WO2016186369A1

WO2016186369A1 - 동적 otp를 이용한 카드 결제방법

Info

Publication number: WO2016186369A1
Application number: PCT/KR2016/004958
Authority: WO
Inventors: 김현민
Original assignee: 김현민; 김종성
Priority date: 2015-05-15
Filing date: 2016-05-12
Publication date: 2016-11-24
Also published as: KR101550825B1

Abstract

결제 카드에 매칭되는 사용자 설정좌표와 실시간으로 결제를 수행하는 결제 단말기의 좌표를 추출하여 이들 좌표 간의 편차값을 제1시드 값으로 산출하고, 무선단말에 입력된 결제 확인정보를 제2시드 값을 조합하여 시드 값을 구성하고 이 시드 값을 적용하여 OTP를 생성하며, 무선단말과 관리서버에서 각각 생성된 OTP를 비교하여 일치하는 경우 무선단말을 유효한 것으로 판단하여 결제를 승인하는 동적 OTP를 이용한 카드 결제방법이 제공된다.

Description

동적 OTP를 이용한 카드 결제방법

본 발명은 카드 결제방법에 관한 것으로, 특히 금융카드를 이용하여 결제하는 경우 무선단말과 동적 OTP를 이용하여 안전하고 신뢰성 있게 결제하는 기술에 관련한다.

정보통신 기술의 발전으로 통신망을 이용한 비대면 거래가 활성화되면서, 비대면 거래 제공자는 통신망을 통해 연결된 사용자가 유효한 거래자인지 인증하여 만약에 발생할 수도 있는 거래사고에 대비하고 있다.

공인인증서를 이용한 인증의 경우, 공인인증서가 기록되어 있는 매체(예컨대, 컴퓨터)가 해킹되거나, 키보드 해킹 프로그램이 설치된 단말을 통해 비대면 거래를 처리하는 경우, 상기 공인인증서 역시 신뢰할 수 있는 정도의 비대면 거래 인증을 제공하지는 못하는 문제점을 지니고 있다.

또한, OTP를 이용하는 경우, OTP를 생성하기 위해 사용자는 OTP 생성기를 소지해야만 하고, 휴대폰에 OTP 생성 프로그램을 설치하여 OTP 생성기로 이용하도록 하더라도 OTP 생성 프로그램을 다른 휴대폰에 복사(예컨대, 시리얼 통신 연결을 통한 복사)하거나, 또는 OTP 생성 프로그램이 설치된 휴대폰을 복제하는 경우, 휴대폰 OTP 생성기는 더 이상 신뢰할 수 없게 되는 문제점을 지니고 있다.

이러한 문제점을 해결하기 위해 국내 등록특허 제10-1190745호(발명의 명칭: 인터넷 OTP 보안을 이용한 휴대단말기의 신용카드 결제 시스템 및 그 방법)에서는, 사용자와 물품구매서버 간의 신용카드 결제시 유효성 검증서버를 통해 결제대상 물품의 구매를 위한 신용카드 결제정보의 유효성을 검증하고, 사용자의 휴대단말기를 통해 생성된 OTP와 카드사서버에 기 생성된 OTP PIN 양자의 인증을 수행함으로써, 인터넷 OTP 보안을 이용한 휴대단말기의 신용카드 결제의 신뢰성을 향상시키도록 하고 있다.

그러나, 상기 특허에 의하면, 휴대단말기의 USIM칩에 저장된 OTP 애플릿이 사용자로부터 입력받은 OTP PIN을 기반으로 OTP를 생성하기 때문에 휴대단말기와 신용카드를 동시에 분실하여 타인이 양자를 습득한 경우 부정 사용을 막기 어렵다는 문제점이 있다.

또한, 신용카드의 부정 사용의 시도가 있는 경우 부정 사용자의 위치를 정확하게 추적할 수 없다는 문제점이 있다.

또한, OTP 애플릿에 의한 OTP 생성이 시간정보만을 기초로 하고 있어 OTP의 해킹 가능성이 크며, OTP PIN에 대응하여 OTP를 생성하기 때문에 생성되는 OTP 개수에 한계가 있으며 이로 인해 해킹에 의한 피해가 전체 사용자에게 전달될 수 있다는 문제점이 있다.

본 발명의 목적은 카드를 이용한 결제시 무선단말과 동적 OTP를 적용하여 안전하고 신뢰성 있게 결제를 수행할 수 있는 방법을 제공하는 것이다.

본 발명의 다른 목적은 카드를 분실하거나, 카드와 무선단말을 동시에 분실한 경우에 효율적으로 대응할 수 있도록 하는 방법을 제공하는 것이다.

