일본이 2020년 도쿄올림픽을 앞두고 신용카드 데이터 보안을 강화한다. 여행사에서 항공사까지 신용카드 데이터 보안인증(PCI DSS)이 확대될 전망이다.
일본은 도쿄올림픽 때까지 취항하는 모든 항공사에 PCI DSS 인증을 법적으로 의무화했다. 대한항공과 아시아나를 비롯해 일본에 취항한 저가항공까지 PCI DSS를 받아야 한다.
PCI DSS는 개인정보보호법 등과 같은 법적 규제가 아닌 민간 표준이다. 비자와 마스터카드 등 5개 국제 카드 브랜드가 설립한 PCI SSC에서 만들었다. 국제적으로 PCI DSS 준수를 하지 않으면 페널티를 부과한다. 인증이 없을 경우 신용카드 거래 장벽이 된다.
PCI DSS는 국내 정보보호관리체계인증(ISMS)과 달리 카드 데이터 보안에 초점을 맞춘다. 카드 소유자 데이터를 저장, 전송, 처리하는 환경과 영향이 인증 범위다. 카드 데이터 보안에 대한 △문서화(보안 정책 수립) △프로세스 △시스템 통제 현황 등 6개 그룹, 12개 요건으로 점검한다.
PCI DSS는 컨설팅 평가 시점 이후 매일·매월·매분기 준수 이력, 증빙을 지속 유지해야 한다. 인증 획득 후 보안체계를 계속 유지하지 않으면 재인증이 어렵다.
비자는 2018년 평창올림픽 때도 티켓 판매처인 인터파크에 PCI DSS 준수를 요청했다. 인터파크는 티켓 판매 부분에 대해 PCI DSS를 받았다. 일본은 비자카드와 연계된 서비스 외 항공 등까지 신용카드 데이터 보안 강화를 주문한다.
항공사 고객 정보를 노린 해킹이 발생해 보안 요구는 더욱 높아진다. 최근 영국 브리티시 에어웨이스가 고객 정보 38만건을 해킹 당했다. 브리니티 에어웨이스는 8월 21일 오후 11시 이후 해킹 공격을 받았다. 웹사이트와 앱을 통해 예약한 40만건 정보가 털렸다. 해커는 고객 이름, 주소, 신용카드번호, 유효기간, 보안코드 등 정보를 모두 탈취했다. 항공사는 사고 후 2주가 지난 9월 5일에 인지했다.
국제항공운송협회(IATA)는 지난해 세계 여행사 대상으로 PCI DSS 준수를 요구했다. 이번 브리티시 에어웨이즈 해킹 사고로 항공사 자체 웹사이트와 앱을 통한 신용카드 결제 보안 강화 요구가 높아질 전망이다.
김인순 보안 전문기자 insoon@etnews.com