신용카드는 브루트포스 유형 공격에 취약함
(metin.nextc.org)- PCI DSS는 카드 데이터 저장·표시를 제한하지만, BIN과 마지막 4자리, 만료일 같은 허용 정보만으로도 다른 가맹점에서 추가 결제 시도를 이어갈 수 있음
- 침해된 계정에서 공격자는 은행의 3D Secure 페이지를 통해 카드 사용 가능 여부, 은행명, 마스킹된 카드 번호, 전체 만료일을 얻었고, 약 6시간 뒤 여러 가맹점에서 인증 시도를 발생시킴
- 결제 카드 번호(PAN)는 IIN, 계정 식별자, Luhn 체크 디지트 구조를 가지며, 결제 게이트웨이 응답이 어떤 값이 틀렸는지 구분해 주면 PAN·만료일·CVV 추측이 쉬워짐
- 실제 테스트 속도는 초당 6회, API당 약 초당 2회 수준이었고, 프록시로 IP가 바뀌며 카드번호도 계속 달라져 가맹점 입장에서 브루트포스 탐지가 어려움
- 공격자는 3D Secure 예외 가맹점을 이용해 낮춰둔 한도 전액을 전자지갑으로 옮겼고, 차지백으로 돈은 반환됐지만 은행의 CVC2 속도 제한은 몇 분 차단 수준에 머무름
PCI DSS가 막아주는 것과 남기는 것
- PCI DSS는 신용카드 같은 민감한 은행 데이터를 다룰 때 필요한 최소 보안 조치를 정의하는 업계 표준이며, 계정이 침해되거나 카드 데이터가 제3자에게 넘어가도 전체 정보가 노출되지 않도록 저장과 표시를 제한함
- PCI DSS 4 기준으로 화면이나 영수증에 표시 가능한 정보는 마스킹된 PAN, 카드 소유자 이름, 서비스 코드, 만료일이며, PAN은 BIN과 마지막 4자리까지 표시될 수 있음
- 표시할 수 없는 정보는 전체 트랙 데이터, 카드 검증 코드, PIN/PIN 블록으로 제한됨
- 전자상거래 사이트와 물리 영수증 모두 같은 문제의 영향을 받을 수 있으며, 계정 침해뿐 아니라 파기하지 않은 영수증을 통해서도 일부 카드 정보가 노출될 수 있음
사고 흐름
- 피해자는 한도 제한이 있는 가상 신용카드를 사용했고, 2단계 인증인 3D Secure를 활성화했으며, 잘 알려진 가맹점에서만 카드를 저장해 사용하고 있었음
- 오래전에 만든 계정이 침해된 뒤, 카드가 저장된 웹사이트에서 구매 시도 SMS가 도착했고, 즉시 로그인해 비밀번호를 바꾸고 구매 여부를 확인한 뒤 가상 카드 한도를 크게 낮춤
- 카드를 완전히 비활성화하지 않은 이유는 전체 카드 정보가 침해되지 않았다고 판단했기 때문임
- 최초 침해 약 6시간 뒤 사용하지 않은 여러 가맹점에서 3D Secure SMS 시도가 3~4건 발생했고, 모두 실패했지만 이후 공격 방식 파악에 중요한 단서가 됨
- 몇 분 뒤 은행에 전화해 카드를 완전히 비활성화하는 동안, 공격자는 3D Secure가 없는 다른 가맹점을 이용해 낮춰둔 한도 전액을 여러 번의 결제로 인출함
- 돈은 현금 인출이 가능한 마켓의 전자지갑으로 이동했으며, 피해자는 차지백을 요청한 뒤 은행에서 돈을 돌려받음
공격자가 얻은 정보
- 공격자는 침해한 계정에서 결제를 시도하고 은행의 3D Secure 페이지를 본 뒤 주문을 취소하고 떠남
- 이 과정에서 카드가 아직 사용 가능하다는 사실, 은행명, 마스킹된 카드 번호, 전체 만료일을 얻음
- 일반적으로 카드 결제를 정상 완료하려면 전체 PAN 16자리, 만료일, CVC2 번호, 3D Secure에 쓰이는 휴대전화 같은 정보가 필요하다고 볼 수 있음