본 발명의 다른 목적은 카드의 복제를 통한 부정 사용을 원천적으로 방지하고, 부정 사용의 시도가 있는 경우 사용자의 위치를 정확하게 추적할 수 있도록 하는 방법을 제공하는 것이다.

본 발명의 다른 목적은 OTP의 해킹을 최소화하여 안전하고 신뢰성 있게 결제를 수행할 수 있는 방법을 제공하는 것이다.

본 발명의 일 측면에 의하면, 결제 단말기가 카드로부터 카드정보를 판독하는 단계; 상기 판독된 카드정보와 상기 결제 단말기에 입력된 결제정보 및 상기 결제 단말기의 식별정보가 네트워크를 통하여 관리서버에 전송되는 단계; 상기 관리서버가 상기 카드정보, 상기 결제정보 및 상기 식별정보를 수신하고, 상기 카드정보와 매칭되는 전화번호를 추출하고 상기 전화번호에 해당하는 무선단말로 상기 결제정보를 푸쉬(push) 하는 단계; 상기 무선단말이 결제 확인정보를 입력받아 상기 관리서버로 전송하고, 상기 관리서버는 수신한 상기 결제 확인정보에 따라 상기 무선단말과 OTP 인증을 수행하는 단계; 및 상기 OTP 인증이 완료되면, 상기 관리서버는 결제 승인을 상기 결제 단말기 및/또는 상기 무선단말에 전송하고, 상기 결제 단말기는 결제를 수행하여 영수증을 발행하는 단계를 포함하며, 상기 OTP 인증을 수행하는 단계는, 상기 관리서버가 상기 수신한 카드번호에 기초하여 사용자 설정좌표를 추출하고 상기 수신한 식별정보로부터 결제 단말기의 좌표를 추출하여 이들 좌표 간의 편차값을 시드 값으로 산출하는 서브 단계; 상기 관리서버가 상기 산출된 시드 값을 상기 무선단말에 전송하고, 상기 시드 값을 적용하여 OTP를 생성하는 서브 단계; 상기 무선단말이 상기 관리서버로부터 수신한 상기 시드 값을 상기 무선단말의 OTP 생성 알고리즘에 적용하여 OTP를 생성하는 서브 단계; 및 상기 무선단말이 상기 생성된 OTP를 상기 관리서버에 전송하고, 상기 관리서버가 자신이 생성한 OTP와 상기 무선단말로부터 수신한 OTP를 비교하여 상기 무선단말의 유효성을 판단하는 서브 단계를 포함하는 것을 특징으로 하는 동적 OTP를 이용한 카드 결제방법이 제공된다.

본 발명의 다른 측면에 의하면, 결제 단말기가 카드로부터 카드정보를 판독하는 단계; 상기 판독된 카드정보와 상기 결제 단말기에 입력된 결제정보 및 상기 결제 단말기의 식별정보가 네트워크를 통하여 관리서버에 전송되는 단계; 상기 관리서버가 상기 카드정보, 상기 결제정보 및 상기 식별정보를 수신하고, 상기 카드정보와 매칭되는 전화번호를 추출하고 상기 전화번호에 해당하는 무선단말로 상기 결제정보를 푸쉬(push) 하는 단계; 상기 무선단말이 사용자로부터 사용자만 알고 있는 고유의 결제 확인정보를 입력받아 상기 관리서버로 전송하고, 상기 관리서버는 상기 무선단말로부터 수신한 결제 확인정보를 미리 등록된 결제 확인정보와 비교하여 일치하는지를 판단하여 사용자를 인증하는 단계; 일치하는 경우 상기 관리서버와 상기 무선단말 사이에 OTP 인증을 수행하는 단계; 및 상기 OTP 인증이 완료되면, 상기 관리서버는 결제 승인을 상기 결제 단말기 및/또는 상기 무선단말에 전송하고, 상기 결제 단말기는 결제를 수행하여 영수증을 발행하는 단계를 포함하며, 상기 OTP 인증을 수행하는 단계는, 상기 관리서버가 상기 수신한 카드번호에 기초하여 사용자 설정좌표를 추출하고 상기 수신한 식별정보로부터 결제 단말기의 좌표를 추출하여 이들 좌표 간의 편차값을 제1시드 값으로 산출하고, 상기 무선단말로부터 수신한 결제 확인정보를 제2시드 값으로 결정하는 서브 단계; 상기 관리서버가 상기 제1/제2시드 값을 상기 무선단말에 전송하고, 상기 제1/제2시드 값을 조합하여 시드 값을 구성하고 이 시드 값을 적용하여 OTP를 생성하는 서브 단계; 상기 무선단말이 상기 관리서버로부터 수신한 상기 제1/제2시드 값을 OTP 생성 알고리즘에 적용하여 OTP를 생성하는 서브 단계; 및 상기 무선단말이 상기 생성된 OTP를 상기 관리서버에 전송하고, 상기 관리서버가 자신이 생성한 OTP와 상기 무선단말로부터 수신한 OTP를 비교하여 상기 무선단말의 유효성을 판단하는 서브 단계를 포함하는 것을 특징으로 하는 동적 OTP를 이용한 카드 결제방법이 제공된다.

