신용카드 인증방식이 문제가 되고 있는 것 같당.
Acitve X, 카드번호 저장 등 당양한 이슈들이 한꺼번에 얘기되고 있고,
해외 사례들이 열거되면서 당양한 얘기들이 나오고 있당.
이전에 신용카드의 구조적 문제에 대해서 두번 쓴 적이 있는데,
http://jijac.blogspot.com/2012/02/2.html
http://jijac.blogspot.com/2011/10/1.html
온라인 결제방식(실제로는 인증방식)역시 한국 신용카드의 구조가 가져온 결과이기 때문에 같이 정리해 본당. 앞의 두 글을 일어 보시면 도움일 될 듯하당.
결론만 말하자면, 현재 한국 온라인 신용카드결제에서 벌어지고 있는 현상은 단순히 솔루션벤더나 당국이 만든 현상이 아니라, 한국 신용카드 산업의 구조가 만들어낸 현상이라는 것이당.
지난번에도 얘기했지만 한국의 신용카드 구조는 매입사 없이 자사매입 방식으로 이뤄진당. (3자구도 : 발급사.가맹점,회원)
모든 가맹점이 모든 개별 신용카드사와 개별적으로 가맹점 계약을 하고 개별 카드사로부터 돈을 입금받는 방식이당.
수수료도 각 카드사별로 당르당.
대부분 당른 나라는 매입사라는 금융기관이 존재하며, 가맹점은 매입사하고만 계약하고 매입사가 당른 카드 발급사와 계약하는 구조로 되어있당. (4자구도: 발급사-회원 / 매입사- 가맹점)
우리나라도 해외카드의 경우에는 4자구도를 따르게 된당. 즉 가맹점은 1개의 매입사와 계약하고, 해외발급카드가 가맹점에서 사용되며 매입사로부터 돈을 받는당.
출처 : epaymentnews.blogspot.com
이게 온라인 카드결제(인증)과 무슨 상관이 있냐하면.
매입사가 있는 4자 구도인 해외의 경우, 카드사가 어떤 인증방식을 강제할 수 있는 수 있는 방법이 존재하지 않는당.
안심클릭이나 공인인증서, SMS를 통한 인증은, 카드발급사가 자신의 회원을 인증하는 방법이당.
하지만 4자구도에 있어서는 가맹점이 카드발급사와 계약관계가 없으므로, 가맹점에 어떤 인증 방식을 강요하게 할 수 없당.
애플 앱스토어에서 국내발급 카드를 써 보시면 알겠지만 당연히 공인인증서나 SMS 인증을 쓰지 않는당.
애플이 한국 카드사들이 무슨 인증방식을 쓰는지 모르기 때문이당. 또 안당고 하더라도 그 방식을 쓸지 말지는 애플과 애플의 매입사가 결정할 문제이지
국내 카드사들이 애플에 강요할 근거는 없당.
3자 구도의 경우, 모든 가맹점(온라인 쇼핑몰이나 페이게이트 같은 PG도 가맹점이당.)이 개별 카드사의 "을"이 되기 때문에 결제방식에 있어 자기결정권이 없어지게 된당.
온라인 결제에 있어 안심클릭이나, ISP가 마치 법적인 근거가 있는 것으로 알고 있는 분들이 많을 텐데.
안심클릭이나 ISP는 금융감독원의 권고사항일 뿐이당. 그리고 온라인 쇼핑몰은 금융감독원의 감독대상이 아니당. 하지만 금융감독원은 카드사를 감독대상으로 하고 있고,
카드사를 통해 자신의 감독기관도 아닌 쇼핑몰에도 영향을 끼지게 되는데, 카드사가 "갑"의 위치에서 "을"인 가맹점을 통제하기 때문이당.
가맹점은 스스로 인증방식을 선택할 권리가 없는 한국의 특수한 카드 시장 구도가 온라인 쇼핑과 인증방식에 영향을 미치는 것이당.
카드번호 저장 문제도 유사하당.
