제정일 : 2010 년 xx 월 xx 일 T T A S t a n d a r d 차세대모바일카드요구사항및시스템구성 Next Generation Mobile Card Requirements and System Configurations
제정일 :2010 년 xx 월 xx 일 차세대모바일카드 요구사항및시스템구성 Next Generation Mobile Card Requirements and System Configurations 본문서에대한저작권은 TTA 에있으며, TTA 와사전협의없이이문서의전체또는일부를상업적목적으로복제또는배포해서는안됩니다. Copyrightc Telecommunications Technology Association 2010. All Rights Reserved.
서 문 1. 표준의목적 모바일컨버전스환경에서 USIM 칩을탑재한휴대전화단말기를활용하여 Web 기반온라인쇼핑몰과모바일전자상거래 (m-commerce) 및오프라인가맹점에서의상거래를보다거래를안전하고편리하게구현하기위하여모바일카드규격에관련된사항을정의하는것을목적으로한다. 2. 주요내용요약 차세대모바일카드 는휴대전화단말기에삽입하는 USIM 칩에신용카드를발급하는방법부터모바일카드의사용에필요한요건, 그리고거래에필요한주위시스템과의연동방식에대한요건들을담고있다. 시스템적구성요소로는스마트지갑어플리케이션, 모바일카드애플릿, TSM(Trusted Service Manager), 오프라인결제시스템, 온라인결제시스템이있으며아래본문에서는이와같은시스템을이용한차세대모바일카드의개념및구성, 그리고서비스업무별흐름을포괄적이고일반적인내용위주로기술하였다. 3. 표준적용산업분야및산업에미치는영향 본표준은국내모바일카드발급및 m-payment 활성화를가져올수있을것으로예상되며, 은행및카드사가발행하는자사브랜드카드의모바일카드를발급시예상되는혼란을최소화하고보안관련기술의발전과관련응용서비스활성화에기여할것이다. 또한휴대폰을활용한모바일카드거래에대한편리성과안정성을확보하여 m-payment 시장을자연스럽게활성화시켜나갈것이다. 4. 참조표준 ( 권고 ) 4.1 국외표준 ( 권고 ) - EMV Integrated Circuit Card Specifications for Payment Systems Version 4.2 June 2008 - EMV Framework for Contactless Evolution Version 1.0 October 2007 i
4.2 국내표준 - TTA 표준에관한내용참조 5. 참조표준 ( 권고 ) 과의비교 5.1 참조표준 ( 권고 ) 과의관련성 참조하는국외표준인 EMV 에서도본표준과같이 IC 카드를이용한금융거래를위한표준화된거래절차를제안하였다. USIM 과외부와의데이터교환을위한명령어는내부처리인 USIM 과스마트지갑어플리케이션간의명령을제외하고 EMV 명령과동일하며, EMV 에서정의한데이터구조도이표준에서필요로하는전용데이터외에는기존에존재하는시스템과의호환성을위해서그대로사용한다. 언급한바와같이 EMV 에서는 IC 카드거래에대한업계표준을제공하나, 2010 년현재해당표준은 ISO 7816 규격을따르는단말기와카드간의거래에중점을두고있어, ISO 14443 규격의카드와단말기의거래에대한통합된표준을제공하고있지않다. 따라서각각의국제카드브랜드사 (Visa, MC 등 ) 는서로차별화된규격을사용하므로상호운영에어려움이있다. 이에, 본표준에서는모바일카드를이용함에있어표준화된 ISO 14443 규격을이용하는비접촉식거래절차를규정한다. 더나아가, 부가적인서비스를제공하지못하는 IC 카드의구조적인한계를벗어나기위하여스마트폰을이용한비접촉식금융거래와부가서비스와의결합에대한표준을규정한다. 5.2 참조한표준 ( 권고 ) 과본표준의비교표 EMV Integrated Circuit Card EMV Framework for Specifications for Payment Contactless Evolution Systems Version 4.2 June Version 1.0 October 2007 2008 비고 1. 개요 - - 추가 2. 표준의구성및범위 - - 추가 3. 정의 - - 추가 4. 요구사항 - - 추가 5. 차세대모바일카드동작의구성및주요업무흐름 - - 추가 ii
6. 지적재산권관련사항 - TTA 표준에관한내용참조 7. 적합인증관련사항 7.1 적합인증대상여부 - TTA 표준에관한내용참조 7.2 시험표준제정여부 ( 해당시험표준번호 ) - TTA 표준에관한내용참조 8. 표준의이력 판수제 / 개정일제 개정내역 제 1 판 2010.xx.xx 제정 iii
Preface 1. The Purpose of Standard The purpose of this standard is making specification to provide secure transactions at offline and online shop by using 3G mobile phones and USIMs in mobile convergence environment. In order to achieve this purpose, this standard develops and defines specification for the next generation mobile card 2. The Summary of Contents The next generation mobile card provides structured procedures for issuing and using credit cards in an USIM. This system is made with a smart purse application, a mobile credit applet, a TSM (Trusted Service Manager), and an offline and online transaction system. The concepts, configurations and work flows for each