정부가 집적회로(IC) 결제 단말기 전환을 위해 도입한 '카드결제단말기(CAT·POS) 보안인증제도'가 국제 인증 표준과 다른 형태로 운영, 유관 중소 제조사가 직격탄을 맞았다. 과도한 보안 인증 수수료는 물론 수출을 위해서는 별도의 국제 인증을 받아야 한다. 이중 규제다.
17일 업계에 따르면 신용카드 결제 단말기 제조 대표 기업들이 한국신용카드단말기제조사협의회 명의로 현행 CAT·POS 보안 인증 제도 개선을 촉구했다. 협의회에 참여한 기업은 광우정보통신, 대합하이퍼텍, 시원아이티, 신흥정밀, 아임유, 조아전자, 티엔엘정보, 팜체크, 포스뱅크, 하나시스, 인포크립트 등 10여개사다.
제조사는 정부가 운영하고 있는 CAT·POS 보안 인증이 본래 목적을 벗어난 과도한 규제로 말미암아 회사 생존에 위협을 받고 있다고 주장했다.
국내에 유통되는 CAT(일반) 단말기와 판매시점관리(POS) 단말기는 주로 중소업체가 개발, 공급하고 있다. 이런 가운데 정부의 보안 인증제 도입으로 국내 인증과 국제 인증을 따로 받아야 한다. 부담만 늘고, 경영 악화로 이어진다는 주장이다.
한 POS 제조사 관계자는 “현행 인증제는 신용카드 정보 유출 방지를 위한 명분이지만 하드웨어(HW) 구성, 디자인, 모델명 등을 포함해 응용 소프트웨어(SW)를 망라해서 시험 인증을 받는 구조”라면서 “안에 들어가는 HW 등이 같아도 디자인과 모델이 바뀌면 재인증을 받아야 한다”고 지적했다. 보안 기능과 전혀 상관없이 디자인만 변경해도 재인증을 받아야 하기 때문에 제품 출시에 소요되는 기간과 비용이 2~3배 늘어난다.
본지가 입수한 협의회 건의서에 따르면 단말기 제조사 평균 인증비 관련 비용은 20개 기종 인증에 약 5억원 이상이 소요됐다.
A사의 경우 48대의 단말기 인증에 7억3000만원, B사는 28개 모델 인증에 6억2000만원 이상의 비용이 들었다. 더 큰 문제는 국내 보안 인증 제도가 국제 표준과 무관, 제품을 수출할 경우 국제 규격에 맞는 인증을 따로 받아야 한다는 사실이다.
신용카드 단말기 관련 IC카드 국제 표준 인증은 EMV 인증, PCI PTS 인증, RF카드 처리와 관련된 브랜드사별 RF 인증 등이 있다.
국내에서 개발한 결제 단말기의 수출을 위해서는 국제 표준 인증을 받아야 하고, 장기로는 국내 인증 제도를 국제 표준 인증 제도로 통합해야 한다.
POS 제조사 대표는 “국제 표준 범위 안에서 필수로 요구하는 보안성 위주로 국내 인증 제도를 간소화해야 한다”면서 “국제 표준과 동떨어진 국내 인증 제도 시행으로 시간과 비용을 모두 허비하고 있어 이중 부담”이라고 비판했다.
IC카드 전환 사업을 추진하고 있는 여신금융협회가 인증 기관의 재위탁 운영 독점 체계를 뜯어고쳐야 한다는 지적도 나왔다.
중소기업 제조사들은 카드 정보 보안 처리 관련 핵심 HW 장치와 SW 부분만 인증하는 방식으로 체계를 간소화하고, 보안 인증을 받은 핵심 HW 모듈과 SW 커널의 경우 다른 단말기 모델에 적용해도 인증을 받을 필요 없이 재사용이 가능하도록 개선해야 한다는 입장이다.
협의회 측은 “과도한 규제 위주 인증제는 고사 위기에 처해 있는 국내 중소 제조사의 생존과 경쟁력 회복을 위해서도 즉시 개선돼야 한다”고 강조했다.
금융 당국과 협회는 “중소기업 의견을 수렴해 인증 업무 간소화를 검토하고 있다”고 밝혔다.
[표]신용카드 단말기 제조사 인증비 관련 부담 현황(자료-한국신용카드단말기제조사협의회)
(단위 : 건, 원)
길재식 금융산업 전문기자 osolgil@etnews.com