앞으로 일반 가맹점 결제에 사용되는 캣(CAT:Credit Authorization Terminal) 단말기에 신용카드, 체크카드, 기프트카드 등의 민감한 정보를 저장할 수 없게 된다. 또 결제 후 전표와 영수증을 출력할 때에도 신용카드번호 16자리 중 9번째부터 12번째 숫자 네 자리를 가리도록 통일했다.
5일 금융당국과 신용카드 결제단말기 IC전환 태스크포스(TF)는 이 같은 내용을 골자로 한 캣 단말기 보안표준 규격을 최종 확정했다.
캣 단말기는 신용카드 거래 승인을 위해 사용되는 발행회사, 회원번호 등을 자동 판독해 통신회선을 통해 카드사로 전달하고 정산해주는 일반 결제 단말기를 말한다.
POS단말기에 이어 캣 단말기 보안표준도 확정함에 따라 국내 모든 신용카드 결제 단말기 규격을 일원화할 수 있게 됐다. 금융당국은 여신전문금융업법과 가맹점 약관 개정을 통해 이 보안표준을 연내 적용한다는 목표다.
새로 마련된 보안표준은 신용카드정보를 캣 단말기에 저장하거나 전표로 출력하는 행위를 전면 금지했다.
카드정보 안전성을 보장하기 위해 신용카드의 모든 정보 전송구간을 암호화한다. 전송구간은 △신용카드정보가 카드리더를 통해 읽혀지는 시점부터 캣 단말기 응용소프트웨어로 입력되는 구간 △응용 소프트웨어에서 해당 정보가 처리되는 구간 △캣 단말기로부터 밴(VAN)사 서버로 전송되는 구간이다. 모든 전송구간에서 복호화도 금지했다.
해킹 등 허락받지 않은 시도로 암호키 접근을 막기 위해 키 삭제, 기기 원격 잠금 등 별도 방어대책을 제공해야 한다. 또 결제 승인이 완료된 거래에 대해 신용카드 번호가 더 이상 사용되지 않도록 메모리에서 정보를 파기(삭제)해야 한다.
다만 가려진(마스킹) 신용카드 번호는 일정 기간 저장이 허용된다. 마스킹 방식은 신용카드번호 16자리 중 9번째 12번째 번호를 *로 표기한다. 저장 기간은 여신금융협회 가맹점 표준약관을 통해 명기하기로 했다.
데이터를 악의적으로 추출하는 행위가 시도되면 내부 메모리가 자동으로 파괴되는 탐침 기능도 POS단말기와 동일한 보안규격이 적용된다. 다만 탐침 기술 개발기간이 필요하다는 업계 의견을 반영해 유예기간을 두기로 했다.
금융감독원 관계자는 “이르면 8월 말부터 영세가맹점 대상 캣 단말기 보급을 우선 추진할 것”이라며 “카드사의 전환기금 운용방안을 확정해 보안요건을 갖춘 캣 단말기 먼저 보급하고 올 하반기 POS단말기 보급 사업에 나설 계획”이라고 말했다.
논란이 되고 있는 대형가맹점 대상의 POS단말기 보급 시점에는 “산업통상자원부와 금융위, 금감원, 협회 공동으로 별도 설명회 등을 검토하고 있다”며 “여전법 개정안이 국회에서 통과되면 내년 상반기 IC카드 전환대책에 속도가 붙을 것”이라고 확신했다.
[표]캣단말기 보안표준 주요 내용
길재식기자 osolgil@etnews.com