정보보안 강조하지만 ‘기준’ 조차 부실

결제 관련 고객정보 보안, 밴사 의존도 높아

“우리나라에는 아직 정보보안을 위한 정책이 없는 것 같다. 단말기 보안 강화를 위한 논의만 수년째 이어져왔고, 고객 데이터 보안 기준은 이제야 만들겠다고 나선다. 기준이 만들어진다고 하더라도 현재는 법적 구속력이 없어 실효성에도 의문이 든다” (여신업 관련 한 전문가)

정보보안을 줄곧 강조해왔지만 대형 사건이 터지기 직전까지도 신용카드 데이터 보안에 대한 법제화된 기준조차 없었던 점에 대한 지적이 끊이질 않는다. 향후에 같은 잘못이 반복되지 않기 위해 시급히 데이터보안 기준을 수립·강화해야 한다고 재차 강조하는 목소리가 높다.

30일 관련업계에 따르면 단말기 고객정보 유출을 차단하기 위해 ‘단말기 보안체계 인증제도’를 수립하고 여신금융협회에 등록된 단말기만 유통되도록 하는 방안이 논의되고 있다. 하지만 법제화되지 않아 밴사나 가맹점에 의무화 할 수도 없는 상황이다.

이재연 금융연구원 박사는 “사실 우리나라에서는 가맹점 단말기에서 해킹되도 모른다. 정보유출이 발생해 피해를 본 경우에 그걸 역추적해 찾는 경우가 대부분”이라며 “사전 예방도 어려울뿐더러 해킹이 일어났는지 조차도 모르고 있다는 건 큰 문제”라고 지적했다.

외국의 신용카드 시장에서는 비자·마스터·아멕스·JCB·CUP 등 국제 브랜드 카드들이 고객정보 보안을 위해 보안기준 수립해 관리한다.

하지만 우리는 밴사가 가맹점 모집부터 관리까지의 모든 과정을 담당하고 신용카드 결제와 관련해 거래승인 및 전표매입 등의 업무를 수행하는 과정에서 카드사에 대한 우위를 차지하고 있어 카드사 중심의 고객정보 보안시스템 구축 자체가 어렵다. 국내 카드사들이 결제 관련 고객정보 보안을 밴사에 의존하고 있는 행태가 국제 브랜드사들과의 극명한 차이인 것이다.

이 같은 상황에서 밴사를 통해 고객의 결제관련 정보가 전달되거나 저장·이용되는 과정에서의 정보유출 위험도 높지만 이와 관련한 감독은 미비한 실정이다.

이 박사는 “국내 신용카드의 경우 고객결제 정보의 암호화를 밴사가 담당하고 가맹점에서의 결제 이후 암호화된 결제정보가 카드사로 직접 전달되지 못하기 때문에 국제 신용카드 보안기준인 PCIDSS 인증을 받지 못하는 것으로 알려져있다”며 “그동안 카드사들이 편의를 위해 밴사에 위임했던 업무 중 고객정보 보안 관점에서 적정성을 파악해 재조정할 필요가 있다”고 조언했다.

이어 “고객정보유출에 대비해 PCIDSS를 도입하거나 이에 준하는 국내의 종합적인 신용카드 고객정보 보안기준도 만들어야 한다”고 덧붙였다.