여신금융협회, 보안시스템의 기술 기준 마련 중
별도 보안장치가 없는 판매시점관리(POS) 단말기의 결제 승인을 불허하는 방안이 추진된다.
여신금융협회는 POS단말기의 보안 강화를 위한 별도 기준을 마련하고 이를 지키지 않은 단말기에 대해서는 카드 거래를 승인하지 않는 방안을 마련 중이고 8일 밝혔다. 취약한 POS 보안 시스템으로 인해 카드 고객정보 유출 사고가 빈번히 벌어지고 있는 것을 막자는 취지다.
이를 위해 여신금융협회는 지난해말부터 주요 카드사와 밴(VAN)사가 참여하는 ‘신용카드 회원 정보보안 강화를 위한 태스크포스(TF)’를 운영중이다. TF에서는 그동안 업계별로 따로 진행해 온 보안 대책을 통합적으로 협의하고 있으며 POS 단말기 보안시스템의 기술 기준을 마련중이다.
기술기준과 관련해서는 △POS 단말기 자체 내 카드정보 저장 불가 △카드정보처리 시점에서 정보의 암호화 등이 논의되고 있다. 현재 대형 백화점과 마트를 제외한 시중 상가에 설치된 대부분의 POS 단말기는 신용카드번호와 CVC번호, 유효기간 등이 그대로 저장돼 해킹에 무방비 상태로 이번 기술기준 마련을 통해 전 업소에 대한 POS 단말기 보안 대책을 강화한다는 방침이다.
TF에서 보안지침 및 보안모듈 관련 기술기준이 마련되면 곧바로 금융위원회, 금융감독원와 협의를 통해 법적 제도화를 추진할 방침이다. 협회는 현재 금융위원회와 금융감독원 모두 POS 단말기 보안 강화에 대한 필요성을 느끼고 있는 만큼 큰 무리 없이 제도 마련이 가능할 것으로 보고 있다. 제도 마련 후 협회는 POS 단말기에 보안백신 설치 및 원격제어 프로그램의 비밀번호 설정 등 관리 재점검(1차 보안장치) 과정을 거쳐 보안기준을 갖춘 모듈장비의 POS 단말기 탑재(2차 보안장치)를 추진할 계획이다. 이렇게되면 현재 중소형 상가에서 사용하는 구형 POS 단말기는 물론 향후 출시되는 POS 단말기도 보안모듈을 탑재해야만 거래 승인이 가능해진다.
한편, POS 보안강화 관련 POS 단말기 제조업체들은 제품 가격상승, 관리 등의 문제를 들어 난색을 표하고 있다. 이에 TF팀은 보안모듈 설치, 후속 관리, 비용처리 부분에 대한 방법 및 주최 선정 등을 논의 중이다. 협회는 POS 해킹은 카드 시장 전체를 공멸시킬 수 있는 사안으로 업계의 이해 관계를 떠나 카드시장 활성화라는 측면에서 POS 보안 제도화 동참을 강조했다.
이효택 여신금융협회 신용카드부 선임조사역은 “지금도 POS단말기 관련 보안권고지침이 있긴 하지만 단순히 지침만으로는 영향력이 없다”며 “업계가 다함께 동참할 수 있는 제도장치를 빠른 시일에 선보일 것”이라고 밝혔다.
조정형기자 jenie@etnews.co.kr