service will be followed as below 3. The Applicable fields of industry and its effect This standard is expected to boost issuing of local mobile card and popularize mobile payment, and minimize confusion, which might occurs in issuing local mobile card. It is also expected to improve secure technology and activate application services under mobile environment. Moreover, it will provide mobile payment market with secure and user friendly environment in using mobile phones 4. The Reference Standards (Recommendations) 4.1 International Standards (Recommendations) - EMV Integrated Circuit Card Specifications for Payment Systems Version 4.2 June 2008 - EMV Framework for Contactless Evolution Version 1.0 October 2007 4.2 Domestic Standards - Refer to TTA standards iv
5. The Relationship to Reference Standards (Recommendations) 5.1 The relationship of Reference Standards This standard has been developed referring to EMV, which defines standardized financial transaction for IC cards and recognized as an international standard. In order to maximize compatibility for pre existing system, proprietary commands and data structure are defined only for an USIM and an electronic purse, which are considered as internal transaction. Except for these, commands and data structures, which are defined in EMV specification, are used for this standard. Even though EMV provides industrial standards for IC card transactions, it only focuses for a transaction based on ISO 7816 standards, and does not provide fully covered transaction based on ISO14443 standards at present. Therefore this standard defines a contactless transaction, which based on ISO1443, for a mobile card. Furthermore, in order to overcome the limitation of IC card, this standard also defines combined service standards between a contactless transaction and a value added service by using a smart phone. 5.2 Differences between Reference Standard (recommendation) and this standard EMV Integrated Circuit EMV Framework for Card Specifications for Contactless Evolution Payment Systems Version 1.0 October 비고 Version 4.2 June 2008 2007 1. Introduction - - Added 2. Scope of standards - - Added 3. Definitions - - Added 4. Requirements - - Added 5. The configuration and the main work flow of next generation mobile card - - Added 6. The Statement of Intellectual Property Rights - Refer to TTA standards v
7. The Statement of Conformance Testing and Certification - Refer to TTA standards 8. The History of Standard Edition Issued date Contents The 1st edition 2010.xx.xx Established vi
목 차 1. 개요... 1 2. 표준의구성및범위... 1 3. 정의... 2 3.1 용어정의... 2 3.2 약어정리... 3 4. 요구사항... 4 4.1 사용자요구사항... 4 4.2 기능적요구사항... 5 4.3 보안요구사항... 9 5. 차세대모바일카드동작의구성및주요업무흐름... 14 5.1 차세대모바일카드활용에필요한요건... 14 5.2 시스템구성... 15 5.3 동작의구성및주요업무흐름... 22 vii