- 실제 공격에서는 일부 정보만으로 다른 가맹점에서 추가 시도를 이어갈 수 있었음
PAN 구조와 추측 가능성
- 결제 카드 번호(PAN)는 신용카드, 직불카드, 저장 가치 카드, 기프트 카드 등에 쓰이는 카드 식별자임
- PAN은 ISO/IEC 7812에 따른 공통 번호 체계를 가지며, 내부 구조는 다음과 같음
- 6자리 또는 8자리 Issuer Identification Number(IIN)
- 최대 12자리의 개별 계정 식별자
- Luhn 알고리듬으로 계산되는 1자리 체크 디지트
- 피해자의 은행은 카드번호만으로 결제를 허용하지 않고 PAN, 만료일, CVV를 함께 요구함
- 일부 은행과 결제 게이트웨이는 카드번호만으로도 결제를 처리할 수 있으며, 이는 피해자가 특히 믿기 어려워한 부분임
결제 게이트웨이 응답이 만든 브루트포스 조건
- 피해자의 은행은 필요한 값이 없거나 틀린 결제를 거절했지만, 어떤 부분이 잘못됐는지 응답 코드로 알려줌
- 응답 예시는 다음과 같음
- “유효한 신용카드가 아님”
- “카드가 만료됨”
- “다른 정보는 모두 맞지만 CVV가 틀림”
- 이런 응답은 공격자가 카드번호, 만료일, CVV 중 어떤 값이 맞거나 틀렸는지 구분하는 데 쓰일 수 있음
- 실제 공격자는 초당 6회, API당 약 초당 2회 수준으로 테스트함
- 이 속도는 가맹점 입장에서 탐지하기 어려운데, 프록시로 출발지 IP가 바뀌고, 브루트포스 특성상 카드번호도 같지 않으며, 요청 빈도도 매우 낮기 때문임
3D Secure 예외 가맹점의 역할
- 은행에는 3D Secure 예외 가맹점 목록이 있으며, 이 가맹점들은 은행이 신뢰하는 대상으로 간주되어 3D Secure 없이 결제와 구독을 받을 수 있음
- 이런 가맹점은 차지백이 발생하면 책임을 부담함
- 공격자는 3D Secure가 없는 가맹점을 이용해 카드 한도 내 금액을 전자지갑으로 옮겼음
이후 대응과 남은 문제
- 차지백으로 돈은 빠르게 반환됨
- 카드 결제를 현금화하는 시스템이 무단 인출에 사용됐다는 점을 해당 가맹점에 전달했지만, 가맹점은 은행에 문의하라고 답함
- 전자상거래 사이트에는 만료일과 함께 카드번호 10자리를 노출하면 공격이 쉬워진다고 전달했지만, 해당 사이트는 이를 취약점으로 인정하지 않고 PCI DSS 3과 4 표준에 맞춰 의도적으로 설계했다고 답함
- 결제 API를 만들거나 결제 업계에서 일하는 사람들은 놀라지 않았고, 일부 가맹점은 만료일 없이도 거래할 수 있다고 답함
- 사건 이후 신용카드 결제를 현금으로 바꾸던 당사자는 더 이상 3D Secure 없이 이를 처리하지 않음
- 피해자의 은행은 여전히 CVC2 브루트포스에 대해 비교적 관대한 속도 제한을 두고 있으며, 제한에 걸리면 해당 카드를 몇 분 정도 일시적으로 막는 수준임
Hacker News 의견들
-
관련 사례를 보면 원글 작성자가 엉뚱한 원인을 쫓고 있었을 수도 있음. 최근 신용카드에 FB/Meta 관련 소액 미승인 결제가 찍혔고, 누군가 카드가 감지되는지 시험한 것 같았음
카드사에 전화해 결제를 취소하고 카드를 해지한 뒤 새 카드번호, 새 만료일, 새 CVV가 있는 카드를 받았는데, 한 번도 쓰지 않은 새 카드에서도 다시 FB/Meta 사기 결제가 시작됨. 원인은 디지털 지갑이었고, 카드를 해지해도 카드번호 등이 디지털 지갑을 통해 이전될 수 있었음
