[뉴스토마토 류석기자] 결제대행업체(PG)들도 카드사처럼 고객의 카드정보를 저장할 수 있도록 하는 방안이 검토되고 있는 가운데, 국내 카드사들의 이익집단인 여신금융협회에서 PG사의 카드정보저장 자격 조건으로 카드사들도 받지 않은 'PCI-DSS' 보안표준 인증을 요구하고 있어 논란이다.
PCI-DSS 인증이란 2006년 아멕스, 마스터, 비자, JCB, 디스커버 등 해외 유수의 카드사들이 연합해 설립한 PCI협의회에서 만든 카드산업 보안 표준이다. 카드정보 해킹 및 도난·분실 사고로부터 고객의 신용카드 정보를 보호를 목적으로 마련됐으며, 최근에는 세계최대 신용카드 발행업체인 유니언페이도 이 연합체에 합류해 해외 대부분의 카드사들이 동참하게 됐다.
◇PCI DSS 인증 로고.(사진=PCI협의회)
지난 8월 한국을 방문한 이안 크리스토피 버라이즌(verizon)계정 및 프라이버시 서비스 부문 APAC 본부장은 기자와 만나 "일부 국가의 경우 PCI-DSS 인증을 의무화 해놓았을 정도로 공신력이 있는 보안 표준"이라고 소개하기도 했다. 국내에서는 버라이즌 코리아, 브로드밴드시큐리티 등을 통해 PCI-DSS인증을 받을 수 있다.
현재 국내 카드사들 중에서 PCI-DSS 인증을 받은 곳은 전혀 없는 상황이다. 반면 PG업계의 경우
KG이니시스(035600), 페이게이트 등의 업체들은 이미 PCI-DSS 2.0버전 인증을 획득했으며, PCI-DSS의 최신 버전인 3.0 획득도 준비 중이다. 또 아직 표준을 획득하지 못한 PG사들도 여신협회가 내놓은 카드정보 저장 요건에 맞춰 표준 획득에 나서고 있다.
한 PG업체 관계자는 "현재 카드정보를 저장하고 있는 카드사들 조차도 준수하지 않고 있는 보안 표준을 PG업체에게 준수하라고 하는 것은 앞뒤가 맞지 않는 말"이라며 "카드사들이 PG사들에게 결제서비스에서의 기득권을 빼앗기지 않으려고 계속해서 준수 요건만 강화하고 있는 것"이라고 불만을 토로했다.
카드업계는 아직 PCI-DSS 인증 획득에 대해 큰 관심을 보이고 있지 않다. 몇몇 카드사들의 경우 인증 획득에 대해 논의를 시작한 곳도 있지만, 인증 획득 필요성이 없어 고려조차 하지 않는 카드사들이 대부분이다.
한 카드업계 관계자는 "현재 PCI-DSS에 대해 논의가 되고 있는 사항은 없다"라면서 "지금까지 카드사들은 PG사들과는 다르게 감독당국과 협의를 통해 자체적인 보안 기준을 갖고 있기 때문에, 국제기준에 특별하게 맞출 필요는 없다"라고 말했다.
또 다른 카드업계 관계자는 "PCI-DSS 인증 획득 필요성 검토를 시작하고 있는 단계"라고 말했다.
여신금융협회에서도 카드사들에 대해서는 PCI-DSS 인증 획득을 권고하고 있지는 않다. 카드사들은 PG사들과는 다르게 정보유출 따른 법적인 책임이 크기 때문에 이를 대비한 보안 체계가 잘 갖추어져 있다는 것이 그 이유다.
여신금융협회 관계자는 "카드사들은 카드정보가 유출 됐을 시 법적 책임이 크기 때문에, 자체적으로 보안에 대해 많은 장비를 갖추고, 철저하게 관리되고 있지만, 현재 PG사들의 경우 카드정보가 유출돼도 법적으로 책임져야 할 부분이 작기 때문에 보안 대해 많은 투자할 이유가 없는 상황"이라며 "PG사들을 대상으로 정보보안 강화를 유인하기 위한 수단으로 내놓은 기준"이라고 설명했다.
이어 그는 "협회차원에서 카드사들에게 PCI-DSS 인증 획득을 권유할 계획은 현재 없다"라고 덧붙였다.