Contents 1. Introduction 1 2. The configuration and the range of standard 1 3. Definitions 1 3.1 Glossary 1 3.2 Abbreviations 2 4. Requirements 3 4.1 User requirements 3 4.2 Functional requirements 5 4.3 Security requirements 8 5. Configurations and work flows of next generation mobile card 14 5.1 Requirements for using next generation mobile card 14 5.2 System configurations 15 5.3 Operational configurations and work flows 23 viii
차세대모바일카드요구사항및시스템구성 Next Generation Mobile Card Requirements and System Configurations 1. 개요 신용카드정보를 USIM의모바일카드 Applet에저장하여모바일인터넷기반거래및오프라인가맹점에서의비접촉식거래시사용할수있고, 또한국내에서호환성을유지할수있는차세대모바일카드에대한표준을정의한다. 2. 표준의구성및범위 본표준은모바일카드를발급하고사용하는데있어필요한비즈니스적요구사항및관련기술적사항등을명시하고있으며크게다섯장으로구성되어있다. 첫째는 USIM에모바일카드정보를저장하여사용할수있는모바일카드애플릿의자세한구조및기능을기술하고있다. 둘째는내의신용카드발급사들이해당애플릿에신용카드정보를저장하는발급에대한프로세스및구조에대하여기술하고있다. 셋째는발급된모바일카드정보를저장하고있는애플릿을기반으로오프라인가맹점에서의비접촉식신용카드거래및모바일인터넷기반온라인가맹점에서의거래에대한프로세스, 관련정보및구성등에대하여기술하고있다. 넷째는 USIM에발급된모바일카드애플릿과휴대폰에로딩되어사용할수있는스마트지갑어플리케이션과의정보교환방법및프로세스등에대하여기술하고있다. 다섯째는오프라인가맹점에서의비접촉식결제를위하여 USIM에저장된모바일카드애플릿으로부터전송되는신용카드정보를받아서처리할수있는단말기에대한기능및관련프로세스등에대하여기술하고있다.
3. 정의 3.1 용어정의 가. 거래로그 (Transaction log) : 처리된거래에대한내역정보나. 모바일카드 (Mobile card) : 모바일카드의종류는신용카드, 체크카드, 포인트카드, 마일리지카드, 멤버십카드등다양한종류가존재하나본문중모바일카드는신용및체크카드를지칭함다. 미완거래 (uncompleted transaction) : 카드거래중에통신등의장애사유로정상처리되지못한거래라. 발급전문 (issuing message) : 모바일카드발급을위한데이터마. 온라인승인 (online transaction) : 거래를발생시점에실시간으로발급사서버에승인요청하고이에대한즉시응답을받아처리하는방식으로, 거래이후에처리하는일괄처리방식 ( 오프라인승인 ) 과대조된다. 바. 애플릿 (applet) :USIM 칩에저장되는어플리케이션프로그램사. 애플리케이션 (application) : 어플리케이션프로그램의약자로목적에따른전용프로그램을가리킨다. 본문에서는휴대전화단말기에저장 / 설치된프로그램을지칭한다. 아. 스마트페이 (Smart Pay) : 거래시점에가맹점단말기로부터제공된정보를활용하여해당거래에대한최적의카드를추천하는기능자. 주사용카드 (main card) : 사용자선택에의해우선적으로사용되도록설정된카드차. 추천카드 (recommended card) : 스마트페이기능에의해서해당거래에가장적합하다고추천된카드카. 쿠폰 (coupon) : 제조사에서제공하는할인등온 / 오프라인형태쿠폰및카드사에서개별카드상품별로제공하는할인서비스등을모두포함한형태타. 탈회요청 (revocation request) : 카드사용자의사용중인카드상품의해지신청파. CVC(Card Verification Code) : 신용카드의앞면혹은뒷면에새겨진검증용숫자. 3~4 개의숫자로보통카드번호다음에붙고, 사용하는동안에는변경되지않으며, 카드소지자를식별하는보안기능을갖는다. 신용카드의위조, 변조, 타인명의카드발급등부정사용방지를위해사용되는기능 2
하. EMV(Europay, Mastercard, VISA) : 세계 3 대신용카드회사인벨기에의유로페이, 미국의마스터카드, 비자카드등 3 개사가공동으로제정한 IC 카드및주변장치에대한표준규격 A. PG 모듈 (Payment Gateway module) : 지불중계서비스 ) 로서온라인을통한카드결제시해당거래에대한안전하고편리한처리를지원한다. B. USIM 인터페이스모듈 (USIM interface module) : USIM 애플릿과모바일어플리케이션간의데이터를중계하는모듈 3.2 약어정리 가. CSN Card Sequence Number 나. CVM Cardholder Verification Method 다. IAC Issuer Action Code 라. IF Interface 마. ISD Issuer Security Domain 바. PG Payment Gateway 사. PIN Personal Identification Number 아. POS Point Of Sale 자. RF Radio Frequency 차. SCMS Smart Card Management System 카. SMS Short Message Service 타. SSD Supplementary Security Domain 파. TID Transaction ID 하. TSM Trusted Service Manager A. UI User Interface B. USIM Universal Subscriber Identity Module C. VAN Value Added Network 3