바람직하게, 상기 결제 확인정보는 사용자 경험에 의한 메타데이터(metadata)나 카드 소유자의 생체정보일 수 있다.

바람직하게, 상기 결제 단말기는 카드 가맹점에 설치된 카드 단말기 또는 ATM 기기일 수 있다.

바람직하게, 상기 무선단말은 사용자가 소지한 카드의 카드 번호를 입력받아 상기 무선단말의 고유정보와 함께 상기 관리서버에 전송하고, 상기 관리서버는 이를 저장하고 상기 수신한 카드 번호를 상기 카드정보와 비교하여 일치하는지 판단하여 상기 무선단말을 인증하며, 상기 관리서버는 상기 무선단말의 고유정보를 포함하는 인증결과를 상기 카드정보와 매칭하여 저장하고, 다른 무선단말로부터 인증 요청을 수신하면 상기 저장된 무선단말의 고유정보와 상기 카드정보를 참조하여 인증을 거부한다.

상기와 같은 결제방법에 의하면, 습득자가 분실된 카드를 사용하여 결제를 수행하더라도, 무선단말을 통한 인증을 수행할 수 없어 최종적으로 결제가 이루어지지 않으므로 안전하고 신뢰성 있는 카드 결제를 수행할 수 있다.

또한, 습득자가 카드와 무선단말을 동시에 습득한 경우에도 카드 결제과정에서 입력되는 결제 확인정보를 메타데이터(metadata)나 생체정보로 함으로써, 부정 사용자에 의한 결제 확인정보의 입력을 원천적으로 막을 수 있어 분실에 효과적으로 대응할 수 있다.

또한, 실시간으로 카드 결제가 이루어지는 결제 단말기의 위치정보를 이용하여 시드 값(동적 시드 값)을 구성하고 이로부터 OTP를 생성하기 때문에 변동성으로 인해 OTP의 해킹을 최소화할 수 있다.

또한, 시드 값으로 카드에 대응하는 사용자 설정좌표와 실시간으로 결제가 수행되는 결제 단말기의 좌표 간의 편차값을 적용함으로써 시드 값이 사용자마다 개별화되기 때문에 해킹으로 인한 피해를 사용자 개인으로 국한시켜 피해를 최소화할 수 있다.

또한, 무선단말이 시드 값을 관리서버로부터 수신하여 OTP를 생성하기 때문에 시드 값이 해킹될 가능성이 더욱 줄일 수 있다.또한, 카드를 복제하거나 습득하여 부정으로 사용하려고 하는 시도가 있는 경우, 사용자의 위치를 실시간으로 추적할 수 있도록 한다.

도 1은 본 발명의 카드 결제방법을 적용할 수 있는 네트워크 구성도이다.

도 2는 본 발명의 카드 결제방법을 설명하는 플로차트이다.

도 3은 본 발명의 카드 결제방법을 보여주는 흐름도이다.

본 발명에서 사용되는 기술적 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아님을 유의해야 한다. 또한, 본 발명에서 사용되는 기술적 용어는 본 발명에서 특별히 다른 의미로 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 의미로 해석되어야 하며, 과도하게 포괄적인 의미로 해석되거나 과도하게 축소된 의미로 해석되지 않아야 한다. 또한, 본 발명에서 사용되는 기술적인 용어가 본 발명의 사상을 정확하게 표현하지 못하는 잘못된 기술적 용어일 때에는, 당업자가 올바르게 이해할 수 있는 기술적 용어로 대체되어 이해되어야 할 것이다. 또한, 본 발명에서 사용되는 일반적인 용어는 사전에 정의되어 있는 바에 따라, 또는 전후 문맥상에 따라 해석되어야 하며, 과도하게 축소된 의미로 해석되지 않아야 한다.

이하, 첨부한 도면을 참조하여 본 발명에 따른 카드 결제방법을 설명한다.

본 발명에서 1회용 비밀번호(이하, OTP라 함)를 생성하는 데에는 제1시드 값과 제2시드 값을 조합하여 구성된 시드 값이 적용되고, 선택적으로 제1 및 제2시드 값에 시간 값을 추가하여 시드 값이 구성될 수 있다.

