결제 생태계의 작동 방식

Eiji Kitamura

웹 결제 생태계에 참여하는 사용자, 상호작용 방식, 참여 방법을 자세히 알아보세요.

웹 결제의 구조

Web Payments는 여러 웹 표준으로 구성됩니다.

  • Payment Request API: Payment Request API를 사용하면 네이티브 브라우저 UI를 통해 빠르고 간편하게 결제할 수 있습니다. 일관된 결제 흐름을 제공하는 동시에 사용자가 결제할 때마다 배송 및 결제 정보를 입력할 필요성을 줄여줍니다.
  • 결제 핸들러 API: 결제 핸들러 API는 웹 기반 결제 애플리케이션이 표준 결제 요청 API를 통해 판매자 웹사이트에서 결제 수단으로 작동하도록 허용하여 결제 제공업체에 생태계를 개방합니다.
  • 결제 수단 식별자: 결제 수단 식별자는 문자열 (https://google.com/pay, https://apple.com/apple-pay 등)을 사용하여 결제 수단을 식별하는 방법을 정의합니다. 표준화된 결제 수단 식별자와 함께 URL 기반 결제 수단 식별자를 사용하여 누구나 자체 결제 수단을 정의할 수 있습니다.
  • 결제 수단 매니페스트: 결제 수단 매니페스트는 결제 수단이 결제 생태계에 참여하는 방식과 이러한 파일이 사용되는 방식을 설명하는 결제 수단 매니페스트라고 하는 머신 리더블 매니페스트 파일을 정의합니다.

결제 요청 절차 작동 방식

일반적으로 온라인 거래에는 네 명의 참여자가 있습니다.

플레이어 설명 API 사용량
고객 온라인에서 상품을 구매하기 위해 결제 흐름을 거치는 사용자 해당 사항 없음
판매자 웹사이트에서 제품을 판매하는 비즈니스 Payment Request API
결제 서비스 제공업체 (PSP) 실제로 결제를 처리하는 서드 파티 회사로, 고객에게 청구하고 판매자에게 입금하는 작업을 포함합니다. 결제 게이트웨이 또는 결제 대행업체라고도 합니다. Payment Request API
결제 핸들러 일반적으로 고객의 결제 사용자 인증 정보를 저장하고 승인 시 거래를 처리하기 위해 판매자에게 제공하는 애플리케이션을 제공하는 서드 파티 회사입니다. Payment Handler API
웹에서 신용카드 결제를 처리할 때의 일반적인 이벤트 순서
웹에서 신용카드 결제를 처리할 때 발생하는 일반적인 이벤트 시퀀스
  1. 고객이 판매자의 웹사이트를 방문하여 장바구니에 상품을 추가하고 결제 흐름을 시작합니다.
  2. 판매자는 거래를 처리하기 위해 고객의 결제 사용자 인증 정보가 필요합니다. Payment Request API를 사용하여 고객에게 결제 요청 UI를 표시합니다. UI에는 결제 수단 식별자에 의해 지정된 다양한 결제 수단이 나열됩니다. 결제 수단에는 브라우저에 저장된 신용카드 번호나 Google Pay, Samsung Pay 등의 결제 핸들러가 포함될 수 있습니다. 판매자는 선택적으로 고객의 배송지 주소와 연락처 정보를 요청할 수 있습니다.
  3. 고객이 Google Pay와 같은 결제 수단을 선택하면 Chrome에서 플랫폼 네이티브 결제 앱 또는 웹 기반 결제 앱을 실행합니다. 이 단계는 결제 수단 매니페스트에 따라 결제 핸들러의 구현에 완전히 달려 있습니다. 고객이 결제를 승인하면 결제 핸들러가 결제 요청 API에 응답을 반환하고, 이 응답은 판매자 사이트로 전달됩니다. (은행 송금, 암호화폐와 같은 푸시 유형 결제의 경우 판매자가 응답을 수신할 때 결제가 이미 처리됩니다.)
  4. 판매자 사이트에서 결제를 처리하고 자금 이체를 시작하기 위해 결제 사용자 인증 정보를 PSP에 전송합니다. 일반적으로 서버 측에서 결제를 확인해야 합니다.
  5. PSP는 결제를 처리하여 고객의 은행 또는 신용카드 발급기관에서 판매자에게 안전하게 자금 이체를 요청한 다음 성공 또는 실패 결과를 판매자 웹사이트에 반환합니다.
  6. 판매자 웹사이트는 고객에게 거래의 성공 또는 실패를 알리고 구매한 상품의 배송과 같은 다음 단계를 표시합니다.

주의사항: PSP 의존성

판매자로서 신용카드 결제를 수락하려면 PSP가 결제 처리 체인에서 중요한 연결고리가 됩니다. 결제 요청 API를 구현해도 PSP가 필요하지 않은 것은 아닙니다.

판매자는 편의성과 비용상의 이유로 일반적으로 서드 파티 PSP를 사용하여 결제 처리를 실행합니다. 이는 대부분의 PSP가 카드 소유자 데이터의 안전을 규제하는 정보 보안 표준인 PCI DSS를 준수하기 때문입니다.

엄격한 PCI DSS 규정을 준수하고 유지하는 데 비용이 많이 들고 어려울 수 있으므로 대부분의 판매자는 규정을 준수하는 PSP를 이용하면 직접 인증 절차를 거치지 않아도 된다고 생각합니다. 하지만 일부 대규모의 재정적으로 안정적인 회사는 이러한 서드 파티 의존을 피하기 위해 자체 PCI DSS 인증을 획득합니다.

결제 사용자 인증 정보로 주 계좌 번호 (PAN), 즉 카드에 양각으로 새겨진 번호를 처리하는 경우 특히 중요합니다. JavaScript로 처리하려면 PCI SAQ A-EP 규정 준수가 필요합니다.

따라서 결제 처리를 PCI DSS 준수 PSP에 위임하면 판매자 사이트의 요구사항이 간소화되고 고객의 결제 정보 무결성이 보장됩니다.

다음 단계

Payment Request API 작동 방식에서 Payment Request API의 필드와 메서드를 알아보세요.