`PCI-DSS` 올 12월 1일부터 시행된다

　세계적 카드회사가 신용카드 유출을 막기 위해 만든 지불카드용 데이터 보안 표준(PCI-DSS) 지침이 올 12월부터 국내에서도 본격적으로 시행될 전망이다.

이에 따라, 카드 가맹점·서비스 제공자·카드결제 대행업자(VAN) 등은 PCI DSS가 마련한 기준 12개 항목을 오는 11월 30일까지 모두 만족하고 인증을 받아야 한다.

7일 업계에 따르면, 아메리칸익스프레스·마스터카드·비자카드 등 세계적 카드회사 6개가 중심이 된 PCI위원회는 신용카드정보 유출과 복제 방지를 위해 결제 관련회사가 모두 11월까지 보안 표준(DSS)를 만족하도록 하고, 이를 이행하지 못할 경우 별도의 패널티 지침을 만드는 중이다.

패널티는 각 지역별로 다르게 적용될 예정으로, 한국에서는 카드사들에게 벌금을 매기는 방향이 검토되고 있는 것으로 알려졌다.

PCI DSS가 정하고 있는 보안 항목은 모두 12개로, 네트워크 접근통제·시스템 기본 설정관리·카드소유자 데이터안전저장과 전송·바이러스백신 관리·물리적접근제한 등 12개 분야에서 DSS가 정하는 기준을 100% 만족해야 한다.

국내에서는 네트워크 접근 제한 등 보안 시스템이 다른 나라에 비해 비교적 잘 갖춰져 있는 상황이지만, PCI DSS에서 정하는 모든 기준을 하나도 빠지지 않고 만족해야만 하기 때문에 서둘러 이에 대한 대응책을 마련해야 한다는 것이 업계의 지적이다.

국내에서 PCI DSS 감사 자격을 보유하고 보안감사를 수행하고 있는 에이쓰리시큐리티에 따르면, 국내 가맹점·서비스제공자·VAN사 등은 평균적으로 80% 가량 이 규정을 수행하고 있는 것으로 나타났다. 이 중 보안환경의 정기적인테스트와 카드 데이터의 안전한 저장 등의 항목은 60%도 마련되지 않은 것으로 드러나, 오는 11월까지 이에 대한 준비가 시급한 상황이다.

이에 대해, 금융보안연구원 성재모 팀장은 “안전한 결제를 위해서는 금융감독원에서 카드사를 감독하는 등의 활동을 하고 있지만 금융감독원은 VAN사 감독까지는 할 수 없기 때문에 카드사들의 자체적인 표준이 나온 것”이라며 “이를 이행하지 못하더라도 카드 결제 승인을 거부당하는 사태까지는 가지 않겠지만 이를 지키도록 권장하는 여러 지침이 민간에서 만들어질 것으로 보인다”고 말했다.

문보경기자 okmun@