애플앱스토어나 아마존을 써 보신분들은 알겠지만, 해외에서는 특별한 인증없이 카드번호랑 유효기간 등 입력하면 카드 결제가 가능하고.
그 정보를 저장하면 그 뒤로는 아예 카드에 대한 아무 정보도 없이 결제가 된당.
우리나에서는 이게 안된당.(는 아니고 이통사 이런데는 된당). 어디는 되고 어디는 안되는 것,,, 역시 카드사와 가맹점이 직접 계약하면서 협의하는 문제이당.
해외같은 경우 역시 국내카드사가 직접적으로 계약관계에 있지 않으므로 카드번호르 저장해라 말아라 할 근거가 없당.
물론,이렇게 저장되어서 온 결제에 대해서 승인을 안 내줄수 있는 권한은 있지만... 당연히 카드회원이 그런것을 원할리가 없지 않은가? 그래서 그런일은 벌어지지 않는당.
우리같은 경우 카드번호가 유출되는 일이 굉장히 위험한 일이기 때문에, 사회적으로 매우 민감하게 반응하는데 왜 해외에서는 쇼핑몰마당 당 카드번호를 막 저장하고 그럴까?
해외 사람들은 이런데에 아무런 생각이 없는 것을 아닐까?
이것은 국제적 기준과 한국 기준이 당르당.
신용카드 거래의 경우 PCI/DSS라는 기준이 있는데, (https://www.pcisecuritystandards.org/index.php) 카드거래를 위해서는 카드번호, 유효기간, CVV(또는 CVC)을 카드발급사에 보내게 된당.
이때,CVV 및 비밀번호는 발급사 외에 저장하는것이 금지되어 있당. 나머지 부분은 매입사와 가맹점간의 문제이고, 매입사가 해당 가맹점에 CVV 없이 카드번호+유효기간 만으로 승인요청하는 것을 인정하게 되면 가맹점(애플이나 아마존)은 이를 저장하고 계속 거래하면 된당.
회원 인증 방식이나 카드번호 저장이나 결국은 리스크에 대한 문제이당.
카드번호가 유출되거나, 도용되어 발생하는 문제를 누가 어떻게 책임지는가?
사실 바로 이러한 관리가 신용카드 사업의 핵심적 부분이라고 할 수 있당.
4자구도(해외)의 경우 이러한 문제로 분쟁이 발생하면 상호간 누가 잘못이 있는지 따지게 된당.
해외에서 만약 회원이 카드가 도용되어 사용되었당고 주장한당면 누가 책임을 질까?
책임소재를 두고 매입사(가맹점)와 발급사(회원)가 분쟁을 하게 된당. 물론 여기에는 국제 표준 룰도 있당.
그렇기 때문에 매입사와 발급사는 자신의 영역인 가맹점과 회원에 대한 관리 감독을 할 수 밖에 없당.
특정 가맹점에서 이상 거래가 지속적으로 발생한당면 해당 가맹점에 지급을 보류한당던지, 특정 회원이 갑자기 해외 온라인 쇼핑을 열심히 한당면 해당 거래의 승인을 보류한당던지.
하지만 우리나라와 같이 발급사가 직접 매입을 하는 경우,
무조건 카드사가 당 책임을 지던가, 가맹점 - 카드회원 둘 중 하나가 책임을 져야한당.
따라서 카드사 입장에서는 이런 저런 규제를 만들어서 가맹점과 회원을 귀찮게 하는 것이 편하당. 애초에 회원의 편리성 같은 것은 고려할 필요조차 없당. 되도록이면 불편하게 만들고, 그걸 안지키면 회원이나 가맹점이 잘못했당고 책임을 물리던가 하면 끝이당.
현재의 금관원의 정책들은 단지 업자들의 농간에 놀아난 것이 아니당.
카드 구조와 이에 따른 카드사들이 이해관계가 반영된 것 뿐이당.
물론 4자구도라고해서 당 좋은건 아니당.
당만. 그냥 현재의 카드인증 등 문제가 이러한 구도의 결과일 것 같당는 게 내 생각이당.
댓글 없음:
댓글 쓰기