제1시드 값은 신용카드나 현금카드를 포함하는 카드(110)를 발급받을 때 사용자가 선택한 가상좌표(이하, '사용자 설정좌표'라 함)와 실제 결제가 수행되는 결제 단말기(100)의 좌표 간의 편차에 대응하는 값(이하, '편차값'이라 함)으로 정해진다.

따라서, 제1시드 값은 카드(110)가 결제되는 위치에 따라 다르게 구성되는 동적 시드 값이므로 해킹의 위험성을 원천적으로 차단할 수 있다.

사용자 설정좌표는, 예를 들어 해당 카드의 카드사의 실제 본점의 위치를 GPS 위치 좌표계 상의 원점으로 하는 X-Y 좌표계 내에서, 카드 발급시 사용자가 임의로 선택한 한 점의 가상 좌표이며, 좌표의 세분화 정도(해상도)에 따라 수많은 값을 가질 수 있다.

이를 위해, 가령, 사용자는 카드 발급시 발급지점에 설치된 발급 단말이 제공하는 터치 화면에서 한 점을 직접 선택하여 사용자 설정좌표를 결정할 수 있다.

결정된 사용자 설정좌표는 사용자 정보 및 카드정보와 함께 관리서버(300)에 저장된다.

제2시드 값은 카드 결제시 사용자에 의해 입력된 결제 확인정보에 대응하여 정해지며, 이에 대해서는 후술한다.

무선단말(120)은, 무선 통신장치로 가령 휴대폰일 수 있으며, 결제 확인정보의 입력을 사용자가 직접 수행하도록 하는 기능과 OTP를 생성하여 관리서버(300)로 전송하는 기능을 수행하며, 이를 위해 관련 애플리케이션이 설치될 수 있다.

결제 확인정보는 카드 결제시 결제가 정당한 것인지를 확인하기 위한 것으로 카드 소유자만 알고 있는 고유정보를 말한다.

따라서, 카드만 분실된 경우에는 무선단말로부터 결제 확인정보의 입력이 없기 때문에 사용할 수 없고, 카드와 무선단말을 동시에 분실한 경우에도 무선단말로부터의 결제 확인정보가 입력되지 않도록 결제 확인정보를 사용자만 알 수 있는 고유정보로 설정함으로써 부정 사용자에 의한 결제 확인정보의 입력을 원천적으로 막아 분실에 효과적으로 대응할 수 있다.

특히, 고유정보가 해킹될 가능성을 대비하여 결제 확인정보로 사용자 경험(UX, User eXperience)에 의한 메타데이터(metadata)나 생체정보를 이용하는 경우 효과를 더 향상시킬 수 있다. 즉, 카드 소유자의 경험을 바탕으로 의미를 갖도록 생성된 단어를 결제 확인정보로 하거나, 카드 사용자의 지문을 결제 확인정보로 할 경우 해킹의 위험성을 확실하게 줄일 수 있다.

결제 확인정보는 카드를 발급받을 때, 가령 메타데이터를 입력하거나 지문을 스캔하여 입력할 수 있으며, 입력된 결제 확인정보는 관리서버(300)에 전송되어 카드정보와 함께 저장된다.

사용자는 관리서버(300)로부터 관련 애플리케이션을 다운로드 받아 무선단말(120)에 설치하는데, 애플리케이션이 무선단말(120)에 설치된 후 무선단말 인증이 수행된다. 이를 위해, 가령, 무선단말(120)이 사용자가 발급받은 카드의 카드 번호를 입력받아 이와 함께 무선단말의 고유정보, 가령 전화번호와 IMEI(International Mobile Equipment Identity)를 관리서버(300)에 전송하면, 관리서버(300)는 이를 저장하고 카드 번호를 기저장된 카드정보와 비교하여 일치하는지 판단하여 무선단말(120)을 인증한다.

관리서버(300)는 무선단말(120)의 고유정보를 포함하여 인증결과를 카드정보와 매칭하여 저장하고, 인증되지 않은 다른 무선단말로부터 인증 요청을 수신하면 저장된 무선단말의 고유정보와 카드정보를 참조하여 인증을 거부함으로써 카드를 부정으로 습득한 사람에 의한 무선단말의 추가 인증을 허락하지 않는다.

따라서, 카드(110)만 분실한 경우 카드(110)를 이용한 부정한 무선단말 인증을 원천적으로 방지할 수 있다.

