1. 신용카드 결제 전체 흐름 개요

온라인 신용카드 결제는 크게
요청(Request) → 본인 인증(Authentication) → 승인(Authorization)
세 단계로 볼 수 있다.

결제 요청
- 고객이 온라인 상점(쇼핑몰)에서 상품을 선택하고 결제 버튼 클릭
- 상점은 PG사로 결제 정보를 전달하고, PG사는 카드사와 소통할 채널을 준비
본인 인증
- 카드사(발행사)가 “이 카드가 정말 소유자 본인의 것인지”를 확인하는 단계
- 국내에서는 안심클릭 등 본인인증 방식이나 ISP, 앱카드 인증, 간편결제(앱푸시) 등을 활용
- 해외카드(VISA, Master 등)는 3D Secure 인증을 필수로 거치는 추세
결제 승인
- 인증에 성공하면, PG사를 통해 카드 승인 요청이 카드사로 전달
- 카드 한도/유효성 등을 확인해 최종 승인번호를 발급
- 승인 응답이 PG사와 상점을 거쳐 고객에게 돌아오면 결제가 완료
- 이후 PG사가 카드사로부터 매입, 정산까지 대행해주므로
  상점은 여러 카드사와 개별 정산할 필요가 없음

MPI(Merchant Plug-In)의 역할은?

MPI는 상점 또는 PG사에 설치되어,
카드사 인증 서버(ACS)와 통신하며 3D Secure 인증을 처리하는 소프트웨어 모듈
단계는 아래와 같다.
1. 고객이 카드번호 등 정보를 입력
2. MPI가 ACS에 인증을 요청
3. ACS(카드사)가 OTP/비밀번호/앱승인을 통해 본인 여부를 확인
4. 인증결과를 MPI에 전달 후 승인 요청으로 연결
인증이 성공해야 최종 카드승인으로 넘어갈 수 있음 (부정거래 방지)

2. 주요 PG사별 구성 요소 및 특징

국내에는 많은 PG사가 있으나 여기서는 대표적인 10곳(혹은 그룹)을 예시로 소개한다.

각 PG마다 결제창(UI), API 구조, 테스트 방식 등이 조금씩 다르나,
“본인 인증” → “승인 요청” 이라는 기본 흐름은 동일

2.1 NHN KCP

소개:
NHN 그룹 산하의 대표적인 전자결제 대행사. 오래된 업력, 게임/콘텐츠 분야에서도 많이 활용.
연동 카드사:
국내 거의 모든 카드사 가능(신한·KB·현대·삼성·롯데·BC 등).
인증방식: 안심클릭등 본인인증 방식, ISP, 앱카드 모두 KCP 결제창에서 통합 처리.
테스트 시 주의:
KCP가 발급해주는 사이트코드(site_cd)와 해시키(hash_key) 사용
테스트 카드번호(4111-1111-1111-1111 등)로 승인 시뮬레이션 가능.
ISP, 안심클릭 등 각각의 인증 시뮬레이션을 반드시 확인해야 함

2.2 신한은행 PG(신한PG)

소개:
시중은행(신한)에서 직접 운영하는 PG 서비스.
정산주기가 매우 빠르다는 강점(카드 익일 입금 등).
연동 카드사:
모든 국내 카드사 가능. 해외카드는 별도 설정 필요(3D Secure).
인증방식:
신한카드뿐 아니라 타 카드사도 안심클릭/MPI, 앱카드, ISP를 지원.
신한카드 사용자라면 앱푸시, Face ID 등 편의 기능 가능.
테스트 시 주의:
Sandbox(샌드박스)를 통해 모의 승인/에러 응답을 상세히 확인 가능.
실제 심사 단계에서 카드사가 테스트 결제를 해보니,
반드시 테스트 흐름을 사전에 구현해두어야 함.

2.3 NICEPAY(나이스페이)

소개:
국내 주요 VAN사(나이스정보통신) 계열의 PG. 장애율이 낮고 인프라 탄탄.
연동 카드사:
국내 전 카드사, 해외카드(VISA, Master)도 별도 계약 시 가능.
인증방식:
결제창 또는 API 방식. 안심클릭, ISP, 3DS(해외) 모두 지원.
테스트 시 주의:
관리자 콘솔에서 샌드박스 상점을 발급받아 다양한 시나리오(성공/실패 코드)를 미리 설정 가능.
인증·승인 API 호출 순서(인증값으로 다시 승인 요청) 확인이 중요.

