앞으로 신용카드 판매시점관리(POS) 단말기에서 물리적으로 정보를 빼가거나 데이터를 악의적으로 추출하는 행위가 시도되면 내부 메모리가 자동으로 파괴된다. 전국 신용카드 가맹점은 카드번호를 저장할 수 없고, POS를 통한 정보유출을 원천 차단하기 위해 엔드투엔드(end-to-end) 방식의 ‘전체 암호화’가 의무화된다.
1일 금융당국과 신용카드 결제 단말기 IC전환 태스크포스(TF)는 이런 내용의 POS 보안표준 규격안을 최종 확정했다.
지난 3월 IC전환 TF 출범후 약 4개월 만에 강력한 보안 규격을 담은 POS 보안표준이 완성된 셈이다. 금융감독원은 7월 이후 출시되는 모든 POS 기종에 이 보안표준 규격을 적용하고 가맹점 약관 개정을 추진할 계획이다.
본지가 입수한 POS 보안표준 규격(안)을 보면, 정보유출 차단을 위한 강력한 보안 요구사항이 담겨 있다.
우선 앞으로 출시되는 모든 POS 기기는 물리적 ‘탐침방지 요건’을 갖춰야 한다. 탐침은 물리적으로 데이터를 추출하거나 카드 리더 분리 등 강제로 단말기를 분리하려는 시도가 진행되면 스스로 고객정보를 보유한 내부 메모리가 파괴되도록 하는 것을 의미한다. 이미 유럽 등에서는 탐침 관련 기준이 있다.
해킹 등을 선제 차단하기 위해 엔드투엔드 방식의 전체 암호화도 도입된다. 카드 리더와 POS 단말기, 가맹점 서버 등 카드 정보가 전송되는 모든 구간에 복호화가 금지되고, 고객 정보는 구간별로 암호화된다. 이를 엔드투엔드 방식의 ‘전체 암호화’로 규정했다. POS 단말기가 해킹되거나 가맹점 서버가 뚫려도 유출된 정보가 암호화돼 있어 제2의 사고를 방지하자는 취지다.
단말기 인증도 대폭 강화했다. POS 단말기 적합 인증을 받기 위해서는 총 세 종류의 인증을 획득해야 한다. EMV인증과 해외 브랜드 테스트를 통과해야 한다.
해외 브랜드 테스트란 비자, 마스터카드, JCB카드 등 해외 글로벌 카드사로부터 호환성 테스트 등을 사전에 받는 것을 의미한다. 이 테스트를 통과하지 못하면 POS 기기 유통은 불법이 되는 셈이다. 아울러 여신금융협회가 정한 기관을 통해 별도의 추가 인증을 받아야 한다.
금융당국 관계자는 “가맹점 표준약관을 손질하는 작업에 착수했다”며 “보안요건을 충족한 단말기를 가맹점에서 의무적으로 써야 하고, 미인증 단말기를 쓰다 사고가 발생하면 모든 책임은 가맹점이 지도록 강력한 책임처벌 규정도 마련할 것”이라고 말했다.
이와 함께 보안표준을 토대로 밴(VAN) 등록제도 병행 추진한다. 여전법 등을 개정해 금융당국의 인가를 받지 않은 밴사는 영업 행위를 금지한다는 게 골자다.
금융감독원 관계자는 “수년간 방치됐던 POS 보안표준이 완성된 만큼, 빠른 실행을 위한 다양한 대책을 강구 중”이라며 “앞으로 보안표준을 따르지 않은 가맹점은 카드사가 거래 거절까지 할 수 있도록 강력하게 대응할 것”이라고 말했다.
길재식기자 osolgil@etnews.com
