아이디·비번만으로 온라인결제…카드정보 저장 가능 PG사는?

(서울=뉴스1) 문창석 기자 = 페이팔·알리페이처럼 온라인에서 아이디와 비밀번호만 입력해 결제할 수 있는 '간편결제서비스'의 시행을 앞두고 고객의 카드정보를 저장할 수 있는 PG사(결제대행업체)의 기준이 마련됐다.

여신금융협회 및 카드업계는 온라인 구매의 편의성을 제고하기 위해 간편한 결제방식이 활성화 될 수 있도록 PG사의 카드정보 저장을 위한 보안 및 재무 기준을 마련했다고 1일 밝혔다.

세부 기준으로 '보안'과 '재무능력'에서 PG사를 검증하기 위한 조건들이 포함된다. 카드 정보를 저장할 경우 예기치 못한 개인정보 유출에 대응할 수 있는 보안성을 갖추고, 혹시 정보가 유출된다면 소비자에 보상할 수 있는 여력을 반영하기 위해서다.

우선 보안 기준으로 해킹 등으로부터 카드 정보를 보호하기 위해 운영하는 카드산업 보안 표준 'PCI-DSS(Payment Card Industry-Data Security Standard)' 인증을 취득해야 한다. 현재 국내 PG사 중 해당 인증을 취득한 회사는 준비 중인 회사를 포함해 5곳이다.

또 최근 3년 동안 정보보안 사고로 당국으로부터 기관주의 이상의 조치를 받지 않아야 하며, 결제대행업체 자체 부정사용 예방시스템(FDS) 및 재해복구센터도 구축해야 한다.

재무 기준으로는 피해자에 대한 배상 등 위험에 대응하기 위해 자기자본 400억원 이상을 충족해야 한다. 지난해 말 기준 해당 요건을 충족하는 PG사는 전체 51개사 중 25곳이다.

이 밖에도 순부채 비율이 200% 이하여야 하며 전자금융사고 책임의 이행을 위한 충분한 수준의 보험 또는 공제에 가입해야 한다.

다만 이 같은 카드정보 저장을 위한 요건을 충족하지 못한 PG사의 경우에도 가상카드번호 사용 등으로 실제 카드번호·유효기간의 저장을 대체하는 방식을 통해 PG사 자체 결제 서비스를 운영할 수 있게 할 계획이다.

여신협회는 이러한 기준을 실제로 적용할 경우 필요한 세부 운영사항에 대해서는 '운영규정'을 제정해 적용할 방침이다.

운영규정에는 ▲저장 가능한 정보는 카드번호·유효기간이며 ▲회원의 사전 동의 후 수집·저장 가능 ▲영업기간 동안 보안·재무기준 동일하게 유지 ▲최소 1년에 1회 검사 등 관리방안 ▲카드사 수준의 FDS 시스템 구축 등의 내용이 담길 것으로 보인다.

금융당국은 PG사가 수집·저장한 카드정보를 유출하거나 부정 사용이 발생할 경우 명확한 책임을 지도록 여신전문금융업감독규정 개정을 추진하고, 카드 정보를 저장한 PG사에 대해 금융회사 수준의 검사·감독을 할 예정이다.

themoon@