관하므로 계좌 정보 서비스 제공업체 범주에 해당될 수 있습니다.
PSD2 규정에 따라 이 두 업체는 소비자 동의를 요청해야 하며 중앙은행의 규제를 받습니다.
PSD2가 기존 금융 기관에 미치는 영향은 무엇입니까?
이제 은행은 고객이 권한을 부여하는 한 TPP(제3자 제공업체: AISP 및 PISP)에서 고객 계좌에 언제든지 액세스할 수 있도록 허용해야 합니다. 결과적으로 PSD2 규정 준수를 위한 주요 기술 요구 사항은 TPP가 계좌 정보에 액세스하는 데 필요한 개방형 API를 생성하는 것입니다.
또한 소비자에게는 결제 서비스와 관련하여 더 많은 선택권이 주어집니다. 이제 소비자는 현재 필요에 가장 부합하는 옵션을 선택할 수 있습니다. 이는 곧 은행이 더 치열하게 비즈니스 경쟁에 임해야 함을 의미합니다.
강력한 소비자 인증이란 무엇입니까?
개정된 결제 서비스 지침에는 SCA(강력한 고객 인증) 개념도 도입되었습니다. SCA 요건에 따라 소비자는 모든 결제에서 최소 2가지 유형의 MFA(다중 인증)를 사용해야 합니다. 이 방법은 3가지 범주로 구성됩니다.
- 지식: 비밀번호와 같이 고객이 이미 알고 있는 것입니다.
- 고유 특성: 지문이나 얼굴 인식과 같이 사용자의 신체 일부에 속한 것입니다.
- 소유물: 일회성 코드와 같이 사용자가 가지고 있거나 보낼 수 있는 것입니다.
SCA 요건은 더 안전하게 소비자를 보호하기 위한 것입니다. 사용자가 민감한 금융 정보에 바로 액세스할 수 없도록 추가 보호 장치가 구축되고 강력한 인증을 거쳐야 하므로 악의적인 사용자가 사기를 저지르기 더욱 어려워졌습니다.
PSD2는 어떻게 변하고 있습니까?
지속적인 개선을 목적으로 결제 서비스 지침을 다시 한번 업데이트하기 위해 유럽 위원회는 2022년에 해당 규정을 재평가하기로 결정했습니다. 평가를 통해 PSD2는 어느 정도 목표를 달성했다는 결과가 나왔습니다. 강력한 소비자 인증을 도입하여 사기를 줄이는 데 상당한 영향을 미쳤지만 새로운 과제도 대두됐습니다.
더 명확한 이해를 돕기 위해 유럽 위원회가 보고한 정확한 내용은 다음과 같습니다.
“PSD2가 대처하지 못하는 새로운 유형의 사기가 등장했습니다. 예를 들어, PSD3는 PSD2가 해결하지 못하는 '스푸핑'(위장 사기)과 같은 새로운 유형의 사기를 처리합니다. 사기범은 교묘한 수법(예: 은행의 전화번호 또는 이메일 주소를 사용)을 사용하여 고객이 거래 승인에 동의하도록 유도하므로 이를 무단 거래 또는 승인된 거래로 명확하게 단정 지을 수 없게 됩니다. SCA와 같은 지금까지의 예방 메커니즘은 이러한 사기를 방지하기에 미흡했습니다.”
보안과 관련된 우려 사항 외에도 위원회는 결제 서비스 제공업체 간에 여전히 불평등한 경쟁 영역이 있다는 점을 발견했습니다. 따라서 위원회는 EBA(European Banking Authority)의 자문을 받아 다음과 같은 개정안을 제안하기로 결정했습니다.
- 사기 방지 전략 강화
- 비은행권 결제 서비스 제공업체가 모든 EU 결제 시스템에 액세스하도록 허용
- 오픈 뱅킹 기능 개선
- 소비자 정보 및 권리를 더욱 향상
- 현금 가용성 증대
- 전자 화폐와 결제 서비스에 적용되는 법적 프레임워크 통합
PSD3 규정 준수 요건이 최종 확정되는 명확한 시기는 아직 정해지지 않았습니다. 다만 개정된 규정이 2024년 말까지 확정된다고 가정하면 EU 회원국들은 18개월의 전환 기간을 갖게 됩니다. 이는 PSD3가 2026년 말까지는 발효될 수 있음을 의미합니다.
PSD2 규정 준수 요건을 충족하는 방법
개정 내용에 상관없이 PSD 규정 준수는 금융 기관과 결제 서비스 제공업체가 협상할 수 없는 부분입니다. 따라서 조직의 미래를 보장하고 PSD3 확산에 한발 앞서 대처하기 위해 필요한 조치를 취해야 합니다. 특히 보안과 관련해서는 더욱 그렇습니다.
반가운 소식이 있다면 SCA 요건에 충분히 부합하고 소비자에게 가능한 한층 높은 수준의 보안을 보장할 수 있는 솔루션은 너무나도 많습니다. 예를 들어 Entrust와 같은 파트너의 지원을 받아 다음 기능을 활용할 수 있습니다.
- 피싱 방지 MFA(다중 인증): 위험 기반, 인증서 기반, 적응형 강화 인증을 비롯하여 강력한 여러 인증 전략을 구축합니다. SSO(싱글 사인 온)와 결합하면 사용자는 끊김 없이 원활하면서도 안전한 결제 서비스를 이용할 수 있습니다. 또한 SSO를 사용하면 비밀번호 피로와 재사용이 없어지므로 회사와 소비자가 안전하게 보호됩니다.
- 디지털 인증서: QWAC(Qualified Website Authentication Certificate)는 PSD2를 준수하여 민감한 데이터를 암호화하고 결제 서비스 제공업체와 금융 기관을 식별합니다. Entrust의 QWAC는 무제한 재발급 및 서버 라이선스를 제공하므로 추가 비용 없이 인증서를 재발급하고 설치할 수 있습니다.
- 거래 위험 분석: 거래 모니터링 및 위험 분석은 무카드 거래에 대한 장치 평판, 적응형 인증 및 3DS 규정 준수를 고려합니다.
- 신원 증명: 즉시 신원을 확인하여 고객 경험을 개선하고 이탈률을 낮춥니다. Entrust의 ID 증명 솔루션은 수천 개의 정부 발행 문서와 여러 단계에 걸쳐 강화된 보안을 지원합니다.
- HSM(하드웨어 보안 모듈): Entrust nShield® HSM은 서명 및 암호화 키를 생성, 저장하고 인증된 보안 장치에서 암호화 작업을 용이하게 하여 강력한 신뢰점으로 보호된다는 사실을 사용자가 인지한 상태에서 인증서를 발급하고 데이터를 암호화할 수 있습니다.
Entrust를 통한 거래 보호
PSD2 규정은 구현하기 어려운 만큼 중요합니다. 그러나 Entrust의 다양한 PSD2와 오픈 뱅킹 솔루션을 사용하면 수월하게 규정을 준수하고 규모에 맞게 요건을 충족할 수 있습니다.
MFA, 신원 증명부터 디지털 인증서, HSM에 이르기까지 고객에게 최고 수준의 보안을 보장할 수 있도록 도와드립니다.