해커의 놀이터로 전락한 판매시점관리(POS)단말기 보안을 강화하기 위해 금융당국은 별도 TF를 꾸려 POS와 캣 단말기 보안표준을 제정했다. 보다 강력한 보안요건을 담은 표준안에는 엔드투엔드(end-to-end) 방식의 ‘전체 암호화’는 물론이고 ‘탐침방지 의무화’ 등을 넣었다.
모든 구간에서 정보를 의무적으로 암호화하고 물리적으로 데이터를 추출하거나 카드 리더 분리 등 강제로 단말기를 분리하려는 시도가 진행되면 스스로 고객정보를 보유한 내부 메모리가 파괴되는(탐침) 기능을 넣어야 한다는 것이다.
보안 요건이 너무 높다는 지적이 있었지만 부정사용 차단과 카드 정보 유출을 막기 위해서는 이 방법 밖에 없다는 데 모든 사업자는 공감했다.
보안표준을 반대했던 밴 사업자에게 금융당국은 여전법이 개정되면 이 요건을 갖추지 못한 밴 사는 영업을 할 수 없게 되고 보안요건을 충족한 제품을 하루라도 빨리 만드는 기업이 영업에 유리할 것이라며 ‘당근’을 제시했다.
하지만 보안표준이 제정되고 개전 여전법 시행을 앞두고 금융당국은 이 같은 보안요건을 손바닥 뒤집듯 쉽게 뒤집었다. 보안표준 핵심인 탐침방지 요건을 표준안에서 제외시킨 것이다.
금융당국의 말만 믿고 탐침기능을 담은 제품 개발에 나선 일부 밴사는 수십억원 개발비만 날리고 제품 개발을 처음부터 다시 시작해야하는 어처구니없는 상황에 직면했다.
한 밴사 관계자는 “POS개발사와 절반씩 비용을 부담해 약 20억원 개발비를 투입, 탐침기능을 담은 제품 제작을 맞췄지만 갑자기 이 기능을 빼기로 했다는 통보를 받고 허탈했다”고 말했다. 또 다른 밴사 관계자도 “정부 말만 믿고 따라간 기업이 오히려 피해를 보면 앞으로 이 같은 정책에 동조할 기업이 있겠느냐”며 토로했다.
이에 대해 금융위 관계자는 “보안요건이 너무 높아 제품 개발에 속도가 나지 않고 보급사업을 활성화 하려면 어쩔 수 없는 선택”이었다고 밝혔다.
정부의 갈팡질팡하는 정책 탓에 수십억원 개발비를 날린 일부 기업은 협회에 손해배상 청구까지 생각했지만 서슬퍼런 금융당국의 힘 앞에 한없는 ‘을’의 분노를 삼켰다.
해외는 신용카드 결제 단말기와 관련 PCI(Payment Card Industry)인증을 통해 강력한 가이드라인을 적용한다. POS 정보 전송부터 보관에 이르기까지 엄격한 보안표준을 제정해 POS시스템을 체계적으로 관리한다.
반면 한국은 보안 강화라는 명분은 온데 간데 없고 정부 정책에 협력한 기업이 수십억원 투자비만 날리는 현실에 직면했다.
길재식기자 osolgil@etnews.com
