이르면 다음달부터 POS 단말기에서 고객정보를 빼내는 것이 원천적으로 차단된다.
전자신문이 지난 3월 POS 단말기의 고객정보 유출 문제점을 지적한 것에 대한 금융감독당국의 후속조치다.
20일 금융감독당국에 따르면 금융위원회는 금융감독원의 제안을 바탕으로 이 같은 내용을 포함한 ‘여신전문금융업감독규정 개정안’을 최근 확정 의결했다. 개정안은 현재 규제개혁위원회에 올라가 있으며, 금융위 측은 9월 개정에 큰 문제가 없을 것으로 보고 있다. 개정안은 공고와 동시에 시행된다.
이번 개정안은 POS 단말기를 통한 고객정보 유출을 사전에 막기 위해 단말기가 카드정보를 인식함과 동시에 바로 암호화하도록 한 것이 핵심이다. 이를 위해 소프트웨어(SW) 설치 등 기술적 처리를 하도록 했다. 개정안에는 특히 규정이 실효성을 발휘할 수 있도록 가맹점이 보안성을 강화한 단말기를 설치하고 이를 약관(신용카드 가맹점의 보안준수사항)에 반영하도록 했다. 약관 내용은 등록을 받는 카드사에 확인하도록 의무를 부과했다. 이는 금융감독당국이 가맹점의 관리감독권이 없는 데 따른 조치로 풀이된다.
김영기 금감원 여신전문총괄팀장은 “전자신문의 문제 제기가 있었듯이 POS 단말기가 보안성이 취약해 개정안을 마련하게 됐다”면서 “새롭게 보급하는 단말기는 보안성을 높이도록 했으며, 기존에 설치된 단말기는 새롭게 SW를 설치하거나 업그레이드 방식을 채택하게 될 것”이라고 말했다.
이번 보안기능 강화와 관련 금감원은 여신금융협회 측에 기술표준 제정을 요청한 상태며, 현재 협회 주도로 단말기·보안 업체와 공동으로 표준을 만들고 있다. 협회가 공개한 ‘POS 시스템 보안성 기술표준’ 보안모듈 작성원칙에 따르면 POS 단말기가 신용카드 승인처리 과정에서 △유효기간 네 자리 △CVC(Card Verification Code, 카드 뒷면 숫자 중 마지막 세 자리) 등 카드 유효값 △비밀번호 등을 저장하지 못하도록 했으며, 전체 정보는 시스템 내부에서 암호화 처리해 전송하도록 했다. 표준 개발에 참여 중인 VAN사 관계자는 “카드를 읽는 즉시 고객정보 모두가 암호화해 저장하게 되며 단지 가맹점에서 고객관리를 위한 기본정보만을 확인할 수 있도록 하는 것이 원칙”이라며 “보안성 강화가 기술적으로 크게 어려운 부분은 아니지만 그동안 법적 기반이 없어 이뤄지지 않았다”고 이번 규정 마련의 의미를 설명했다.
김준배기자 joon@