4. 요구사항 현대소비생활로접어들면서소비자들은복수의신용카드나마일리지카드등너무다양화된혜택을소지함에따라오히려그활용에어려움을가지고있다. 이에, 본표준에서는모바일카드서비스를통해이러한불편함을해소하고더나아가사용자의보다현명한 (smart) 소비생활을지원하고자한다. 이를구현하기위해사용자는스마트폰에 스마트지갑어플리케이션 을설치 ( 다운로드 ) 하고지갑내복수의신용카드를 모바일카드 로발급받아저장하며, 이때발급받는카드는신용카드뿐만아니라마일리지, 멤버십등의범위까지포함한다. 발급받은 모바일카드 로결제시 스마트지갑어플리케이션 은가장유리한조건을가진카드및혜택을검색하여사용자에게추천하는기능을제공하며, 사용자는이러한기능을통하여카드마다상이한부가서비스의내용을숙지하고있지않더라도부가서비스의혜택을최대한누릴수있다. 더나아가서는, 카드의재발급없이도무선인터넷을통해원하는부가서비스를추가할수있는기능도제공된다. 상기와같은기능을제공하기위한요구사항을아래와같이정의한다. 4.1 사용자요구사항 사용자요구사항은일반적인사용자의관점에서모바일카드를발급받고이를사용하는데있어기본적으로요구되는사항으로모바일카드의주요기능을정의하는내용을담고있으며, 모바일카드의발급, 거래, 후발급으로나누어설명하고있다. 4.1.1 신청및발급 발급된신용카드정보를 USIM 칩에안전하게저장하고관리하여야한다. (Mandatory) 사용자가기발급받아소지하고있는다수의플라스틱신용카드정보를사용자의요청에따라모바일카드발급정보를생성하여해당사용자의휴대폰에이를저장할수있어야한다. (Mandatory) 사용자가소지한다수의발급사의카드중하나이상의신용카드정보를동시에저장하고관리할수있어야한다. (Mandatory) 신용카드정보이외에사용자의서명이미지를발급받고이를저장및관리할수있어야한다 (Optional) 신용카드정보이외에해당카드의혜택, 상태및현금카드, 쿠폰등의정보를추가적으로발급받고이를저장및관리할수있어야한다. (Optional) 신규모바일카드신청, 발급은사용자의요청에따라사용자가가소지한휴대폰을활용하여지원할수있어야한다. (Optional) 4
4.1.2 거래 ( 사용 ) 사용자의거래승인확인없이거래되는주사용카드를이용한고속거래시에는신용카드정보를암호화하여전송하여야한다. (Mandatory) 사용자가소지하고있는모바일카드의혜택을바탕으로결제시유리한조건을가진카드를검색하여추천할수있다. (Optional) 모바일카드사용시편리한본인확인절차를수행하기위하여신용카드비밀번호및서명이미지등을사용해야한다. (Mandatory) 모바일스마트지갑어플리케이션등과연계하여모바일카드를사용및관리할수있다. (Mandatory) 모바일카드를활용하여오프라인가맹점에서사용이가능해야한다. (Mandatory) 모바일카드를활용하여온라인가맹점에서사용이가능해야한다. (Optional) 사용자의구매의사에따라모바일카드정보가외부로전달되어야한다. (Mandatory) 오프라인가맹점에서사용시신용카드및관련된할인정보 ( 쿠폰, 마일리지등 ) 가한번의조작및거래로전송된다. (Optional) 최초발급되는카드가주사용카드로자동설정된다 (Mandatory) 사용자의선택에따라주사용카드를자유롭게설정할수있다. (Mandatory) 설정된주사용카드는사용자가구매시특정카드를선택하지않거나, 추천카드정보를사용하지않는경우에별도의조작없이사용될수있어야한다. (Mandatory) 사용자의요청에의하여거래를취소한경우에는기사용된신용카드서비스 ( 혜택 ) 등의정보를복원할수있다. (Optional) 4.1.3 후발급 휴대폰분실및신용카드탈회요청등에따라모바일카드 Applet의정지및삭제가무선인터넷망을통하여지원되어야한다. (Mandatory) 사용자및발급사의요청에따라신용카드와기타정보 ( 신용카드혜택, 쿠폰등 ) 를실시간으로변경할수있어야한다. (Optional) 4.2 기능적요구사항 기능적요구사항은상기사용자관점에서정의된일반적요구사항들을바탕으로모바일카드가안전하고편리하게사용될수있도록 USIM에저장되는모바일카드 Applet과스마트폰에저장되어모바일카드 Applet과상호연동될수있는스마트지갑 Application의기능적요구사항을정의하고있다. 5
4.2.1 거래 구매거래를지원한다 (Mandatory) 취소거래를지원한다 (Mandatory) 보완거래를지원한다 (Optional) 4.2.1.1 구매거래 모바일카드사용시발급사에의해서설정된본인인증방법 (CVM) 에따라본인확인을하여야한다 (Mandatory) 신용카드정보는암호화되어가맹점단말기 ( 동글 ) 로전달된다. (Optional) 결제시가맹점단말로부터제공된구매정보및가맹점정보를활용하여모바일카드 Applet은저장된신용카드의혜택정보및쿠폰정보등을활용하여해당거래에적합한카드정보를스마트지갑어플리케이션으로제공한다. (Optional) 구매거래시쿠폰, 포인트, 마일리지및신용카드의제한적혜택서비스를사용할수있다. (Optional) 구매거래후에는관련된해당거래에사용된쿠폰, 포인트, 마일리지및신용카드의제한적혜택서비스를차감한다. (Optional) 구매거래는신용카드사에서실시간온라인승인을득해야한다. (Mandatory) 구매거래에는거래금액외에도구매내역 ( 가맹점번호, 수량등 ) 을참조한다. (Optional) 구매거래에는신용카드정보 ( 신용카드번호, 유효기간, CVC 등 ) 와구매거래인증값이신용카드사에서승인되어야한다. (Mandatory) 온라인가맹점 ( 비대면 ) 거래는최종거래응답값을처리한다. (Mandatory) 오프라인가맹점 ( 대면 ) 거래는신속처리를위하여거래응답값수신처리를생략한다. (Optional) 발급사가설정한 IAC을이용해서터미널리스크매니지먼트를지원해야한다 (Optional) 인증절차를거친거래정보는오프라인가맹점에설치된모바일카드전용단말기인동글에서모바일카드정보를 POS나 CAT 등의결제단말기로안전하게전달해야한다. (Mandatory) 4.2.1.2 취소거래 취소거래는신용카드사와실시간처리를한다. (Optional) 온라인가맹점 ( 비대면 ) 거래의취소거래는없다. (Optional) 6