2.4 스마트로(Smartro)

소개:
BC카드 계열의 VAN사로 시작, 온라인 PG도 제공. BC카드 쪽 인증(ISP)에 특화.
연동 카드사:
국내 전 카드사(BC, 신한, 현대, 삼성, 하나 등). 해외카드는 제한적.
인증방식:
웹표준 결제창. BC카드 계열이면 ISP(페이북) 흐름으로 전환, 그 외는 안심클릭.
테스트 시 주의:
테스트 MID 사용 시 모의 승인·취소를 지원.
특히 BC카드(또는 신한BC 등) 테스트 때는
ISP 인증 절차가 잘 뜨는지 확인 필요(앱 호출이나 팝업 등).

2.5 KG이니시스(KG Inicis)

소개:
국내 PG 1위급 업체, 오랜 역사를 가진 대형사.
대형 쇼핑몰과도 많이 제휴. 해외결제 지원도 활발.
연동 카드사:
국내 전 카드사(안심클릭, ISP),
해외 Visa/Master 등. 특약 맺으면 여러 통화 결제 가능.
인증방식:
웹표준 결제창, 모바일 앱/SDK 등 다양.
3D Secure 기반 안심클릭, 앱카드 모두 지원.
테스트 시 주의:
INIPayTest 같은 테스트용 상점ID 활용.
이니시스 관리자에서 결제결과가 잘 수신되는지(콜백) 확인해야 함.
ISP나 간편결제(카카오페이 등) 전표에 가상번호가 표시될 수 있음.

2.6 KSNET

소개:
효성FMS 계열(VAN)로, 오프라인 카드망을 오랫동안 운용. 안정적 승인·취소 인프라.
연동 카드사:
국내 전 카드사, 부분적으로 해외카드. BC카드 ISP 인증도 지원.
인증방식:
API/웹표준. ISP와 안심클릭, 앱카드 모두 가능.
테스트 시 주의:
별도 가이드에 응답코드 표가 있으므로,
성공(0000), 에러(1001, 2001 등) 코드를 꼼꼼히 체크.
서버 IP 등록해야 테스트 요청이 열리는 경우가 많음.

2.7 KICC(한국정보통신)

소개:
3대 VAN 중 하나. 항공사·여행사 등 대형 업종에도 커스터마이징 제공.
연동 카드사:
전 카드사, 해외 Visa/Master, 유니온페이(중국)은련)도 일부 지원.
인증방식:
웹표준 결제창(Payplus)으로 안심클릭·ISP·앱카드 인증.
테스트 시 주의:
TEST 모드에서 특정 카드번호(9411… 등)를 쓰면
항상 승인되는 식으로 시뮬레이션.
결제 결과 콜백URL 정확히 세팅해야 중복 처리를 방지할 수 있음(중복 요청 대비).

2.8 다날, KG모빌리언스

소개:
휴대폰결제의 강자로 시작했지만, 신용카드 PG도 제공.
정기결제나 모바일 특화 서비스가 장점.
연동 카드사:
국내 전 카드사, 해외카드도 일부 지원(3D Secure).
인증방식:
모바일앱/SDK, 웹 결제창 모두 가능.
휴대폰결제와 카드결제를 한 번에 도입하는 데 유리.
테스트 시 주의:
CPID=TEST 같은 파라미터로 모의 승인을 확인.
휴대폰결제와 복합 결제(카드+휴대폰) 시나리오가 많은 경우 꼼꼼히 QA 필요.

2.9 토스페이먼츠(Toss Payments)

소개:
토스가 LG U+ PG사업부를 인수해 만든 신생(?) PG사. API 기반으로 연동이 매우 쉽고 문서가 깔끔함.
연동 카드사:
국내 전 카드사, 해외카드(3D Secure)도 별도 계약 시 가능.
인증방식: API/SDK 위주.
결제창(위젯)을 호출하면 모의 인증창이 뜨거나,
앱카드/안심클릭이 알아서 처리됨.
테스트 시 주의:
Sandbox 발급받으면 실제와 유사한 결제 흐름(성공/실패/한도초과 등)을 재현 가능.
paymentKey 개념으로 인증과 승인 단계를 분리해 구현해야 함.

2.10 기타 PG사(특수 사례)

NHN페이코(Payco):
간편결제와 PG 기능을 겸하지만, 실제로는 NHN KCP가 뒷단 승인 처리.
네이버페이, 카카오페이:
자체 결제망 확충 중이나, 대부분 다른 PG(이니시스 등)와 제휴해 운영.
이엑스임베이(Eximbay), 페이팔코리아:
해외결제 전문 PG.
인앱결제 전용(원스토어 등):
앱스토어나 게임 마켓 전용이므로 범용 PG와 다소 구분됨.