한편, 상기한 것처럼, 관리서버(300)는 카드 발급시 사용자에 의해 결정된 사용자 설정좌표와 실제 결제가 이루어지는 결제 단말기(100)의 좌표의 편차값으로부터 구성된 제1시드 값을 무선단말(120)에 전송하고, 무선단말(120)은 이를 수신하여 저장한다.

이 실시 예에서, 관리서버(300)는 명칭에 관계없이 데이터 서버(310)를 구비하면서 기능적으로 인증과 결제승인을 모두 수행하는 장치를 의미한다. 이 실시 예와 달리, 인증을 위한 별도의 독립된 서버로 관리서버를 구축하고 결제승인은 신용카드사 서버에서 수행되도록 구성할 수 있다.

이하, 본 발명에 따른 카드 결제방법을 도 1 내지 3을 참조하여 상세하게 설명한다.

도 2는 본 발명의 카드 결제방법을 설명하는 플로차트이고, 도 3은 흐름도이다.

먼저, 해당 카드를 취급하는 카드 가맹점에는 결제 단말기(100)가 설치되고, 결제 단말기(100)는 사전에 관리서버(300)에 등록되는데, 가령 결제 단말기(100)의 고유 식별정보와 위치정보가 함께 관리서버(300)에 저장된다.

여기서, 위치정보는 해상도에 따라 다르지만, 통상 GPS 위치 좌표계 상의 경도와 위도를 카드의 사용자 설정좌표와 동일한 X-Y 좌표상의 좌표값으로 변환한 값을 말하며, 그 결과 결제 단말기(100)의 등록된 좌표와 카드의 사용자 설정좌표 간의 편차값을 산출할 수 있다.

가맹점주가 결제 단말기(100)에 결제정보, 즉 결제금액과 결제방식 등을 입력하면, 사용자는 결제 카드(110)를 가맹점에 설치된 결제 단말기(100)에 직접 삽입하거나 근접시켜 결제 단말기(100)가 카드(110)를 읽도록 한다(단계 S21). 이와 같이 함으로써 카드(110)를 소유자 이외에 타인이 취급하는 것을 원천적으로 방지할 수 있다.

결제 단말기(100)는 카드(110)로부터 카드정보를 판독하고, 판독된 카드정보와 입력된 결제정보 및 결제 단말기(100)의 식별정보를 네트워크(200), 가령 인터넷을 통하여 관리서버(300)에 전송한다(단계 S22).

관리서버(300)는 카드(110)의 카드정보와 결제 단말기(100)의 식별정보를 수신하고, 카드정보와 매칭되는 전화번호를 추출하고 결제정보를 기설정된 메시지 템플릿으로 결제확인 메시지를 만들어 해당 전화번호의 무선단말(120)로 푸쉬(push) 한다(단계 S23).

무선단말(120)은 수신한 결제확인 메시지를 표시하여 사용자로부터 결제 확인정보의 입력을 대기하며, 결제 확인정보의 입력이 있으면, 이를 관리서버(300)에 전송한다(단계 S24). 여기서, 결제확인 메시지는, 가령 결제 금액과 결제 품목 및 가맹점 정보 등을 포함할 수 있다.

결제 확인정보는 '승인'과 '취소'의 간단한 정보일 수 있지만, 상기한 것처럼, 결제 확인정보를 사용자만 알고 있으면서 타인에 의한 유추가 어려운 메타데이터(metadata)나 사용자 고유의 생체정보로 함으로써, 카드와 무선단말을 동시에 분실한 경우 부정 사용자에 의한 결제 확인정보의 입력을 원천적으로 막을 수 있어 분실에 효과적으로 대응할 수 있다.

따라서, 관리서버(300)는 결제 확인정보가 '승인'인 경우 결제를 위한 OTP 인증을 수행할 수 있지만, 결제 확인정보를 시드 값으로 하여 결제를 위한 OTP 인증을 수행할 수 있다.

이하의 설명에서는 결제 확인정보로 메타데이터나 사용자 생체정보가 입력되는 경우를 예를 들어 설명한다.

무선단말(120)로부터 수신한 결제 확인정보를 미리 등록한 결제 확인정보와 비교하여 일치하는지를 판단하고(단계 S25), 일치하는 경우, 관리서버(300)는 무선단말(120)과 결제를 위한 OTP 인증을 수행한다.

OTP 인증을 위해서, 상기한 것처럼, 관리서버(300)는 수신한 카드번호에 기초하여 사용자 설정좌표를 추출하고 결제 단말기(100)의 식별정보로부터 결제 단말기(100)의 좌표를 추출하여 이들 좌표 간의 편차값을 산출하고 산출된 값을 제1시드 값으로 하고, 이와 함께, 무선단말(120)에 입력되어 수신한 결제 확인정보를 제2시드 값으로 하여 이들을 조합하여 구성된 시드 값을 적용한다.

