한국정보통신기술협회(TTA)가 3년 전 판매시점관리(POS)시스템의 보안 단체표준을 만들었지만, 정부부처 간 소통부재와 신용카드 POS제조사의 무관심으로 사실상 방치된 것으로 드러났다. 보안 표준 가이드라인만 잘 준수했다면 1200만건의 개인정보가 POS단말기에서 유출되는 어이없는 ‘사고’를 막을 수 있었다는 지적이다.
12일 관련업계에 따르면 3년 전 TTA는 POS시스템 보안표준 요구사항(표준번호 TTAK.KO-12.0181)을 금융보안연구원, 회원사 등과 함께 국내 최초로 제정했다. 일종의 산업표준으로 강제사항은 아니지만 국내 최초로 POS 보안 문제를 분석해 이를 방지할 수 있는 가이드라인을 명문화했다.
표준안에는 POS시스템에서 주요 금융 정보의 처리 과정으로 발생될 수 있는 보안 위협에 대해 여러 요구사항을 담았다. 이 외에도 사용자 UI를 담은 ‘POS단말기 결제 모듈 인터페이스(표준번호 TTAK.KO-12.0227)’와 결제 처리를 위한 각 결제수단의 단계와 흐름을 규격화한 ‘POS단말기 사용자인터페이스(표준번호 TTAK.KO-12.0217)’ 등 POS 표준 3종을 제정했다. POS 보안 취약점은 이미 수년 전부터 드러났고, 이를 보완해야 한다는 지적이 제기됐지만 이후 수년간 보안표준에 대한 후속 조치는 물론이고 제품의 적합성 여부를 판단할 수 있는 시험기관조차 없었던 셈이다.
금융당국이 POS 보안 규격을 마련하기 위해 부처 공동 가이드라인을 만들거나 제품 적합성 시험 도입 등 선제적 노력을 도외시했다는 비판도 제기됐다. 유통되는 POS단말기가 100여종이 넘지만 보안인증 과정은 아예 없고, 제품 적합성 기준조차 부재한 상황이다.
업계 한 관계자는 “금융당국에 POS 관련 산업표준이 있고, 보안성이 취약하기 때문에 TTA 표준 규격을 활용해야 한다고 이야기 했지만 후속 조치가 없었다”고 밝혔다.
TTA 관계자는 “당시 제정한 표준은 강제성이 없어 여러 산업에 적용시키는 데 다소 무리가 있었다”며 “금융과 다른 산업부문의 차이가 있어 지금이라도 표준화 제정에 대해 협업이 필요한 상황”이라고 밝혔다. 그는 또 “TTA에서 제정한 표준도 이미 3년여가 흘렀기 때문에 정부부처와 관련된 기업이 한데 모여 보안요구를 충족할만한 가이드라인을 다시 제정해야 할 것”이라고 말했다.
해외는 신용카드 결제 단말기와 관련 PCI(Payment Card Industry)인증을 통해 강력한 가이드라인을 제정했다. POS 정보 전송부터 보관에 이르기까지 엄격한 보안표준을 제정해 POS시스템을 체계적으로 관리한다. TTA에서 제정한 표준은 PCI인증 체계를 국내에 맞게 변형해 최소 필요한 요건을 담았다.
1200만건의 개인정보가 POS시스템을 통해 유출된 사고도 보안표준 규격을 따르지 않아 발생한 인재라는 게 전문가들의 시각이다.
최근 금융당국은 별도의 POS 표준화 작업에 착수한 것으로 알려졌다. 선행 표준이 있지만 신용카드 결제 POS단말기의 특성을 고려한 별도 표준을 만들겠다는 취지다.
이에 대한 업계의 입장은 서로 엇갈린다. 신용카드 결제 POS시스템에 적합한 별도 표준이 필요하다는 의견과 모든 시장에 적용할 수 있는 산업 표준으로 일원화해야 한다는 의견이 상충된다. 반면 선행 표준이 있었음에도 이를 방치했다는 비판은 공통적이다.
TTA 회원사 관계자는 “선행 표준규격이 있는데 별도 표준을 또 만드는 것은 문제가 있다”며 “미래부 등 정부부처 간 조율을 통해 표준화 일원화, 인증기관 지정 등을 하루빨리 추진해야한다”고 지적했다.
길재식기자 osolgil@etnews.com