다시 카드사에 전화해 디지털 지갑을 모두 해지해 달라고 했더니 99개나 있었고, 온라인으로는 처리할 수 없어서 콜센터 직원과 통화해야 했음. 갱신 결제가 모두 초기화된다는 설명을 듣고도 카드와 모든 디지털 지갑을 해지해 달라고 해야 했고, 20분이나 대기해야 했음. 카드를 해지한다는 게 생각하는 것과 다를 수 있고, 반복 결제가 카드사에 매우 수익성이 커서 해지가 큰 매출 손실로 이어지는 듯함- “디지털 지갑”인지는 모르겠지만, 새 카드가 발급된 뒤 카드 정보 갱신이 이뤄지는 개념은 실제로 있고 카드사가 제공하는 서비스임
Stripe 블로그: https://stripe.com/resources/more/what-is-a-card-account-upd... - 나도 Meta/FB에서 200유로 결제가 찍혔고, 아직 새 카드를 기다리는 중임
- privacy.com을 보면 직접 카드를 만들 수 있고, 원하면 서비스마다 카드 하나씩 쓸 수 있음
- “디지털 지갑을 전부 해지할 방법이 온라인에 없다”는 건 은행에 따라 크게 다름. 예를 들어 Bank of America는 웹사이트에서 디지털 지갑에 추가된 카드를 보고 삭제할 수 있음
- 내 경우에는 거의 확실했음. 하루 만에 벌어졌고, 쓰던 카드는 몇몇 대형 전자상거래 사이트 등에만 사용한 가상 카드였음
다른 곳에서 유출됐다면 굳이 관련 없는 전자상거래 계정에 로그인하려고 하지는 않았을 것 같음
- “디지털 지갑”인지는 모르겠지만, 새 카드가 발급된 뒤 카드 정보 갱신이 이뤄지는 개념은 실제로 있고 카드사가 제공하는 서비스임
-
이 글은 가장 중요한 부분을 다루지 않음. 은행이 내 계좌에서 가맹점으로 돈을 옮기는 데 동의하는 정산은 승인과 완전히 별개임
승인은 현대식 EMV, 즉 “칩과 PIN” 인증, 온라인 CVV, 은행이 자신을 사기로부터 보호하고 부차적으로 가맹점도 보호하는 여러 장치임
네트워크는 Amazon이 “여기 카드번호가 있고, 이 사람이 우리에게 400달러를 낸다고 한다”고 말하는 것을 받아들일 수 있음. 그건 그냥 정산이고 청구서에 올라감. 정교한 암호화도, 4자리 PIN만큼의 장치도, 어머니 결혼 전 성을 기억하는 수준의 확인도 없이 “좋아, 믿겠다”가 됨. 그래서 소비자는 신용카드 청구서를 읽고 모르는 결제를 이의제기하지 않으면 그냥 내게 됨
네트워크가 소비자가 털리는 데 신경 쓸 유인은 거의 없음. 이의제기를 안 하면 모두가 만족하고, 이의제기를 하면 가맹점에서 다시 회수하면 되니 자기 문제가 아님- “이의제기하면 그냥 가맹점에서 회수하고 끝”이라는 건 3DS 없는 온라인 결제에는 맞지만, 대면 결제나 온라인 3DS 결제에는 해당하지 않음. 그런 경우에는 보통 발급사가 책임짐
-
결제 처리업체는 카드번호 전체를 무차별 대입하는 카드 열거나 카드 테스트를 허용하지 않고, 카드 네트워크도 이를 막지 않는 가맹점과 결제 처리업체에 강한 벌칙을 부과함
- https://stripe.com/newsroom/news/card-testing-surge
- https://stripe.com/blog/the-ml-flywheel-how-we-continually-i...
- https://docs.stripe.com/disputes/monitoring-programs#enumera...