이와 같이, 제1시드 값으로 카드(110)에 대응하는 사용자 설정좌표와 실시간으로 결제가 수행되는 결제 단말기(100)의 좌표 간의 편차값을 적용하여 동적 OTP를 생성함으로써 해킹이 거의 불가능하고, 사용자마다 개별화되기 때문에 관리서버(300)가 해킹되더라도 피해를 사용자 개인으로 국한시켜 최소화할 수 있다.

관리서버(300)는 정해진 제1시드 값 또는 제1/제2시드 값을 무선단말(120)에 전송함과 동시에, 제1시드 값과 제2시드 값을 조합하여 시드 값을 구성하고 이 시드 값을 적용하여 OTP를 생성한다(단계 S26).

여기서, 제1시드 값과 제2시드 값 이외에 결제 시점의 시간정보를 더 부가하여 시드 값을 구성할 수 있다.

한편, 무선단말(120)에 설치된 애플리케이션은 OTP 생성 알고리즘을 포함하고 있으며, 관리서버(300)로부터 수신한 제1시드 값과 무선단말(120)에 입력된 제2시드 값을 조합하여 시드 값을 구성하거나, 관리서버(300)로부터 수신한 제1/제2시드 값을 조합하여 시드 값을 구성하고 이를 OTP 생성 알고리즘에 적용하여 OTP를 생성한다(단계 S27).

상기와 마찬가지로, 무선단말(120)은 제1시드 값과 제2시드 값 이외에 결제 시점의 시간정보를 더 부가하여 시드 값을 구성할 수 있다.

무선단말(120)은 생성된 OTP를 관리서버(300)에 전송하고, 관리서버(300)는 자신이 생성한 OTP와 무선단말(120)로부터 수신한 OTP를 비교하여 무선단말(120)의 유효성을 판단한다(단계 S28).

판단 결과, 무선단말(120)이 유효하면, 관리서버(300)는 결제 승인을 결제 단말기(100)에 전송하고, 결제 단말기(100)는 결제를 수행하여 영수증을 발행한다(단계 S29). 반면, 무선단말(120)이 유효하지 않으면, 결제 단말기(100)와 무선단말(120)로 인증되지 않았다는 메시지를 전송한다.

상기와 같은 결제방법에 의하면, 타인이 분실된 카드를 사용하여 결제를 수행하더라도, 무선단말을 통한 인증을 수행할 수 없어 최종적으로 결제가 이루어지지 않으므로 안전하고 신뢰성 있는 카드 결제를 수행할 수 있다.

또한, 타인이 카드와 무선단말을 동시에 습득한 경우에도 카드 결제과정에서 입력되는 결제 확인정보를 사용자만 알고 있으면서 타인에 의한 유추가 어려운 메타데이터(metadata)나 사용자 고유의 생체정보로 함으로써, 부정 사용자에 의한 결제 확인정보의 입력을 원천적으로 막을 수 있어 분실에 효과적으로 대응할 수 있다.

또한, 실시간으로 카드 결제가 이루어지는 결제 단말기의 위치정보를 이용하여 시드 값(동적 시드 값)을 구성하고 이로부터 동적 OTP를 생성하기 때문에 변동성으로 인해 OTP의 해킹을 최소화할 수 있다.

또한, 시드 값으로 카드에 대응하는 사용자 설정좌표와 실시간으로 결제가 수행되는 결제 단말기의 좌표 간의 편차값을 적용함으로써 시드 값이 사용자마다 개별화되기 때문에 해킹으로 인한 피해를 사용자 개인으로 국한시켜 최소화할 수 있다.

또한, 무선단말이 시드 값을 관리서버로부터 수신하여 OTP를 생성하기 때문에 시드 값이 해킹될 가능성이 더욱 줄일 수 있다.

한편, 본 발명의 결제방법은 온오프라인을 병용하여 물품을 구매하거나 서비스를 받는데 적용될 수 있다. 구체적으로, 예를 들어 여러 가지의 상황에 의해 카드 소지자가 오프라인으로 물품을 구매할 수 없으면서 온라인으로 구매하기에는 배송기일이 문제가 되는 경우, 가족이나 친구 등의 대리인이 본인 소유의 카드를 이용하여 오프라인으로 물품을 구매하면서 카드 소유자가 본 발명의 결제방법을 통하여 온라인으로 결제할 수 있다.

그 결과, 사용자의 편의를 도모할 수 있고, 가맹점이나 카드사 입장에서는 매출이 증대하고 카드 사용횟수의 증가하여 상거래가 활성화되는 이점이 있다.

