POS단말기 보안표준 ‘있으나 마나’..법제화 필요

금융당국 및 관련업계 TF 구성해 대책마련 논의..이달 말까지 개정안 정비

인터넷을 기반으로 한 신용카드 결제용 판매시점관리(POS) 단말기의 해킹 범죄가 늘고 있다. 단말기 보안표준이 제정돼 있긴 하지만 법적 구속력이 없어 유명무실한 상태다. 보안표준 및 단말기 등록 법제화 등을 통한 대책 마련이 시급하다.

10일 금융권에 따르면 POS 단말기를 해킹해 신용카드 비밀번호를 빼낸 뒤 위조 카드를 만들어 1억여원을 빼간 사건이 발생했다. 지금까지 POS단말기를 해킹해 고객정보를 유출한 경우는 있었으나 카드 비밀번호까지 빼간 건 처음이다.

경찰청 사이버테러대응센터는 POS단말기 수십 대를 해킹해 신용카드 가맹점에서 결제된 카드 정보 20만건을 빼낸 후 위조 카드 149장을 만들어 현금지급기에서 1억여원을 인출한 일당을 적발해 수사 중이다.

POS단말기에는 거래 내역 이외에 단말기 자체에 카드번호와 유효기간 등 각종 신용정보가 저장된다. 주로 대형 할인마트나 백화점 등에서 출고 내역 관리 등을 위해 POS단말기를 사용해 왔지만, 최근 자영업자들의 이용도 늘어나는 추세다.

현재 금융당국과 카드 및 밴 업계는 카드 위·변조와 고객 금융정보 해킹을 차단하기 위해 태스크포스(TF)를 구성, 단말기 보안표준 개정과 신용카드 결제 단말기 등록제 도입을 논의 중이다. 2015년부터는 IC단말기로 전환돼야 하기 때문에 이달 말까지는 정비가 될 것으로 보고 있다.

여신금융협회 관계자는 “현재 TF를 통해 지금까지 나왔던 기술적인 문제 등을 토대로 밴사와 함께 보안표준 개정 작업을 진행 중”이라며 “고객 정보를 암호화하는 문제가 제일 중점이 될 것 같다. 단말기 보안 규격이나 단말기 등록 관리 등에 대해서도 논의하고 있다”고 말했다.

협회는 보안표준에 있는 내용들을 준수한 단말기만 보안 인증을 통해 시중에 유통시키면 해킹 등 정보유출로 인한 문제가 해결됨은 물론 보안 사고에 대한 책임소재도 보다 명확해질 수 있을 것으로 내다봤다.

하지만 문제는 보안표준과 단말기 등록제를 제정한다고 해도 제조사들이 의무적으로 준수하도록 하는 제도적 장치가 있어야 현실적으로 이행이 가능하다는 점이다.

포스단말기 제조업자들은 대부분 영세하고 전국에 수백개로 난립해 있어 이를 관리하고 감독할 주체가 없는 것도 문제다.

이에 밴대리점 등록제 실시하게 되면 등록돼있는 밴대리점은 보안표준을 지켜야한다는 식의 내용을 입법 과정에서 담아내야 한다는 주장이 나오고 있다.

이재연 금융연구원 연구위원은 “법 체계를 만들어 제도적 장치를 마련하거나 가맹점 계약조건에 관련 내용을 포함하는 방식으로 일정 기준을 만들어야 할 필요는 있다”며 “보안 사고 발생 시 책임은 누가 져야 하는지, 규정 위반시 어떤 제재를 가할지 등 책임관계 명확히 한다는 차원”이라고 말했다.

그는 또 “외국의 경우 신용카드 고객 데이터 보안 기준을 마련해두고 있다”며 “단말기를 바꾼다고 하더라도 주기적으로 관리가 필요하기 때문에 이들을 관리·감독할 체계부터 만들어야 한다”고 조언했다.