[뉴스토마토 임효정기자] 신용카드를 결제하는 과정에서 관련 정보가 유출될 가능성이 높다는 지적에 따라 보안수준이 높은 국제 기준을 도입하자는 의견이 제기됐다.
이재연 한국금융연구원 선임연구위원은 4일 국회도서관에서 열린 '소상공인 개인정보피해와 불법대부 실태 및 방안마련' 공청회에 참석해 신용카드 거래과정에서 발생하는 고객정보 보안 문제점에 대해 지적했다.
이재연 선임연구위원은 "가맹점의 경우 POS단말기에 고객의 카드정보와 결제정보가 남아있는 경우가 많아 고객정보 유출 위험이 높다"며 "매출액 확인, 매출내역 분석, 고객관리 등을 인터넷 PC로 하다보니 편리성을 높으나 보안성이 약하다"고 설명했다.
감독주체가 없는 밴(VAN)사의 경우도 업무를 수행하는 과정에서 정보유출 위험이 존재한다는 것.
전자금융거래법상 밴사와 밴대리점은 전자금융보조업자로 분류, 금융당국은 밴사와 밴대리점에 대해 감독 및 제재 권한이 없다.
이 연구위원은 "승인과 매입 업무를 대행하는 VAN사는 고객의 결제관련 정보가 전달되거나 저장, 이용되는 과정에서 해킹 등을 통한 정보유출 위험이 있다"며 "VAN사에 대한 감독주체가 없어 문제가 크다"고 강조했다.
이 같은 고객정보유출에 대비해 국제 신용카드 보안기준인 PCI DSS를 도입하자는 의견이 나왔다.
이 연구위원은 "PCI DSS를 도입하거나 이에 준하는 국내의 종합적인 신용카드 고객정보 보안기준을 수립해야 한다"고 주장했다.
PCI DSS는 카드회원의 민감한 카드정보와 거래정보 보호를 목적으로 제정된 국제 신용카드 보안기준이다.
비자, 마스터카드, 아멕스, 디스커버, JCV 등 5개 국제 브랜드 카드사들은 신용카드 고객정보 보안을 위해 지난 2006년 PCI DSS를 설립, 신용카드 등 지급카드의 고객정보 보호를 주도하고 있다.
국제 브랜드 카드사들은 매입사(은행 등)로 하여금 자신이 관리하는 가맹점의 PCI DSS 준수에 책임지도록 하고 있으며, 위반 시 벌급을 부과하고 있다.
이 선임연구위원은 "지난해 기업정보 보호를 위해 정보보호관리체계(ISMS)인증이 도입됐다"면서 "하지만 기업대상으로 할 뿐 신용카드 고객정보 보호에 적합하지 않아 새로운 보안기준을 마련할 필요가 있다"고 말했다.