3. PG사별 주요 차이점(장단점) 비교

PG사 주요 특징 / 장점 / 단점

결론적으로 모든 PG사가 카드 인증과 승인 기능은 공통적으로 제공
정산 속도나 간편결제 연동 여부, 개발 문서(가이드) 완성도, 수수료 정책 등에서 차이가 나타남
ActiveX(구형 플러그인) 문제는 대부분 해결됐으며,
최근엔 웹표준 결제 + 모바일 앱카드/간편결제가 주류

4. 특수한 결제 방식별 일반 결제와의 차이

4.1 Ring-to-Pay (전화인증 결제)

전화(ARS)로 걸려온 전화를 받아 인증번호를 눌러 결제하는 독특한 방식
과거 G마켓 등 일부 대형몰에서 KB카드 ‘링투페이’를 도입했지만, 현재 대중화되진 않음
장점: 웹에 카드정보 입력 없이 전화통화로 인증하므로 보안성↑
단점: 전화를 반드시 받아야 해 번거롭고, 초기 가입(카드 등록) 절차도 필요

4.2 ISP vs MPI(안심클릭)

ISP(안전결제): BC카드 계열에서 만든 인증 방식,
과거에는 PC에 ISP 인증서 설치 → 비밀번호 입력.
MPI(안심클릭): Visa/Master 3D Secure 기반, 카드사별로 안심클릭 비밀번호/OTP를 쓰는 형태.
현재는 구분이 많이 약해지고, BC카드도 “페이북(앱카드)”로 ISP를 대체.
타 카드사는 “앱카드”나 “앱푸시 인증” 등으로 발전.

4.3 자동결제(정기결제) vs 일반결제

자동결제(Subscription): 초기에 1회 인증만 거친 뒤,
이후 매달 or 정기적으로 비인증으로 승인
고객이 구독료나 월사용료 결제 시 매번 카드정보 입력 없이 자동으로 청구
장점: 편리, 사업자 입장에서 매달 안정적 결제 가능
단점: 일부 카드사(국민, NH농협 등)는 정책상 비인증 자동결제를 불허 → PG에서 결제 거절
QA 포인트: 만료카드, 한도초과, 해지(취소) 로직 등 예외 처리를 꼼꼼히 확인

5. 관련 용어 정리

PG(Payment Gateway):
온라인 상점과 카드사/금융기관을 연결해 승인·정산을 대행.
VAN(Value Added Network):
주로 오프라인 결제망(카드단말기 통신) 운영. 정산까지 대행하지는 않는 경우가 많음.
MPI(Merchant Plug-In):
3D Secure 인증(안심클릭)을 담당하는 모듈. 상점/PG와 카드사(ACS) 간 교두보.
ACS(Access Control Server):
카드사 인증 서버. OTP·앱카드·비밀번호 등을 관리해 실제 본인인증을 수행.
3D Secure(3DS):
국제카드사(Visa, Master)가 만든 온라인 결제 인증 표준(VBV, SecureCode 등).
국내 안심클릭과 ISP도 이 구조를 기반으로 발전.
ISP(Internet Secure Payment):
BC카드 계열이 만든 국내 전용 인증방식(과거 PC모듈→현재 Paybooc 앱).
안심클릭:
원래 Visa 3D Secure 서비스의 국내 명칭.
카드사별 인증(OTP, 비밀번호 등)을 통칭해 부르던 말.
앱카드:
카드사 앱을 통해 온라인결제 인증.
휴대폰에서 푸시 승인, 지문·Face ID 인증으로 완료.
간편결제:
미리 카드/계좌 등록 후 PIN이나 생체인증만으로 결제
(네이버페이, 카카오페이, 페이코 등).
정기결제(Subscription):
매월 혹은 주기로 반복 과금되는 비인증 결제. OTT·클라우드 서비스 등이 활용.
매입/정산:
승인된 거래를 카드사가 PG에 지급(매입) → PG가 가맹점에 한꺼번에 송금(정산).

(요약) 결론 및 활용 팁

전체 흐름:
온라인 결제는 크게 “결제 요청 → 본인 인증 → 최종 승인”으로 이뤄진다.
PG사의 역할:
상점이 일일이 카드사와 연결할 필요 없이,
PG 한 곳만 계약하면 모든 카드 결제 가능 + 정산까지 대행.
MPI(3D Secure)의 중요성:
부정거래 방지와 보안을 위해 추가 인증을 필수로 진행.
국내외 카드 모두 3DS 표준을 따른다.
PG사 선택 기준:
- 연동 편의성(API/문서/샌드박스 제공 여부)
- 정산 속도(익일 vs 월 2회 등)
- 수수료 및 계약 조건
- 간편결제/해외결제/정기결제 지원 여부
- 오류 대응 및 고객지원(장애 대응, QA 지원 등)
테스트 시 유의사항:
- 카드 인증(안심클릭/ISP) 흐름이 제대로 작동하는지(팝업, 앱 연동, 비밀번호 입력)
- 콜백(서버-to-서버) 통지가 누락되지 않는지, 중복 요청이 없는지
- 결제 취소/부분취소, 정기결제 실패 등 예외 시나리오 처리