비자(VISA)카드가 국내 전표 매입사를 대상으로 자사 글로벌 보안인증을 갖출 것을 요구했다. 비자카드는 비자 브랜드를 사용하는 만큼 자사 보안 규정을 따라야 한다는 입장이지만 밴사와 PG사는 “비자카드와 계약 관계도 아니고 비용도 과도하게 든다”며 난색을 표했다.
비자카드는 지난 16일 서울 중구 소공동 비자코리아 사무실에서 국내 전자지급결제 대행업체(PG)사와 밴(VAN)사를 불러 글로벌 보안인증 시스템인 PCI DSS를 도입할 것을 요구했다고 20일 밝혔다.
비자, 마스터, 아멕스, 디스커버, JCB 5개 신용카드 브랜드는 2004년 지불결제 산업 정보보호와 신용카드 부정사용 및 정보 유출 방지 목적으로 PCI-DSS를 만들었다. PCI-DSS는 카드 소유자 데이터와 민감한 인증 데이터 보호가 목적이다. 신용카드 회원 데이터를 취급하는 시스템과 네트워크 분리한다.
비자카드는 계약을 맺고 비자 브랜드를 쓰는 국내 카드사뿐 아니라 국내 카드사와 제휴한 PG사와 밴사 역시 인증을 받아야 한다는 입장이다.
비자코리아 관계자는 “세계에서 다른 외국 매입사는 이 보안시스템을 지키고 있지만 우리나라는 여러 가지 이슈로 도입을 유예해왔다”며 “2014년 국내에서 대규모 정보유출도 일어났고, 보안 강화를 위해 규정에 따라 준수해줄 것을 요구했다”고 설명했다.
비자코리아는 해외에서 비자카드를 사용하고 나온 전표를 매입하는 회사를 대상으로 내년까지 이 보안시스템을 도입하도록 요구했다.
비자카드는 국내 카드사에 올해 안에 PCI DSS 인증을 도입하지 않으면 내년 초부터 월 1만달러 벌금을 부과하겠다고 통보했다.
이에 대해 PG사나 밴사는 “과도한 요구”라며 불만을 토로했다. 또 PG사와 밴사는 국내 카드사와 계약 관계며 비자카드와는 계약 관계가 아닐 뿐 아니라 시스템을 갖추는 데 비용이 많이 든다는 것이다.
밴 업계 관계자는 “초기 컨설팅 비용만 5000만∼6000만원에 시스템 투자로 2억∼3억원이 든다”며 “매년 업그레이드와 재인증 비용으로 연간 적게는 5000만∼1억원을 추가로 부담해야 한다”고 지적했다.
이어 “국내 보안 표준을 따르고 있고 금융감독원 검사 등 국내 각종 보안 규정을 준수하고 있는데, 비자의 요구까지 받아들이면 업체들이 부담이 너무 커진다”고 덧붙였다.
김지혜 금융산업/금융IT 기자 jihye@etnews.com