무용지물된 카드 단말기 보안표준, 단말기 인증기관 선정 못해 `발동동`

관련 통계자료 다운로드 POS단말기 보안표준(안)

금융당국이 신용카드 결제단말기 보안표준을 완성했지만 3개월이 넘도록 단말기 보안인증을 전담할 ‘인증기관’을 선정하지 못해 결제단말기 제조사들이 속앓이하고 있다.

인증받지 못한 결제 단말기는 앞으로 불법기기로 간주하고 유통을 원천 차단한다는 계획까지 수립했지만 정작 인증과 기기테스트 실험기관이 없어 현장을 외면한 ‘탁상행정’이라는 지적이다.

19일 금융권에 따르면 지난 7월 POS(판매관리시점)단말기와 캣(일반결제)단말기 보안표준이 완성됐지만 보안인증을 전담하는 인증기관을 선정하지 못해 난항을 겪고 있다.

결제 단말기가 제대로 보안표준을 지켰는지 인증할 수 있는 실험기관이 없어 POS제조사와 밴(VAN)사는 제품 양산에 손을 놓은 상황이다.

지난 3월 금융당국과 여신금융협회, 업계는 IC전환 테스크포스(TF)를 출범시키고 약 4개월 만에 강력한 보안 규격을 담은 POS, 캣 결제 단말기 보안표준을 완성했다. 금융감독원은 출시되는 모든 POS 기종에 이 보안표준 규격을 적용하고 가맹점 약관 개정을 추진할 계획이었다.

엔드투엔드 방식의 전체암호화, 탐침방지 기능이 핵심이다. 단말기 인증기관으로는 금융보안연구원과 한국기계전기전자시험연구원(이하 KTC)이 선정됐다.

하지만 금융보안연구원은 곧 조직 해체를 앞두고 있어 인증기관 선정이 백지화됐고 한국기계연구원과도 본 계약을 체결하지 않은 것으로 확인됐다. 결국 새로운 보안요건을 담은 결제 단말기 개발을 완료한 일부 밴사업자와 POS제조사는 인증기관이 선정될때까지 제품 양산을 미뤄야 하는 상황이다.

한 POS제조사 관계자는 “결제단말기 보안표준을 만든 이유가 보다 강력한 보안체계를 갖춘 결제 플랫폼을 안착시키기 위함인데 인증기관 하나 선정하지 않은 채 보안표준을 지키라고 하는건 앞뒤가 바뀐 형국”이라고 지적했다.

금융당국은 보안표준 완성 후 양산되는 결제 단말기의 경우 EMV인증과 보안인증을 의무화했다. 인증기관 계약이 지연되자 최근 금융감독원은 실무주체인 여신금융협회에 인증기관 선정을 빨리 마무리하라고 재촉한 것으로 알려졌다.

단일 인증기관 선정도 논란이다.

금융보안연구원이 조직 해체의 이유를 들어 사실상 인증기관에서 제외되면서 모든 보안인증을 한국기계연구원으로부터 받아야 하는 상황이다. 독점사업이 되는 셈이다. 그럴 경우 인증 수수료 경쟁이 성립되지 않아, 인증료는 천정부지로 높아질 가능성이 있다.

한 밴사 관계자는 “KTC에서 인증료를 단말기 한 모델당 약 2000만원 선으로 책정할 계획으로 들었다”며 “영세 POS제조사는 엄두가 나지 않는 인증 수수료이고, 인증기관 한곳만 선정하게 되면 독과점 폐해가 나타날 것”이라고 설명했다.

금융당국 관계자는 “IC카드 전환사업에 여러 사안들이 걸려있다보니 인증기관 선정이 일부 지연됐지만, 빠른 시일내에 인증기관 선정 등을 마무리할 계획”이라고 말했다.


[표]POS단말기 보안표준(안)

무용지물된 카드 단말기 보안표준, 단말기 인증기관 선정 못해 `발동동`


길재식기자 osolgil@etnews.com