[뉴스토마토 류석기자] 지난 8월 금융위원회가 결제대행업체(PG사)도 카드정보를 저장할 수 있도록 규제를 완화하고, 이어 최근 여신금융협회에서는 PG사들이 카드정보를 수집·보관할 수 있게 하기 위해 필요한 보안 및 재무 세부기준을 발표하는 등 PG사의 카드정보 수집 가능성이 커져가고 있는 가운데, 고객의 카드정보를 PG사들이 보관한다고 해서 기존 간편결제 방식보다 결제방식이 더 간편해지는 것은 아니라는 지적이 나왔다.
현재의 간편결제 서비스는 실제 카드정보를 저장하지 못하고, 가상카드정보를 카드사로부터 넘겨받아 결제가 진행되는 방식이다.
복수의 업계 전문가들은 PG사가 카드정보를 갖고 있게되면, 간편결제 시스템 구축에 있어서 PG사에게만 득이되고, 고객들 입장에서는 달라질 것은 없다라고 입을 모은다.
◇간편결제.(사진=유투브 영상 화면 갈무리)
◇PG사가 카드정보 수집을 원하는 이유는?
PG사가 고객들의 카드정보 보관을 원하는 이유는 결제시스템 구축이 더욱 용이하기 때문이다. 반면, 고객들 입장에서는 편의성이 향상되지 않을뿐더러, 기존 카드사에만 저장돼 있던 카드정보가 PG사와 카드사 두 군데에 저장되기 때문에 정보유출 위험이 지금보다 2배 더 커질 수 밖에 없다.
한 업계관계자는 "현재 가상카드정보를 카드사로부터 넘겨받아 결제가 진행되는 방식은 시스템을 구축할 때 카드사와 공동으로 시스템을 구축해야 되는 불편함이 있었다"라면서 "카드정보를 PG사가 보관한다고 해서 고객들이 얻을 수 있는 편리함은 거의 없지만, PG사 입장에서는 카드사와 협의해야 할 부분이 줄어들어 더욱 간편하게 시스템을 구축할 수 있다"라고 설명했다.
이어 그는 "다만, 카드정보를 수집하고 보관한다는 것이 카드정보 유출의 위험도 떠안아야 한다는 부담이 있기 때문에, PG사들 입장에서는 신중하게 카드정보 저장에 대해 논의를 진행하고 있는 것"이라고 덧붙였다.
여신금융협회 관계자도 "PG사가 실제 카드정보를 저장한다고 하더라도 간편결제 과정이 더욱 편리해질 이유가 없는데, 왜 갖고 싶어하는지 모르겠다"라고 말했다.
◇카드사 "카드정보유출 시 책임 명확히 해야"
여신금융협회가 마련한 기준에 따르면, PG사가 카드정보를 보관하기 위해서는 카드산업 보안 표준인 PSI-DSS 인증, 부정사용 예방시스템(FDS) 구축 등이 충족돼야 한다.
또 이러한 요건들을 다 충족했다 하더라도 카드정보유출 사고가 발생하면 그 책임을 PG사에게 명확히 물을 수 있도록 한다는 내용으로의 '여신전문금융업감독규정' 개정도 금융당국에 요청하고 있는 상황이다.
여신금융협회 관계자는 "PG사가 직접 수집하고 보관한 카드정보에 대해서는 PG사가 책임을 지는 것이 맞기 때문에, 감독규정 개정을 건의하고 있는 상황이고, 향후 관련된 시행령이나 시행규칙 개정도 추진하는 방향으로 갈 것"이라고 말했다.
PG사가 수집한 카드정보에 대해 정보유출 사고가 나게 된다면, 고객들 입장에서는 PG사를 탓하기 보다 카드사를 탓할 가능성이 높기 때문에, 책임 소재를 명확히 해둘 필요가 있다는 것이다.
이번에 마련된 기준은 법적 효력이 있는 것은 아니지만, 거의 모든 카드사가 기준을 따를 것으로 보인다.
카드업계가 머리를 맞대고 설정한 기준이고, 기준을 따르지 않았을 때는 정보유출 사고 발생 시 PG사와의 책임공방도 벌어질 수 있기 때문이다.
카드업계 관계자는 "이번에 발표된 기준에 충족되지 않은 PG사와 카드정보 저장 제휴를 맺었다가, PG사쪽에서 정보유출 사고가 발생하게 되면 모든 책임이 우리에게 올 것"이라며 "당연히 모든 카드사들이 협회가 내놓은 기준에 따를 것"이라고 설명했다.