이상에서는 본 발명의 실시 예를 중심으로 설명하였지만, 당업자 수준에서 다양한 변경이나 변형을 가할 수 있으며, 이러한 변경과 변형이 본 발명의 범위를 벗어나지 않는 한 본 발명에 속한다고 할 수 있다.

가령, 상기의 실시 예에서는 카드 가맹점에서 카드 결제를 수행하는 경우에 대해서 설명하였지만, 현금카드를 이용하여 ATM 기기로부터 현금을 인출하는 경우에도 동일하게 적용할 수 있다.

따라서, 본 발명의 권리범위는 상기의 실시 예에 한정되어서는 안 되며, 이하에 기재되는 청구범위에 의해 판단되어야 할 것이다.

Claims

결제 단말기가 카드로부터 카드정보를 판독하는 단계;

상기 판독된 카드정보와 상기 결제 단말기에 입력된 결제정보 및 상기 결제 단말기의 식별정보가 네트워크를 통하여 관리서버에 전송되는 단계;

상기 관리서버가 상기 카드정보, 상기 결제정보 및 상기 식별정보를 수신하고, 상기 카드정보와 매칭되는 전화번호를 추출하고 상기 전화번호에 해당하는 무선단말로 상기 결제정보를 푸쉬(push) 하는 단계;

상기 무선단말이 결제 확인정보를 입력받아 상기 관리서버로 전송하고, 상기 관리서버는 수신한 상기 결제 확인정보에 따라 상기 무선단말과 OTP 인증을 수행하는 단계; 및

상기 OTP 인증이 완료되면, 상기 관리서버는 결제 승인을 상기 결제 단말기 및/또는 상기 무선단말에 전송하고, 상기 결제 단말기는 결제를 수행하여 영수증을 발행하는 단계를 포함하며,

상기 OTP 인증을 수행하는 단계는,

상기 관리서버가 상기 수신한 카드번호에 기초하여 사용자 설정좌표를 추출하고 상기 수신한 식별정보로부터 결제 단말기의 좌표를 추출하여 이들 좌표 간의 편차값을 시드 값으로 산출하는 서브 단계;

상기 관리서버가 상기 산출된 시드 값을 상기 무선단말에 전송하고, 상기 시드 값을 적용하여 OTP를 생성하는 서브 단계;

상기 무선단말이 상기 관리서버로부터 수신한 상기 시드 값을 상기 무선단말의 OTP 생성 알고리즘에 적용하여 OTP를 생성하는 서브 단계; 및

상기 무선단말이 상기 생성된 OTP를 상기 관리서버에 전송하고, 상기 관리서버가 자신이 생성한 OTP와 상기 무선단말로부터 수신한 OTP를 비교하여 상기 무선단말의 유효성을 판단하는 서브 단계를 포함하는 것을 특징으로 하는 동적 OTP를 이용한 카드 결제방법.
결제 단말기가 카드로부터 카드정보를 판독하는 단계;

상기 판독된 카드정보와 상기 결제 단말기에 입력된 결제정보 및 상기 결제 단말기의 식별정보가 네트워크를 통하여 관리서버에 전송되는 단계;

상기 관리서버가 상기 카드정보, 상기 결제정보 및 상기 식별정보를 수신하고, 상기 카드정보와 매칭되는 전화번호를 추출하고 상기 전화번호에 해당하는 무선단말로 상기 결제정보를 푸쉬(push) 하는 단계;

상기 무선단말이 사용자로부터 사용자만 알고 있는 고유의 결제 확인정보를 입력받아 상기 관리서버로 전송하고, 상기 관리서버는 상기 무선단말로부터 수신한 결제 확인정보를 미리 등록된 결제 확인정보와 비교하여 일치하는지를 판단하여 사용자를 인증하는 단계;

일치하는 경우 상기 관리서버와 상기 무선단말 사이에 OTP 인증을 수행하는 단계; 및

상기 OTP 인증이 완료되면, 상기 관리서버는 결제 승인을 상기 결제 단말기 및/또는 상기 무선단말에 전송하고, 상기 결제 단말기는 결제를 수행하여 영수증을 발행하는 단계를 포함하며,

상기 OTP 인증을 수행하는 단계는,

상기 관리서버가 상기 수신한 카드번호에 기초하여 사용자 설정좌표를 추출하고 상기 수신한 식별정보로부터 결제 단말기의 좌표를 추출하여 이들 좌표 간의 편차값을 제1시드 값으로 산출하고, 상기 무선단말로부터 수신한 결제 확인정보를 제2시드 값으로 결정하는 서브 단계;