- 여러 카드 검증 API를 쓰면 시도 빈도가 매우 낮아짐. 서로 다른 PAN 번호, 서로 다른 출발지 IP 등이면 어떻게 연관시킬 수 있을지 잘 모르겠음
단일 PAN으로 CVC2를 열거하는 건 다른 이야기임 - 6년 전까지만 해도 Stripe는 API 로그에서 카드번호를 전혀 가리지 않았음
-
사기 방지 인프라가 실제로 보호해 줬다는 증거임. 은행이 사기 손실을 떠안았고 돈도 돌려받았음
결국 은행 시스템은 사기 손실을 신경 쓰고, 사기 탐지에도 매우 능숙함. 카드 결제 시스템은 규모가 너무 커서 바꾸기가 극도로 어렵기 때문에, 특정 변경이 사기율을 실제로 낮춘다는 강한 근거가 없으면 은행은 변경하지 않는 쪽을 택함- 안타깝게도 사기 손실은 은행이 아니라 가맹점이 떠안는 경우가 꽤 많고, 그래서 주인-대리인 문제가 생김
발급 은행은 모든 거래에서 정산 수수료를 벌기 때문에 사기 책임이 없다면 가능한 한 많이 승인하고 나중에 차지백으로 정리하려는 유인이 기본값이 됨. 다만 3DS는 이 계산을 꽤 바꾸고, 대면 결제도 보통 발급 은행 책임 - 은행이 정말 손실을 떠안는 게 아니라, 모든 서비스에 사기 비용을 감당할 만큼의 마진을 붙여 둠
결국 모든 소비자가 모든 사기 비용을 함께 부담함. 청구서에 별도 항목으로 보이지 않을 뿐, 우리가 사는 모든 물건에 조금씩 더 내고 있음 - 사기 결제를 알아차렸을 때에만 보호받음
- 동기가 강한 차지백 상대를 만나면 은행이 포기하는 걸 겪었음
eBay에서 도난 신용카드 관련으로 겪었을 때는 처음엔 잘 진행되다가, eBay가 서류 더미를 은행에 보내자 차지백이 뒤집혔고 얼마 지나지 않아 내 은행 계좌까지 닫혔음
차지백으로 돈이 돌아왔다고 끝난 게 아님. 처음엔 상대방이 답변할 시간을 주는 동안 임시로 처리되는 것 같고, eBay가 서류로 나를 묻어 버려 차지백을 다시 풀기까지 30일쯤 걸렸음. 그들의 설명이 너무 효과적이어서 내 은행이 오히려 나를 사기꾼으로 몰았음
은행이 사기 손실을 먹는다는 것도 100% 맞는지 모르겠음. 차지백을 당한 쪽이 다투는 이유는 결국 차지백을 당한 쪽이나 건 쪽 중 누군가 손실을 떠안기 때문임. 은행이 그 손실을 먹는 구조라면 eBay가 굳이 전문 인력을 써서 조사하고 내 차지백에 대응할 이유가 없음
- 안타깝게도 사기 손실은 은행이 아니라 가맹점이 떠안는 경우가 꽤 많고, 그래서 주인-대리인 문제가 생김
-
3D Secure가 어디서나 의무라면 훨씬 도움이 될 텐데, 미국에서는 거의 쓰이지 않는 것으로 이해함. 미국 시장이 워낙 크다 보니 카드 발급사는 3D Secure 없는 요청을 허용할 수밖에 없고, 아니면 고객이 카드를 너무 많은 곳에서 쓰지 못하게 됨
아주 강력한 사기 방지 장치가 심하게 제약되는 셈이라, 나머지 대부분의 세계 입장에서는 답답함
미국 소비자는 약간의 불편으로 보이는 것보다 사기를 당하는 쪽을 선호하는 건지 이해가 안 됨. 사기 피해자가 아니어도 가맹점이 사기 비용과 보험 비용을 상품 가격에 반영하니 결국 모두가 비용을 냄- 보통 어떤 보안 장치로 인한 전환율 하락이 평균 사기율보다 크면 도입할 재무적 이유가 없다는 식으로 판단함
다만 업계 전체로 보면 전형적인 조정 문제임. 더 쉬운 대안이 남아 있으니 전환율이 떨어지는 것이고, 모든 가맹점과 은행이 동시에 3DS를 강제한다면 옮겨 갈 더 편한 선택지가 없어짐. 좋든 싫든 사용자는 더 안전한 새 방식에 익숙해지고 전환율도 다시 올라감
