앞으로 여행사가 고객 신용카드 보안체계를 갖추지 못하면 항공권 발권 등에 제한을 받는다. 국내 여행사 대부분은 '신용카드 데이터 보안 인증(PCI DSS)' 준비가 안 돼 대책마련이 시급하다.
28일 여행업계에 따르면 국제항공운송협회(IATA)는 지난해 세계 여행사 대상으로 이달 말까지 PCI DSS 준수를 요구했다.
PCI DSS는 개인정보보호법 등 법적 규제가 아닌 민간 표준이다. 과태료 등은 없지만 준수하지 않으면 신용카드 거래 장벽이 된다. IATA는 항공사에 여행사 PCI DSS 준수 여부를 통보한다. 항공사는 이를 근거로 여행사와 거래 유지를 판단한다.
IATA와 한국여행자협회(KATA), 브로드밴드시큐리티는 최근 640여개 여행사 대상으로 설명회를 열고 PCI DSS 필요성과 방법을 공지했다. PCI DSS는 비자·마스터·아멕스·디스커버리·JCB 등 5개사가 2008년 만든 지불 업계 카드 데이터 국제 표준이다.
주로 카드사와 PG, VAN만 PCI DSS인증을 받아왔는데 가맹점인 여행사, 체인점, 마트, 호텔까지 준수요구가 확대했다. 국내외 가맹점에서 카드 정보 유출 사고가 급증한 탓이다. 2016년 인터파크를 비롯해 지난해 하나투어, 자유투어, 익스피디아 자회사 등 국내외 여행사에서 정보유출 사고가 발생했다. 카드사나 PG, VAN이 보안을 준수해도 가맹점이 허술하면 정보보호가 이뤄지지 않는다.
PCI DSS는 서비스 프로바이더(Service Provider)와 가맹점(Merchant) 보안 준수 요건을 구분한다. 서비스 프로바이더는 연간 브랜드 카드 거래 건수 30만건 이상이면 레벨1(L1)이다. 인증된 평가 업체(QSAC) 통해 현장 심사를 매년 수행한다. 30만건 이하의 L2는 SAQ(Self-Assessment Questionnaire) 자가질의평가서를 완료한다.
가맹점인 여행사는 연간 600만건 이상 카드 거래 건수가 있으면 L1이다. 인증평가심사기관 통해 현장심사 후 인증을 받는다. 600만건 이하 거래 여행사는 자가질의평가서를 수행하면 된다. 카드데이터 유출사고가 발생한 곳은 반드시 L1현장 심사를 해야 한다.
IATA는 여행 관계사 전반에 PCI DSS 준수를 확대했다. 여행사 예약발권시스템인 GDS(Global Distribution System)기업은 매년 PCI DSS 인증을 획득한다. 항공사도 일부 범위에서 PCI DSS 인증을 수행 중이다.
PCI DSS는 국내 정보보호관리체계인증(ISMS)과 달리 카드 데이터 보안에 초점을 맞춘다. 카드 소유자 데이터를 저장, 전송, 처리하는 환경과 영향이 인증 범위다. 카드 데이터 보안에 대한 △문서화(보안 정책 수립) △프로세스 △시스템 통제 현황 등 6개 도메인 항목으로 점검한다.
PCI DSS는 컨설팅 평가 시점 이후 매일·매월·매분기 준수 이력, 증빙을 지속 유지해야 한다. 인증 획득 후 보안체계를 계속 유지하지 않으면 재인증이 어렵다.
대표심사기관인 브로드밴드시큐리티 박재범 대표는 “국내 카드 사용률이 80%에 육박할 정도로 사용률이 높은데 글로벌 인증평가 취득은 다른 나라와 비교해 낮다”면서 “여행업권을 시작으로 호텔, 생명·화재 보험 등까지 인증 대상을 확대할 전망”이라고 덧붙였다.
김인순 보안 전문기자 insoon@etnews.com