4.2.1.3 복원거래 취소거래후에는관련된해당거래에서사용된신용카드의제한적혜택서비스및멤버십마일리지, 포인트등을복구한다. (Optional) 미완료된거래의상태를완료하기위한복원거래를지원해야한다. (Mandatory) 복원거래는신용카드사와실시간처리를해야한다. (Optional) 4.2.1.4 고속거래 모바일카드의편리한사용을위하여스마트지갑애플리케이션구동없이사전에설정된주사용카드로결제가가능한고속결제를지원할수있어야한다. (Mandatory) 고속거래는사전에설정된주사용카드가사용된다. (Mandatory) 고속거래는결제시간의단축을요하는사실적계약관계에한정하여적용된다. (Mandatory) 고속거래에서신용카드정보는암호화되어가맹점단말기 ( 동글 ) 로전달된다. (Mandatory) 고속거래는오프라인가맹점에서만적용된다. (Mandatory) 고속거래의암호화된신용카드정보의복호화는가맹점단말기에서수행된다. (Mandatory) 4.2.2 로그 거래로그를지원해야한다 (Optional) 거래로그를지원하는경우관리개수는최소 5개가되야한다. (Mandatory) 거래로그의내용은거래번호, 거래일시, 가맹점상호및번호, 거래금액, 거래종류, 거래상태등로그데이터구조에서정한대로구성한다. (Mandatory) 거래번호는거래일시와 USIM의 CSN 등의정보로조합되어고유하게생성된다. (Optional) 오프라인가맹점구매거래후에는해당거래에대한로그가생성된다. (Optional) 온라인가맹점구매거래시에는신용카드사의거래응답이도달된후로그가생성된다. (Optional) 온라인가맹점구매거래의시작과종료사이의시간에는거래중의거래상태표시가표시된다. (Optional) 스마트지갑어플리케이션은거래상태의표시를참조하여보완거래대상거래를사용자에게공지한다. (Optional) 7
4.2.3 신용카드정보의저장 하나의모바일카드애플리케이션 (applet) 에는복수의독립적인신용카드가저장될수있어야한다. (Mandatory) 카드에는개인 / 신용정보및본인인증값을가지고있어야한다. (Mandatory) 각신용카드정보는신용카드기본정보인신용카드번호, 유효기간, CVC 등의값으로구성된다. (Mandatory) 각신용카드의확장정보에는신용카드의혜택정보를포함할수있다. (Optional) 1 가맹점번호, 유효기간, 할인내용, 할인회수, 할인조건만족등의정보를포함할수있다. 2 가맹점번호는업종, 업태, 고유번호의조합으로구성된다 3 유효기간은혜택을적용할수있는기간을의미한다 4 할인회수는제한적인혜택의경우에사용할수있는잔여회수를의미한다 5 신용카드의혜택은여러개가존재할수있다 6 신용카드의혜택은스마트지갑어플리케이션등에의해삭제및추가될수있다 7 신용카드의혜택은할인조건만족필드가참이어야서비스받을수있다 8 할인조건만족필드는신용카드사가스마트지갑어플리케이션등을통하여일정주기로갱신할수있다. 9 할인내용은정액할인, 정률할인등을포함한다 10 신용카드혜택정보의갱신은해당신용카드를발급한신용카드사만이수행할수있다. 11 신용카드혜택정보는해당거래시에사용자가받는할인혜택에관한정보를제공한다 12 신용카드혜택정보를기반으로사용자는최적의지불조건을제공하는신용카드를선택할수있다 13 신용카드혜택정보는복수의혜택이중복적용될수있다 14 신용카드혜택정보는구매거래시에차감된다 신용카드의정보는사용자가임의로구성하거나발급할수없다. (Mandatory) 최소 3개이상의신용카드를저장할수있어야한다. (Mandatory) 4.2.4 스마트지갑어플리케이션 결제시모바일카드애플릿에저장된신용카드를조회후사용자선택에따라해당카드로결제를지원할수있어야한다. (Mandatory) 편리한모바일카드사용을위하여스마트지갑에서모바일카드 Applet에저장된여러개의모바일카드중에서하나의주사용카드설정이가능해야한다. (Mandatory) 결제시해당가맹점정보를활용하여복수개의모바일카드정보가저장된모바일카드 Applet에서선택된최적의카드를확인할수있어야하며, 스마트지 8
갑 Application에저장된멤버십, 쿠폰등의정보를추가하여사용자에게해당가맹점에서의최적의구매조건을실시간으로계산하여제공해줄수있다. (Optional) 카드발급상황등의관리기능을구현해야한다. (Mandatory) 1 발급된카드의정보를조회할수있어야한다. 2 신용카드의주요정보 ( 카드번호 / 유효기간 /CVC) 는인증없이확인될수없다 3 모바일카드즉시발급요청, 사용자요청에따른모바일카드의정지등이가능해야한다. 4 발급된모바일카드의혜택및혜택의조건등을확인할수있어야한다. 스마트지갑어플리케이션은최초구동될때 TSM을통하여모바일카드에반영할사항이있는지점검하기위하여동기화작업을수행한다. (Mandatory) 스마트지갑은해당사용자의다양한멤버십카드와카드사이외의제조사및가맹점에서발급된다양한쿠폰정보등을저장및관리할수있어야한다. (Optional) 미완거래는거래로그를읽어서파악할수있다. (Optional) TSM을통하여모바일카드 Applet의잠금요청이있을시그에따른처리를한다. (Mandatory) 모바일카드의편리한선택및사용을위하여신용카드이미지를해당신용카드정보와매칭하여관리할수있어야한다. (Optional) 4.3 보안요구사항 보안요구사항은모바일카드 Applet과스마트지갑어플리케이션을사용하는데있어각각의정보가외부유출및해킹등의위협으로부터안전하게보호되기위하여필요한사항을담고있다. 4.3.1 카드발급정보보호 Applet은스마트지갑어플리케이션비밀번호로인증되기전에카드정보에대한액세스시도에대해서정의된에러코드를리턴한다 (Mandatory) 에러코드를리턴하는경우데이터를내보내서는안된다. (Mandatory) SELECT명령의경우스마트지갑어플리케이션비밀번호로인증되기전에도정의된경고코드와함께데이터를리턴한다 (Mandatory) Applet은스마트지갑어플리케이션비밀번호인증과관계없이후발급관련명령을지원한다 (Mandatory) 9