EU가 많은 결제에 3DS를 의무화한 것이 이런 방식인데, 거기서도 규제기관은 100% 적용이 역효과라는 걸 인정했고 중간 어딘가에 적정 지점이 있음
같은 원리의 또 다른 근거로, 미국 신용카드에는 PIN이 없음. 개별 은행이 PIN을 도입하면 고객이 PIN 없는 경쟁사 카드로 옮겨 사용률이 크게 떨어질 것이기 때문임. 다른 시장에서는 규제 개입이나 카드 네트워크 인센티브 덕분에 모든 카드에 PIN이 있고, 사람들은 그냥 익숙해졌음 - 미국은 법이 다르고, 소비자에게 더 우호적이라 소비자 행동도 다름
신용카드가 처음 등장하던 시기, 즉 미국에서 시작되던 때에 의회가 1974년 Fair Credit Billing Act를 통과시켜, 사기 청구 주기가 끝난 뒤 60일 안에 분실 카드를 신고하면 소비자 책임을 50달러로 제한했음. 당시 결제는 “카청크” 소리를 내며 카드 탄소 복사본을 찍는 기계로 종이에 처리됐고 완전히 오프라인이었음
이 법은 바뀌지 않았고, 실제로 대부분의 은행은 50달러도 면제해 신고된 건에 대해 카드 보유자에게 아무 책임도 묻지 않음. 50달러 때문에 고객을 짜증 나게 하는 건 은행 입장에서 가치가 없기 때문임
인터넷 덕분에 카드는 갑자기 훨씬 훔치기 쉬워지고 악용하기 쉬워졌지만, 은행은 여전히 청구 주기 종료 후 60일 안에 신고된 손실을 모두 부담해야 함. 그래서 미국 은행들은 신용카드 거래의 실시간 감시에 엄청나게 투자했고, 최종적으로 자신들이 책임지므로 매우 진지하게 감시함. 반면 소비자는 신경을 덜 씀. 소비자 관점에서 미국 카드가 훨씬 느슨해 보이는 이유는, 유럽 카드와 달리 소비자가 면책되는 구조라 은행이 뒷단에 훨씬 더 많이 투자했기 때문임
별개로 EU는 카드사가 부과할 수 있는 정산 수수료를 규제했지만, 미국은 상한을 두지 않았음. 그 결과 미국 카드 보유자는 카드 사용에 대해 상당한 리워드를 받을 수 있고, 특히 상위 10% 부유층에서 두드러지며, 정산 수수료가 제한된 EU 발급 카드로는 사실상 불가능함
지금 가맹점이 저수수료 카드만 받을 수 있게 하려는 큰 소송이 진행 중임. 표준 VISA/MC/AMEX 계약은 모든 카드를 동일하게 취급하도록 요구하고, 이 때문에 카드사들은 사람들을 더 높은 정산 수수료 카드로 유도할 인센티브가 있음. 그 소송 결과를 봐야겠지만, 그 전까지 미국의 고액 소비자는 카드 리워드가 훨씬 클 수 있고, 이 역시 카드 사용을 늘리고 EU식 카드보다 마찰을 줄이는 방향으로 작동함 - 우리가 덜 안전한 결제 수단을 요청하고 있다고 생각하는 건가?
사기당하는 걸 선호하는 게 아니라, 이런 건 카드 발급사와 가맹점 사이의 협상 문제임 - 참고로 미국에 있고 원한다면 HSBC USA Mastercard는 3D Secure를 사용함
- 3D Secure로 막을 수 있는 사기 손실이 얼마나 될까, 0.1% 정도일까?
- 보통 어떤 보안 장치로 인한 전환율 하락이 평균 사기율보다 크면 도입할 재무적 이유가 없다는 식으로 판단함
-
예전에 우리 회사에 채용된 사람이 기프트카드에 저장 가치를 추가하는 방법을 찾았다고 자랑하기 시작한 적이 있음. 나중에 알고 보니 FBI 수사를 받고 있었음
그것도 정부 계약업체였는데, 결국 내가 본 것 중 가장 큰 보안 요원이 와서 그 사람을 데리고 나갔음- “기프트카드에 저장 가치를 추가한다”는 게 무슨 뜻임?
