[신용카드 포스단말기 위험] 포스단말기 해킹 못막나
수정 2009-11-05 12:40
입력 2009-11-05 12:00
신용카드보안표준 제정 시급 ‘IC카드’도 복제 위험에 노출
포스단말기 해킹을 통한 신용카드 정보 유출이 심각한 상황을 맞고 있다. 그러나 해킹 원천 차단은 불가능하고 기대를 모았던 IC카드(마그네틱카드와 달리 카드정보가 암호화돼 칩에 저장되기 때문에 복제가 어려운 카드)도 대안이 아니다. 그렇다면 카드정보 유출방지 대책은 뭘까. 카드업계 관계자들은 “미국처럼 우리나라도 하루빨리 ‘한국형 신용카드 정보보호 표준규정’을 제정, 시행해야 한다.”고 입을 모은다.
포스단말기 해킹을 통한 신용카드 정보 유출은 2000년 미국에서 처음 발생했다. 이후 2006년 3월 후지쓰사의 포스단말기를 사용하던 대형가맹점에서 카드정보가 대량 유출되면서 사회문제로 떠올랐다. 비자·마스터·아메리칸익스프레스·JCB·디스커버 등 세계 5대 카드회사 관계자들은 곧장 대책마련에 들어갔다. 해당 카드사들은 우리나라와 달리 피해 규모나 실상도 정확히 공개했다. 이들 카드사는 실태 파악 자료를 토대로 ‘PCI DSS’(Payment Card Industry Data Security Standard, 신용카드업계 정보보호 국제표준규정)를 제정했고 관리 기구인 PCI 보안표준위원회(SSC)도 설립했다.
PCI DSS는 신용카드 정보를 저장·처리·전송하는 카드 가맹점과 서비스사업자(밴사·단말기업체 등)라면 모두 준수하도록 권고하고 있다. 일정 거래 규모 이상의 서비스사업자와 가맹점은 의무적으로 이행토록 하고 있다. 어길 경우 카드결제 승인을 거부하는 등 강도 높은 제재도 하고 있다. PCI DSS가 규정하고 있는 보안 항목은 ▲카드 소유자 정보 및 민감 정보 암호화 ▲카드 소유자 정보에 대한 물리적 접근 통제 ▲바이러스 백신 소프트웨어 설치 및 정기적 업데이트 ▲데이터 보호를 위한 네트워크 침입차단시스템 설치 및 유지관리 ▲보안 시스템·프로세스 정기적 테스트 ▲네트워크·신용카드 정보접속 모니터링 등 12개다. 한 카드사 관계자는 “미국은 중소형 가맹점에도 ‘PCI DSS’ 준수가 확산돼 해킹 안전지대로 거듭났다.”고 전했다.
다른 관계자는 “우리나라는 복제카드로 인한 손실을 카드사가 부담한다. 사실상 손해가 없는 가맹점과 단말기업체는 해킹 방지 프로그램을 까는 것조차 고비용 등을 이유로 모르쇠로 일관하고 있다.”고 지적했다. 그러면서 “금융감독원을 비롯해 개인정보보호를 담당하는 방송통신위원회 등이 나서 한국형 ‘PCI DSS’를 제정, 해당 업체들이 준수토록 법적 강제 조치를 마련해야 한다.”고 밝혔다. 다른 카드사 관계자는 “포스단말기에 카드번호·유효기간 같은 정보가 저장되지 않도록 법안을 손질해야 한다.”고 강조했다.
김승훈기자 hunnam@seoul.co.kr
2009-11-05 10면
Copyright ⓒ 서울신문 All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지