4.3.2 거래 거래에필요한신용카드데이터의액세스는스마트지갑어플리케이션비밀번호 (GPIN) 인증을받아야한다. (Mandatory) 고속거래를제외한거래에서스마트지갑어플리케이션을구동후사용자의사확인및선택에따라사용될수있도록한다. (Mandatory) 4.3.2.1 구매거래 온라인가맹점거래는비대면거래로서결제비밀번호인증을통해서만수행될수있다. (Mandatory) 오프라인가맹점거래에서의거래는결제비밀번호인증및자필서명이미지 확인을통해서수행될수있다. (Optional) 오프라인가맹점에서의결제시에는발급사및가맹점의정책등에따라본인확인절차를생략할수있다. (Optional) 4.3.2.2 고속거래 R/F 방식으로전달되는신용카드정보는암호화알고리즘을이용하여암호화한다. (Mandatory) 고속거래의사용유무는사용자에의해서지정된다 (Mandatory) 고속거래를사용하기위해서는초기스마트지갑어플리케이션구동시, 스마트지갑어플리케이션비밀번호에의해서인증을받아야한다 (Mandatory). 암호화알고리즘은발급사에의해서지정될수있다 (Optional) 4.3.3 발급 모바일카드의발급은 TSM key에의해인증후발급된다. (Mandatory) 발급은 TSM과 USIM Applet과의 End-to-End 보안 채널을 이용한다. (Mandatory) 스마트지갑어플리케이션은발급전문의내용을알수없어야한다. (Mandatory) 4.3.4 본인인증방법 (CVM) 본인인증방법에는크게사용자가스마트지갑어플리케이션에입력한결제비밀번호를인증후거래하는선행인증과, 가맹점단말기로전달된서명이미지와자필서명의동일성을확인하는자필서명인증등의후행인증으로나눌수있다. 10
4.3.4.1 자필서명 모바일카드 Applet에저장된전자서명이미지와가맹점에설치된전자서명판에사용자가서명한자필서명이미지정보를동시에 POS 등으로전달하여두가지전자서명의일치여부를가맹점에서확인함으로써본인검증을수행하는자필서명인증은각신용카드사에서지원여부를결정한다 (Mandatory) 자필서명인증시에는신용카드의결제비밀번호인증을생략한다. (Optional) 자필서명인증에서신용카드정보는암호화되어가맹점단말기 ( 동글 ) 로전달된다. (Optional) 자필서명인증은오프라인가맹점거래에서만사용한다. (Mandatory) 4.3.4.2 스마트지갑어플리케이션비밀번호 (GPIN) 스마트지갑어플리케이션비밀번호는모바일카드 Applet에존재한다. (Mandatory) 스마트지갑어플리케이션비밀번호는최소 4자리숫자로이루어진다. (Mandatory) 스마트지갑어플리케이션비밀번호의인증실패시남은잔여인증가능회수를출력한다. (Mandatory) 스마트지갑어플리케이션비밀번호의인증가능회수카운터는인증성공시최대값으로초기화된다 (Mandatory) 인증가능회수카운터는최소 3회이상, 최대 5회이하로설정된다. (Mandatory) 인증가능회수카운터가 0의값을가지면거래사용이중지된다. (Optional) 인증가능회수카운터는 TSM에서초기화한다. (Mandatory) 스마트지갑어플리케이션비밀번호는읽을수없다. (Mandatory) 스마트지갑어플리케이션비밀번호의인증은모바일카드 Applet에서수행한다. (Mandatory) 4.3.4.3 결제비밀번호 (LPIN) 결제비밀번호는모바일카드 Applet에발급된모든신용카드에각각존재한다. (Mandatory) 결제비밀번호는최소 4자리숫자로이루어진다. (Mandatory) 결제비밀번호의인증실패시남은잔여인증가능회수를리턴한다. (Mandatory) 결제비밀번호의인증가능회수카운터는인증성공시최대값으로초기화된다 (Mandatory) 인증가능회수카운터는최소 3회이상, 최대 5회이하로설정된다. (Mandatory) 인증가능회수카운터가 0의값을가지면거래사용이중지된다. (Optional) 인증가능회수카운터는 TSM에서초기화한다. (Mandatory) 11
결제비밀번호는읽을수없다. (Mandatory) 결제비밀번호의인증은모바일카드 Applet에서수행한다. (Mandatory) 모바일카드의비밀번호는기소지하고있는 MS카드의비밀번호와같다. (Optional) 결제비밀번호의인증은자필서명인증에서생략한다. (Optional) 4.3.4.4 온라인카드비밀번호 (MS 카드비밀번호 ) 온라인카드비밀번호는모바일카드 Applet에발급된모든신용카드에각각존재한다. (Mandatory) 온라인카드비밀번호는최소 4자리숫자로이루어진다. (Mandatory) 온라인카드비밀번호의인증은가맹점단말기의비밀번호입력장치에서수행한다. (Optional) MS카드의비밀번호는모바일카드의비밀번호와같다. (Optional) 온라인카드비밀번호는발급사 Host에서인증한다. (Optional) 4.3.5 비밀번호입력장치 (PIN pad) 비밀번호입력장치는입력된비밀번호를 applet에전달하는즉시메모리에서파기해야한다. (Mandatory) 비밀번호입력장치는거래종료시와지정된타임아웃발생시, 입력된비밀번호를모두파기한다 (Mandatory) 비밀번호입력장치는비정상적인명령, 명령파라미터, 논리적인실행순서변경등의비정상적인액세스시도로부터내부데이터를보호해야한다 (Mandatory) 비밀번호데이터는암호화되지않은상태로비밀번호입력처리컴포넌트로부터어플리케이션내의다른컴포넌트에전달해서는안된다 (Mandatory) 비밀번호입력장치는소리, 화면으로부터입력된비밀번호를유추할수없어야한다 (Mandatory) 비밀번호입력장치는 PCI 보안요건을만족해야한다 (Optional) 4.3.6 일시거래정지 사용자의요청에 따라 특정 신용카드의 거래기능을 정지할 수 있다. (Mandatory) 관리 PIN 인증후에해당신용카드일시거래정지를설정할수있다. (Optional) 주사용카드로결제하는경우고속거래로선택한경우에도일시거래정지를사용 할수있다. (Optional) 일시거래정지상태복귀는사용자의관리PIN 인증을거쳐야한다. (Mandatory) 12
4.3.7 잠금 사용자의분실 / 도난신고처리를접수하여 TSM이수행한다. (Mandatory) 잠금상태에서는모든신용카드의거래가일시에중지된다. (Mandatory) 잠금상태의해지는 TSM에서수행한다. (Mandatory) 4.3.8 거래채널 접촉거래와비접촉거래는신용카드정보의보호를위해반드시구분되어야한다. (Mandatory) 4.3.8.1 온라인가맹점거래 ( 비대면거래 ) 자필서명을통한거래는불가하다. (Mandatory) 결제비밀번호는필수적으로선행인증되어야한다. (Mandatory) 결제비밀번호는 Applet에서인증한다. (Optional) 결제비밀번호는발급사 Host에서인증할수있다. (Optional) 4.3.8.2 오프라인가맹점거래 ( 대면거래 ) 4.3.8.2.1 고속거래 신용카드정보는암호화되어가맹점단말기에전달된다. (Mandatory) 4.3.8.2.2 일반거래 스마트지갑어플리케이션의비밀번호로인증되기전에는카드정보에대한접근이불가하다 (Mandatory) 4.3.9 거래인증 신용카드사는거래승인을위한거래인증값을생성한다. (Mandatory) 거래인증값은구매정보를기반으로생성되며, 매거래마다고유한값이어야한다. (Mandatory) 모바일카드는신용카드사에서생성된거래인증값은수신해야한다. (Optional) 13