-
가상 신용카드는 오래전부터 있었음. 15년 이상 전에 Bank of America나 Citi가 제공했던 기억이 있고, Java 앱이었거나 독립 실행 파일이었을 수도 있음. 왜 더 널리 퍼지지 않았는지 놀라움
Robinhood는 이걸 정말 잘 구현함. 내가 써 본 것 중 최고의 가상 신용카드 시스템이고 매우 매끄러움. 일회용, 24시간, 또는 취소할 때까지 무기한으로 카드를 승인할 수 있고 UI/UX가 훌륭함- 사기 비용을 감당하는 게 시스템을 유지하는 것보다 쉬웠기 때문에 퍼지지 않았음. 단순히 소비자에게 유리한 기능이라서 자리 잡지 못한 것임
- MBNA는 Chase에 인수되기 전인 2000년대 초에 Flash 기반 가상 카드 앱을 갖고 있었고, 나는 정말 잘 썼음
지금처럼 모든 것이 구독인 세상에서 왜 이런 기능이 퍼지지 않았는지 이해가 안 됨. 구독 해지를 두고 지저분하게 협상하지 않도록 만료일과 지출 한도를 정할 수 있는 기능이 정말 좋았음
-
최근 아내 카드로 해외에서 의심스러운 거래가 있었다는 은행 문자 메시지를 받았는데, 금액이 문자 그대로 0달러였고 아내가 휴대폰이나 컴퓨터를 쓰지 않던 시간이었음
처음엔 문자 자체가 피싱이라고 생각했지만, 온라인으로 확인해 보니 문자 형식이 일치했고 은행 웹페이지도 피드백 과정에서 어떤 정보도 요구하지 않는다고 보장해서 결제하지 않았다고 확인했음
은행은 즉시 카드를 취소하고 새 카드를 발송함
처음에는 은행 보안 시스템이 과민반응하는 줄 알았지만, 실제로 누군가 이 글에서 설명한 일을 하고 있었고 은행이 더 일찍 탐지한 것 같음 -
온라인 결제용 카드를 따로 두고 결제에 필요한 만큼만 돈을 넣어 두는 게 좋음
순진한 생각이라는 건 알고 있음
글로 돌아가면, 약점은 비밀번호였고 그게 3D Secure를 쓰지 않는 다른 가맹점으로 이어졌음
글을 보면 공격자에게 완전 자동화된 시스템이 있는 듯하니, 대형 가맹점은 같은 IP 주소에서 서로 다른 계정으로 자동 로그인 시도하는 것을 처리해야 함. 우리 Wordfence 로그를 봐도 IP 순환이 그렇게 빠르지 않아서 영구 IP 차단으로 어느 정도 대응할 수 있을 것 같음- 가맹점이 현 상태에서 발생하는 사기에 책임지지 않는다면 왜 그렇게 해야 함?
- 솔직히 신용카드 사기는 은행이 보상해 주니 보통 별로 신경 쓰지 않음. 명세서에서 이상한 것만 확인함
- Mercury가 이제 개인 은행 계좌를 제공함. Brex/Mercury/Ramp 같은 회사용 서비스처럼 가상 직불카드를 만들 수 있음
- 별도 카드에 동의함. 내 것도 별도 카드였고, 그 덕분에 금액이 꽤 크지 않아 다행이었음
비밀번호 유출이 전체 신용카드 데이터 유출로 이어져서는 안 된다고 봄. 같은 데이터는 매장에서 출력하는 종이 영수증에도 찍히고, 어떤 때는 4자리, 어떤 때는 10자리임. 매장에 방치된 종이 영수증으로도 무차별 대입이 여전히 가능함 - 관련자는 아니지만, Capital One Eno 가상 카드는 이 용도에 잘 맞음
-
덧붙이면, 가맹점은 신용카드 처리업체에서 원하는 보안 수준을 선택할 수 없음. 예를 들어 authorize.net에서는 주소가 맞지 않아도 결제를 받을 수 있음
진짜 질문은 어떻게 돈을 빼냈느냐임. 보안이 느슨한 가맹점에서 기프트카드를 산 걸까?
번호를 맞히는 것과 시스템 밖으로 돈을 빼내는 것은 전혀 다른 일임- “가맹점이 결제 처리업체에서 원하는 보안 수준을 선택할 수 없다”는 건 처리업체에 따라 다름. 많은 처리업체는 가맹점이 승인 규칙을 꽤 깊이 지정할 수 있게 해 줌
처리업체 시장에는 약간의 양분이 있음. 한쪽은 고객에게 단순함을 제공하고 부담을 줄이는 쪽이고, 다른 쪽은 모든 복잡성을 노출하고 세밀한 제어권을 주는 쪽임. 첫 번째는 보안 요구사항을 지정하게 해 주지 않고, 두 번째는 수백 가지 옵션을 줌. 물론 그 중간에 자리 잡은 처리업체도 있고, 두 축은 보통 서로 다른 고객을 겨냥함
- “가맹점이 결제 처리업체에서 원하는 보안 수준을 선택할 수 없다”는 건 처리업체에 따라 다름. 많은 처리업체는 가맹점이 승인 규칙을 꽤 깊이 지정할 수 있게 해 줌