신용카드사들이 줄줄이 인터넷서점 알라딘이 채택한 비(非) 액티브X 결제 방식을 중단했다.
현대카드와 삼성카드에 이어 KB국민, 비씨, 씨티, 신한카드 등 대부분의 카드사들은 페이게이트가 개발한 AA인증방식에 대해 보안성 취약을 근거로 결제 중단이라는 초강수를 뒀다.
카드사들이 잇따라 AA인증방식을 거부한 데에는 결제 방식에서 발생하는 해킹 위협과 페이게이트의 일방적인 가맹점 계약 체결로 현행법을 위반했다는 판단 때문이다.
현대카드는 페이게이트의 결제 방식이 신용카드 고객 카드번호와 유효기간을 보관하는 방식이며, 이 자체가 표준 약관에 위배된다는 입장을 고수했다.
현대카드 관계자는 “PG사인 페이게이트가 신용카드 고객의 금융정보를 제대로 관리할 수 있는 역량을 지니고 있는지 철저하게 검증해야 한다”며 “만약 해킹 등을 통해 고객의 개인정보가 유출됐을 경우, 카드사가 이에 대한 책임에서 자유로울 수 없기 때문”이라고 거부 이유를 밝혔다.
결제 시 키보드 보안시스템이 마련되지 않은 것도 문제 삼았다. 결국 페이게이트는 한발 물러서 키보드 보안시스템을 뒤늦게 구축했고, 서버에 고객 정보를 저장하지 않겠다고 밝혔다.
삼성카드 또한 페이게이트의 AA인증방식에 대해 해킹 가능성이 있고, 카드사와 상의 없이 가맹점과 계약 체결한 것을 문제 삼았다.
삼성카드 측은 “페이게이트가 스마트TV에 적용된 AA인증방식을 제안해 왔지만, 검증 결과 당초 이야기한 것과 달랐다”며 “보완을 요청했지만 이 후 페이게이트에서 일방적으로 알라딘과 계약을 맺고 AA인증을 적용했다”고 설명했다. 금융당국의 보안성 심의도 받지 않았다고 덧붙였다.
지난 2일 KB국민카드도 페이게이트의 일방적인 가맹점 계약과 보안 취약점을 이유로 결제 중단을 통보했고, 비씨카드도 같은 이유로 중단했다.
비씨카드 관계자는 “AA인증방식은 한 번 정상 승인을 완성하기 위해 4번에 걸쳐 승인과 취소를 반복하는 과정이 발생한다”며 “신속한 카드거래 승인을 제공해야 하는 카드사의 전산시스템 과부화와 기존 거래승인 비용 대비 4배 이상 비용이 발생한다”고 설명했다.
아울러 `전자금융거래 인증방법의 안정성 가이드라인`에 따라 특정 솔루션이 개발되면 금융사가 기술 적합성, 안정성, 보안성 심의를 하는데, 이 과정도 무시했다고 덧붙였다.
다른 카드사들도 비슷한 이유다. 승인과 취소를 반복하는 방식에서 해킹 가능성이 높고, 결제 승인 비용이 상승한다는 점, 카드사와 협의 없이 계약을 체결한 것은 있을 수 없는 일이라고 입을 모았다.
말을 아꼈던 금융당국도 최근 신용정보를 보관하는 것은 감독규정에 어긋난다며, 카드사의 입장을 옹호했다.
길재식기자 osolgil@etnews.com
