인터넷이나 전화 결제, 온라인 결제를 해본 사람이라면 카드 뒷면의 서명란의 작은 번호를 확인한 적이 있을 것이다. 이 3또는 4자리 숫자를 CVV2(card verification value2) 또는 CVC(card verification code)라고 하며 카드 소지자를 확인하는 값인 ‘보안번호’로 사용되고 있다. 이 번호는 구매 때 카드 없이 카드번호만 가지고 부정 사용되는 것을 막기 위해서 사용자가 신용카드를 소지하고 있다는 것을 확인하는 보조수단이다.

오늘 이 시간에는 카드 보안을 위한 에이브이에스(AVS)와 씨브이브이투 코드(CVV2 Code) 응답에 대해 알아보자. AVS와 CVV2 Code는 크레딧 카드 단말기에 수작업으로 입력하는 정보로써 구매금액을 승인을 받을 때 카드번호와 함께 입력한 두 정보가 카드 발급 은행을 거쳐 일치가 되는지의 여부를 코드로 받음으로써 의심스러운 크레딧 카드의 부정사용을 감지할 수 있다.

AVS란 Address Verification System의 약자로 카드의 청구서 발부주소(billing address)를 말한다. 메뉴얼 세일을 통해 승인을 받을 때 단말기에 주소의 번지수와 우편번호를 입력하게 되는데 승인번호와 함께 에이브이에스 반응 코드(AVS Response Code)도 함께 받게 된다. 이 코드는 알파벳 형식으로 나타나며 수작업 카드 승인 때 AVS Response Code를 X나 Y는 주소와 우편번호가 모두 완벽하게 일치한다는 뜻이다. 만약 A를 받았다면 주소만 일치, W나 Z는 우편번호만 일치되었다는 뜻이다. 그 외에 다른 코드들은 모두 일치하지 않았다는 뜻이므로 카드의 부정사용이 생길 수 있는 위험이 그만큼 높다고 할 수 있다. 해외발급 카드의 경우는 이러한 정보를 넣을 수 없는 경우가 많으므로 위험부담이 더 크다고 말할 수 있다.

CVV2는 CID, CVC2, Security Code라고도 불린다. 반응 코드는 승인을 한 후 알파벳 M은 카드 뒷면의 번호와 일치했다는 것이고 N이 나왔다면 잘못된 번호를 입력했기 때문에 일치하지 않았다는 뜻이다. 또한 AVS와 CVV2 Code가 일치하지 않는다고 해서 세일 승인이 이루어지지 않는 것은 아니다. 이 두 가지의 시스템은 수작업 입력 때에 정보와 카드 발급은행이 보유한 정보가 일치하는지의 여부만 확인할 수 있다. 만약 입력한 정보가 일치가 된다 하더라도 차지백을 막는 수단으로는 사용할 수 없다. 입력한 정보가 일치하지 않는다 해도 세일 승인은 이루어지기 때문에 카드 단말기 영수증을 자세히 살펴보지 않게 되면 자칫 그냥 넘어갈 수도 있다. 카드 단말기 종류에 따라서는 세일 승인 때 반응코드가 일치하지 않을 때에 세일을 계속 이루겠느냐는 메시지가 나와서 선택을 할 수 있게 한다.

(213)365-1122

패트릭 홍 <뱅크카드 서비스>