정부가 강력한 보안요건을 담은 POS 보안표준을 제정했다. 1일 보안표준 내용을 카드사와 밴사에 배포하고 가맹점 대상으로는 가맹점 약관을 변경해 보안요구조건을 충족하지 않은 가맹점에 강력한 책임을 묻겠다는 계획이다.
2016년까지 IC카드 전환을 마무리하겠다는 프로젝트의 첫 단추를 끼운 셈이다.
이번 POS 보안표준 제정은 그동안 정보유출의 사각지대로 불린 POS 결제 단말기의 악용을 막고 중구난방 유통됐던 결제 단말기를 규격화했다는 점에서 의미가 있다.
업계도 정부의 강력한 POS 보안표준 제정에 대부분 우호적인 반응을 보이고 있다.
표준안 마련으로 사고 책임 소재가 명확해지고 민감한 카드 정보를 어떻게 관리할 것인지 가이드라인이 마련됐기 때문이다.
문제는 돈과 시간이다. POS 보안표준이 마련됐지만 이를 현실에 적용하기 위해서는 해결할 과제가 많다.
우선 전국 가맹점에 이미 깔려 있는 POS 단말기가 문제다. 제정된 POS 보안표준은 기존에 없는 강력한 보안 요구안을 담았다. 이 때문에 기존에 설치된 POS 단말기종은 이 보안규격을 충족하지 못한다. 불법 제품으로 전락할 위기에 처한 것.
결국 기존에 깔린 모든 POS 기종을 폐기·수거하거나 보안표준 규격에 맞게 업그레이드를 해야 한다. 업계 추산으로는 그 비용만 수천억원에 달한다.
금융당국은 업계 혼선이 가중될 수 있다는 판단 아래 기존 POS에 ‘유예기간’을 도입하는 방안을 검토 중이다. 보안 요건을 충족한 새 기종으로 전환하거나 업그레이드하는 데 상당한 기간이 소요될 수 있어 일정 기간 병행 사용할 수 있도록 하는 게 골자다.
하지만 유예 기간을 어떻게 산정할지 난감한 상황이다. 카드사와 밴사 간 입장 차이도 여전하다. 이미 가맹점에 POS 단말기를 깐 밴사는 유예기간을 대폭 늘려 줘야 한다는 주장이다.
교체 투자비용 주체에도 협의가 필요한 건 마찬가지다.
POS 단말기 인증 강화도 새 논란거리다. 시중에 POS 단말기를 유통하기 위해서는 총 세 가지 인증을 받아야 한다. 기종별로 인증을 받아야 하기 때문에 인증비용만 몇 갑절 오른다.
빠듯한 시간도 문제다. 정부는 2016년까지 모든 MS카드를 IC카드로 전환해야 한다. 신용카드와 결제 단말기도 마찬가지다. 2년도 채 남지 않은 시점에서 POS 보안표준은 마련했지만 실제 보안규격을 적용한 완제품을 만들어내는 데 상당한 시간이 소요될 전망이다.
결제 프로그램을 모두 보안표준에 맞게 바꿔야 한다. POS보안표준 규격을 충족한 첫 POS 단말기종은 일러야 내년 초에나 가능하다는 관측이다.
오홍석 금융감독원 상호여전감독국장은 “보안표준이 나온 만큼 여러 논란이 될 수 있는 부분은 TF에서 의견을 수렴해 조속히 실행방안을 도출할 것”이라며 “이번 POS 보안표준 마련은 기간산업으로 불리는 카드 시장에서 정보 유출을 차단하는 마중물 역할을 하게 될 것”이라고 말했다.
<POS단말기 보안표준(안) 주요 내용 요약>
길재식기자 osolgil@etnews.com