5. 차세대모바일카드동작의구성및주요업무흐름 5.1 차세대모바일카드활용에필요한요건 본절은차세대모바일카드의개념및구성, 그리고서비스업무별흐름을활용하여구현하고자하는목표시스템에대한개념도를그리는것을목적으로작성되었다. 목표시스템을구성하는주요구성요소는스마트지갑어플리케이션, 모바일카드애플릿, TSM, 오프라인결제시스템, 온라인결제시스템이며, 본문서에서는각각의구성요소를개발하는데필요한세부적인구현정보를제공하지는않는다. 세부적인구현정보가필요한경우에는다음의규격을참조한다. 모바일카드애플릿규격 모바일카드발급규격 모바일카드승인 / 매입규격 모바일카드연동규격 모바일카드오프라인결제단말기규격 14
5.2 시스템구성 그림 1. 전체시스템구성도 신용카드보급이활성화되면서소비생활에서현금대신에신용카드를이용하여결제되는금액이큰비중을차지하게되었다. 사용자유치를위한신용카드발급사들의경쟁이점차심화되면서기본적인결제기능이외에포인트적립, 결제금액할인, 무이자할부등다양한형태의부가서비스를가진신용카드들이등장하게되었다. 하지만사용자가부가서비스의내용을완벽하게숙지하고신용카드결제시에최대한활용하기란쉽지않은일이다. 특히두개이상의신용카드를소유하고있는것이일반화된최근에는이러한문제가더욱두드러지게나타난다. 사용자는신용카드결제시현재지갑속에소유하고있는신용카드들중에서어떤것을선택해야하는지고민하게된다. 모바일카드서비스는이러한불편함을해결하고, 사용자가보다현명한소비를할수있도록도와주기위한것이다. 사용자는자신의스마트폰에스마트지갑어플리케이션을설치하여실행하고, 지갑속의신용카드를모바일카드형태로변환하거나신규모바일카드를신청하여스마트지갑어플리케이션에발급 ( 다운로드 ) 받는다. 신용카드뿐만아니라쿠폰, 마일리지, 멤버십등과같이부가서비스를제공하기위해서필요한각종정보들도스마트지갑어플리케이션속으로이동이가능해야한다. 스마트폰의스마트지갑어플리케이션은복수개의모바일카드를발급받아저장하는것이가능하며, 모바일카드로결제시가장유리한조건을가진카드를검색하여사용자에게추천하는기능을제공한다. 사용자는이러한기능을활용하여평소신용카드 15
별로제공되는부가서비스의내용을숙지하고있지않더라도부가서비스의혜택을최대한누릴수있다. 또한신용카드의재발급없이무선인터넷에접속하여새로운부가서비스를추가할수있는기능도제공된다. 모바일카드서비스는스마트지갑어플리케이션, 모바일카드애플릿, TSM, 오프라인결제시스템, 온라인결제시스템으로구성되며, 다음장에서상세하게설명하고있다. 16
5.2.1 스마트지갑어플리케이션 그림 2 스마트지갑어플리케이션개념도 스마트지갑어플리케이션은스마트폰에서구동되는어플리케이션으로서모바일카드와쿠폰, 마일리지, 멤버십등과같은부가서비스제공에필요한정보들을관리하고, 가맹점에서모바일카드로결제하는데필요한절차를수행한다. 사용자가발급받은모바일카드및부가서비스정보들은데이터의속성및중요도등에따라분류되어스마트지갑어플리케이션이구동되는스마트폰내부의메모리공간과 USIM 내부메모리공간에저장된다. 따라서스마트지갑어플리케이션이수행하는대부분의기능은 USIM 내부에존재하는모바일카드애플릿과연동되어야하며이를위해서이동통신사업자로부터제공받은 USIM 인터페이스모듈을이용하게된다. 또한모바일카드와부가서비스의발급및삭제, 그리고거래복구등의작업을수행하기위해서무선인터넷을통한외부시스템과의연계도필요하다. 다음은스마트지갑어플리케이션의주요기능을정리하여나열한것이다. 다수의모바일카드및부가서비스정보관리 실시간모바일카드및부가서비스발급 ( 추가 )/ 삭제 / 발급내역조회 실시간모바일카드기능정지및해제 모바일카드를이용한온라인가맹점에서의신용카드결제 모바일카드를이용한오프라인가맹점에서의신용카드결제 스마트페이 (Smart Pay) 17
5.2.2 모바일카드애플릿 그림 3 모바일카드애플릿개념도 모바일카드애플릿은 USIM 내부에서구동되는어플리케이션이며, 스마트폰의스마트지갑어플리케이션과연동된다. 모바일카드와연계되는현금카드 / 쿠폰 / 카드서비스등을저장하기위해서슬롯 (Slot) 이라고명명된영역이존재한다. 오직하나의슬롯에는하나의모바일카드정보만을저장할수있는데애플릿이다수의슬롯을제공함으로써, 다수의모바일카드정보를저장하고관리하는것이가능하게한다. 디렉토리영역에저장된모바일카드발급목록을저장하여요청시스마트지갑어플리케이션이나가맹점결제단말기에전달될수있도록한다. 또한전자서명이미지를저장하기위한영역을제공하여결제시사용자신분확인용도로사용이가능하다. 보안영역에서관리하는 PIN( 비밀번호 ) 과암호화키는모바일카드애플릿에새로운데이터를추가하거나기존의데이터를갱신하는경우에사용자신분을확인하고, 전송되는데이터의기밀성과무결성을보장하기위해서사용된다. 모바일카드애플릿은결제요청시암호화된인증데이터를생성하고, 선택된모바일카드정보와함께전달한다. 18
5.2.3 TSM 그림 4 TSM 개념도 TSM(Trusted Service Manager) 는온라인으로수행해야하는모바일카드관리업무를스마트지갑어플리케이션으로부터요청받아처리하는시스템이다. 요청받은업무를원활하게처리하기위해서는이동통신사업자 (MNO) 및신용카드발급사, 그리고제휴서비스제공자등의시스템과연동이필요하다. 스마트지갑어플리케이션이 TSM에요청하여처리할수있는모바일카드관리업무는다음과같다. 모바일카드애플릿설치 모바일카드발급및삭제, 정보변경 모바일카드정지및해제 부가서비스 ( 쿠폰, 마일리지 ) 발급및관리 스마트지갑어플리케이션정지및해제 19
