대형 할인매장 등의 계산대에 설치돼 있는 POS(Point Of Sales) 단말기를 통한 신용카드 개인정보의 유출 사고 발생 가능성이 상당히 높은 것으로 나타났다. 그러나 현행법상 POP단말기에 대한 신용카드 정보보안 관리 기준 등이 없어 이에 대한 규제안을 마련한 필요가 있다는 지적이다.
1일 금융계 및 정보통신업계에 따르면 대형 할인매장 등에서 사용하는 POS 단말기 자체 및 관리업체의 서버에 신용카드 마그네틱 정보가 저장되고 있어 대량 카드정보 유출 사고 발생 가능성이 상당히 높은 것으로 알려졌다.
신용카드로 결제를 할 경우 POS 단말기에는 신용카드 마그네틱 테이프에 저장된 카드정보, 유효기간, CVC 번호 등이 저장된다. 이러한 정보는 가맹점에 있는 POS 단말기는 물론 POS 업체 또는 가맹점의 중앙 전산망 서버에도 저장되고 있다. 따라서 POS 단말기에 물리적으로 접근하거나 인터넷을 통한 해킹이 된다면 이들 정보가 유출, 위조카드 제작 및 부정 사용될 가능성이 높다.
그러나 카드사에서는 POS 관련 업체를 직접 규제할 방법이 없으며, 관리 감독기관도 불분명한 상태다. 당연히 이와 관련된 법규도 없다.
카드업계의 한 관계자는 “대형 유통점에서 개인 신용카드 정보를 너무 많이 갖고 있는 것은 문제가 있다”며 “따라서 신용카드 정보보안을 위한 기준과 이의 준수 이행에 대한 규제가 필요한 상황이지만, POS 업체는 카드사와 직접적인 계약관계가 업어 규제 자체가 어렵고 또 관리감독을 위한 주체 기관도 없다”고 말했다.
아직 국내에서는 POS를 통한 카드 정보 유출에 따른 사고가 발생하지 않았지만, 해외에서는 이러한 사례가 많다. 특히 POS를 통한 정보유출로 발생하는 사고는 대형사고로 이어지고 있다.
이에 따라 비자, 마스터 등 글로벌 카드 브랜드사들은 자체적으로 정보 및 거래정보 보호를 위한 자체 프로그램을 운영하고 있다. 또 지난해에는 글로벌 브랜드사들이 PCI(Payment Card Industry) data security council을 설립, 공동으로 보안 기준을 운용하고 있다.
이 기준에 따르면 신용카드 마그네틱 정보 및 CVV2와 같은 신용카드 정보를 관리/보관하지 않도록 하고 있다. 또 정보의 관리 보관이 필요하다면 이를 암호화 하도록 하고 있다.
이와 함게 정기적으로 시스템 보안 검수활동을 수행함은 물로 신용카드 정보 유출이 확인될 경우 매입 카드사(은행)에 즉각 통보하도록 했다.
그러나 국내 POS 업체에 대해서는 이러한 프로그램과 보안기준이 전혀 적용되지 않고 있다.
비자카드의 한 관계자는 “비자의 신용카드 보안 프로그램인 AIS(Account Information Security)를 2001년부터 적용해 시행하고 있지만, 국내에서는 일부 PG VAN사 17곳에 대해서만 가장 낮은 단계로 적용되고 있는 상황”이라며 “국내에도 올해부터는 비자카드 거래 건수가 연간 600만건 이상인 업체를 대상으로 PCI 프로그램을 시행할 예정인데, 이는 단순한 권고사항에 불과해 얼마나 잘 적용될지 모르겠다”고 말했다.
이러한 문제로 인해 카드업계와 여신금융협회는 POS 단말기 및 POS 관리 업체에 대한 카드 정보보안 관리 기준 만련 및 이에 대한 준수 이행 규제를 마련하기 위해 금융감독원과 협의를 진행하고 있다.
여신금융협회가 마련한 기준안에는 POS 관리업체의 기존 전산망에 저장된 유효기간, CVC 등 정보를 삭제함은 물론, 비밀번호, 유효기간, CVC 등 정보처리 프로세스를 삭제/폐지하도록 하고 있다.
그러나 금융감독당국은 이러한 카드 정보 유출 우려 문제를 방치하고 있다. 국내에서는 아직 POS를 통한 ‘대규모’ 카드 정보 유출에 따른 사고 발생이 없기 때문에 이에 대한 규제가 필요치 않다는 입장이다. 또한 2008년 IC카드로의 100% 전환을 추진하고 있는 상황에서 대규모 유통점 등에 IC카드 단말기로의 교체를 앞두고 또 다시 비용이 들어가는 이러한 프로그램을 설치하라고 가제할 수 없다는 것이다.
이에 대해 금감원 복합금융감독실 관계자는 “현재 IC카드 교체를 앞두고 있는 상황에서 유통점 등에게 정보를 삭제하는 프로그램을 또 준비하라고 하기는 곤란하다”며 “아직 국내에서는 POS를 해킹해 카드 정보 유출에 따른 대형 사고는 발생한 적이 없어 이와 관련한 감독규정 등을 마련한 필요성을 느끼지 못하고 있다”고 말했다.