신용카드 단말기 보안표준 방식을 놓고 금융당국과 관련 업계가 뚜렷한 입장 차이를 나타내고 있다. 금융당국은 편의성을 고려해 부분 암호화를 우선 고려하고 있는 반면 업계는 보안성 강화를 위해서는 전체 암화가 필요하다며 대립각을 세우고 있다.
26일 금융권에 따르면 금융감독원과 여신금융협회, 카드사와 밴사 등은 ‘신용카드 결제 단말기 IC전환 TF’를 출범시키고, 단말기 보안표준 마련에 나서고 있다.
신용카드 결제단말기를 통한 정보 유출과 위변조 사고가 증가하자 별도 보안표준을 만들기로 한 것이다. 하지만 보안표준 방식을 놓고 금융당국과 카드·밴사간 입장차가 뚜렷해 표준방식을 둘러싼 갑론을박이 벌어지고 있다.
카드사와 밴업계는 판매시점관리(POS) 보안 표준 방식을 엔드-투-엔드(End-To-End) 암호화를 채택해야 한다고 주장한다.
이 방식은 카드정보가 카드 리더에서 POS단말기를 거쳐 밴사 서버로 전송되는 모든 구간에 ‘전체 암호화’를 하는 방식이다.
반면 금융당국과 여신금융협회, 단말기 인증기관으로 지정된 한국기계전기전자시험연구원(KTC)은 POS단말기에서 암호화된 카드정보를 복호화할 수 있도록 허용하자는 입장이다. 각 통신 구간별로 암호화 요건만 충족시키자는 것이다.
한 카드사 관계자는 “부분 암호화는 카드정보가 POS단말기 내 저장될 수도 있고, 해킹 우려도 존재한다”고 말했다. 또 다른 관계자는 “부분 암호화를 채택하면 POS업체들이 별도로 암호화 키를 관리할 수 있어 카드사나 밴사가 관리 감독 권한이 사라지게 되는 셈”이라고 지적했다.
하지만 금융당국과 실무 총책을 맡은 여신금융협회는 “전체암호화를 하기 위해서는 특정 POS제조사와 밴사가 시스템을 모두 맞춰야 한다”며 “그러기 위해선 국내 밴사들이 보유한 유관 기술 등을 모두 오픈해야 가능하다”고 설명했다.
실효성 측면에서 부분암호화를 통해 보안표준을 조기 확대하는 것이 급선무라는 지적이다.
문제는 보안표준을 둘러싼 이견차가 가맹점 관리권한 선점 양상으로 번질 가능성이 있다는 점이다. 일부 업체는 특정 POS제조사를 밀어주기 위한 꼼수라는 의혹까지 제기했다.
여신금융협회 관계자는 “다소 의견차이가 있더라도 정보 유출 등을 차단하기 위한 실행방안이 조속히 나오는 것이 급선무”라며 “조속히 보안표준을 매듭짓고, 카드사와 밴사 의견을 적극 수용하겠다”고 밝혔다.
한편 이번 보안표준(초안)에는 가맹점에서 카드번호를 보관하지 못하게 하는 방안도 포함될 것으로 알려졌다.
길재식기자 osolgil@etnews.com