5.2.4 온라인결제시스템 그림 5. 온라인결제시스템구성도 온라인결제시스템은스마트폰에서무선인터넷을통하여모바일쇼핑몰 ( 온라인가맹점 ) 을방문하고, 물품을구매한이후에스마트지갑어플리케이션을통해서모바일카드로결제하는것이가능하도록해준다. 모바일쇼핑몰에서사용자가결제수단으로모바일카드를선택하면, P/G 모듈이구동되고모바일카드결제절차가수행된다. 이때, 사용자는주거래카드로설정되어있는모바일카드를이용하여결제를요청하거나, 스마트페이 (SmartPay) 기능이실행되어스마트지갑어플리케이션으로부터추천받은모바일카드를이용하여결제를요청할수있다. 스마트페이기능을실행하지않고, 사용자가직접발급목록을조회하여모바일카드를선택하여결제를요청할수도있다. 스마트지갑어플리케이션은 P/G 모듈과의연동을위해서표준화된인터페이스를제공해야한다. 20
5.2.5 오프라인결제시스템 그림 6. 오프라인결제시스템구성도 오프라인결제시스템은사용자가오프라인가맹점을방문하여물품을구매하고, 스마트폰을결제단말기의 RF 통신모듈에터치 (Touch) 하여모바일카드로결제하는것이가능하도록해준다. 오프라인가맹점에서모바일카드로결제하는방법은고속결제방식과 Smart Pay 방식으로구분하다. Smart Pay는사용자가스마트지갑어플리케이션을구동하고, 결제단말기의 RF 통신모듈에터치하여최상의결제조건을가진모바일카드를검색하기위한정보들 ( 예 : 가맹점코드, 거래시간, 거래금액등 ) 을전달받는다. 검색된결과는스마트지갑어플리케이션의화면으로출력되고, 사용자의최종선택이후에다시결제단말기의 RF 통신모듈에터치하여결제를완료하는방식이다. 21
5.3 동작의구성및주요업무흐름 5.3.1 모바일카드애플릿설치 USIM에모바일카드애플릿을설치하는절차에대해서기술한다. 모바일카드애플릿설치방법에는모두세가지가있으며그방법에는사용자가스마트지갑어플리케이션어플리케이션을스마트폰에설치한이후어플리케이션을통해 TSM에접속하여설치하는방법과 USIM 제조단계에서설치하는방법. 그리고이동통신사대리점에서설치하는방법이있다. 5.3.2 스마트지갑어플리케이션구동시동기화작업 스마트지갑어플리케이션어플리케이션이구동될때마다최초로진행되는작업을동기화작업이라고한다. 미완료거래오류복구, 카드발급, 혜택변경등과관련된업데이트정보를 TSM으로부터확인후업데이트대기목록이존재하는경우관련정보업데이트를실행한다. 업데이트대기목록이존재하지않으면바로스마트지갑어플리케이션어플리케이션의초기메뉴화면이실행된다. 5.3.3 모바일카드발급 스마트지갑어플리케이션어플리케이션을구동하여 USIM에존재하는모바일카드슬롯 (Slot) 영역에새로운모바일카드를발급하는절차에대해서기술한다. 모바일카드발급방법에는스마트지갑어플리케이션어플리케이션을통한온라인신청방법과발급사및은행영업점에방문하여직접서면으로신청하는방법두가지가있다. 5.3.4 모바일카드삭제 기존 USIM에존재하는모바일카드슬롯에발급된각각의모바일카드를삭제하는절차에대해서기술한다. 신용카드를삭제하기전각각의슬롯에이미모바일카드가발급되어있어야한다. 5.3.5 온라인가맹점거래 모바일쇼핑몰과 Web기반의온라인가맹점에서휴대폰에저장된모바일카드를이용하여지불거래를수행하는절차를말한다. 5.3.6 오프라인가맹점거래 오프라인가맹점에서모바일카드를이용하여지불거래를수행하는절차에대해서기술한다. 거래방법에는스마트지갑어플리케이션어플리케이션이구동되지않은상태 22
에서직접단말기에접촉해결제가능한고속결제방법과스마트지갑어플리케이션어플리케이션을구동시켜결제방법을직접선택하여결제하는방법두가지가있다. 5.3.7 부가서비스 ( 쿠폰, 카드혜택정보 ) 추가 사용자가스마트지갑을통해서요청하거나, 발급사또는 TSM에서개별사용자에게맞춤혜택을줄수있는기능을말한다. 5.3.8 모바일카드발급정보변경 이미발급되어있는모바일카드의발급정보 ( 예 : 만료일, 서비스코드, 카드번호등 ) 를변경하는절차를말한다. 5.3.9 모바일카드서비스중지및재개 모바일카드서비스중지및재개는모바일카드및스마트폰분실시에모바일카드서비스의전체기능을정지하거나정지된기능을재개하는절차를의미한다. 모바일카드서비스의전체기능이정지되면모바일카드결제와관련된스마트지갑어플리케이션어플리케이션의메뉴가비활성화되며, USIM에존재하는모바일카드애플릿도데이터조회를위한명령어만사용이가능하다. 5.3.10 모바일카드잠금 모바일카드정지및해제는 USIM에존재하는모바일카드슬롯 (Slot) 에발급되어있는특정모바일카드의기능만을잠그거나잠금해제하는절차를의미한다. 이를통해특정신용카드의스마트페이에서제외하거나온라인, 오프라인가맹점에서의사용을제한하기위한목적으로사용된다. 5.3.11 미완료거래에대한복구 온라인가맹점거래시모바일카드를이용하여지불절차를수행하는도중에거래가중단되거나사용자가최종거래결과를전달받지못했을경우에복구처리를수행하는절차를말한다. 5.3.12 취소거래 모바일카드로지불된거래내역을취소하기위한절차를기술한다. 취소거래절차는온라인가맹점취소거래와오프라인가맹점취소거래로구분한다. 23
표준작성공헌자 표준번호 : 이표준의제 개정및발간을위해아래와같이여러분들이공헌하였습니다. 구분성명위원회및직위연락처소속사 과제제안 장석호 개인정보보호및 ID 관리프로젝트그룹 / 위원 Office : 02-520-4448 sokhochang@bccard.com 비씨카드 표준초안제출 정영민 개인정보보호및 ID 관리프로젝트그룹 / 준위원 Office : 02-520-4459 0minjung@bccard.com 비씨카드 김태진 Office : 02-520-4010 tedkim@bccard.com 비씨카드 장석호 개인정보보호및 ID 관리프로젝트그룹 / 위원 Office : 02-520-4448 sokhochang@bccard.com 비씨카드 표준초안검토및작성 황세훈 Office : 02-3475-8452 staste@bccard.com 비씨카드 이지호 Office : 02-3775-8343 jihoyi@bccard.com 비씨카드 정영민 개인정보보호및 ID 관리프로젝트그룹 / 준위원 Office : 02-520-4459 0minjung@bccard.com 비씨카드 표준안심의 사무국담당 24
차세대모바일카드요구사항및시스템구성 (Next Generation Mobile Card Requirements and System Configurations) 발행인 : 한국정보통신기술협회회장발행처 : 한국정보통신기술협회 463-824, 경기도성남시분당구서현동 267-2 Tel: 031-724-0114, Fax: 031-724-0019 발행일 : 2010.xx 25