상기 관리서버가 상기 제1/제2시드 값을 상기 무선단말에 전송하고, 상기 제1/제2시드 값을 조합하여 시드 값을 구성하고 이 시드 값을 적용하여 OTP를 생성하는 서브 단계;

상기 무선단말이 상기 관리서버로부터 수신한 상기 제1/제2시드 값을 OTP 생성 알고리즘에 적용하여 OTP를 생성하는 서브 단계; 및

상기 무선단말이 상기 생성된 OTP를 상기 관리서버에 전송하고, 상기 관리서버가 자신이 생성한 OTP와 상기 무선단말로부터 수신한 OTP를 비교하여 상기 무선단말의 유효성을 판단하는 서브 단계를 포함하는 것을 특징으로 하는 동적 OTP를 이용한 카드 결제방법.
청구항 2에서,

상기 결제 확인정보는 사용자 경험에 의한 메타데이터(metadata)나 카드 소유자의 생체정보인 것을 특징으로 하는 동적 OTP를 이용한 카드 결제방법.
청구항 1 또는 2에서,

상기 결제 단말기는 카드 가맹점에 설치된 카드 단말기 또는 ATM 기기인 것을 특징으로 하는 동적 OTP를 이용한 카드 결제방법.
청구항 1 또는 2에서,

상기 무선단말은, 사용자가 소지한 카드의 카드 번호를 입력받아 상기 무선단말의 고유정보와 함께 상기 관리서버에 전송하고, 상기 관리서버는 이를 저장하고 상기 수신한 카드 번호를 상기 카드정보와 비교하여 일치하는지 판단하여 상기 무선단말을 인증하며,

상기 관리서버는 상기 무선단말의 고유정보를 포함하는 인증결과를 상기 카드정보와 매칭하여 저장하고, 다른 무선단말로부터 인증 요청을 수신하면 상기 저장된 무선단말의 고유정보와 상기 카드정보를 참조하여 인증을 거부하는 것을 특징으로 하는 동적 OTP를 이용한 카드 결제방법.
결제 단말기가 카드로부터 카드정보를 판독하는 단계;

상기 판독된 카드정보와 상기 결제 단말기에 입력된 결제정보 및 상기 결제 단말기의 식별정보가 네트워크를 통하여 관리서버에 전송되는 단계;

상기 관리서버가 상기 카드정보, 상기 결제정보 및 상기 식별정보를 수신하고, 상기 카드정보와 매칭되는 전화번호를 추출하고 상기 전화번호에 해당하는 무선단말로 상기 결제정보를 푸쉬(push) 하는 단계;

상기 무선단말이 사용자로부터 사용자만 알고 있는 고유의 결제 확인정보를 입력받아 상기 관리서버로 전송하고, 상기 관리서버는 상기 무선단말로부터 수신한 결제 확인정보를 미리 등록된 결제 확인정보와 비교하여 일치하는지를 판단하여 사용자를 인증하는 단계;

일치하는 경우 상기 관리서버와 상기 무선단말 사이에 OTP 인증을 수행하는 단계; 및

상기 OTP 인증이 완료되면, 상기 관리서버는 결제 승인을 상기 결제 단말기 및/또는 상기 무선단말에 전송하고, 상기 결제 단말기는 결제를 수행하여 영수증을 발행하는 단계를 포함하며,

상기 OTP 인증을 수행하는 단계는,

상기 관리서버가 상기 수신한 카드번호에 기초하여 사용자 설정좌표를 추출하고 상기 수신한 식별정보로부터 결제 단말기의 좌표를 추출하여 이들 좌표 간의 편차값을 제1시드 값으로 산출하고, 상기 무선단말로부터 수신한 결제 확인정보를 제2시드 값으로 결정하는 서브 단계;

상기 관리서버가 상기 제1시드 값을 상기 무선단말에 전송하고, 상기 제1/제2시드 값을 조합하여 시드 값을 구성하고 이 시드 값을 적용하여 OTP를 생성하는 서브 단계;

상기 무선단말이 상기 관리서버로부터 수신한 상기 제1시드 값과 상기 무선단말에 입력된 상기 결제 확인정보를 제2시드 값으로 조합하여 시드 값을 구성하고 이를 OTP 생성 알고리즘에 적용하여 OTP를 생성하는 서브 단계; 및

상기 무선단말이 상기 생성된 OTP를 상기 관리서버에 전송하고, 상기 관리서버가 자신이 생성한 OTP와 상기 무선단말로부터 수신한 OTP를 비교하여 상기 무선단말의 유효성을 판단하는 서브 단계를 포함하는 것을 특징으로 하는 동적 OTP를 이용한 카드 결제방법.