'포스단말기' 만들어놓고… 해킹당하면 가맹점 탓

입력 2014.01.07 13:46 수정 2014.01.07 13:54 윤정선 기자

흐지부지된 '포스단말기 보안표준' 운운하며 책임은 가맹점에게

신용카드 가맹점 표준약관 캡처 ⓒ데일리안

보안이 취약한 포스(POS)단말기에서 카드회원의 금융정보가 해킹당하면 그 책임은 전적으로 가맹점에게 있는 것으로 나타나 카드사의 '독소조항'이라는 지적이 제기된다.

7일 카드업계에 따르면, 카드사와 가맹점이 계약을 맺을 때 활용되는 '신용카드 가맹점 표준약관' 5장 제18조에 따르면 가맹점이 포스단말기를 이용해 신용판매를 할 경우 해당 단말기는 여신금융협회가 정한 '포스단말기 보안표준'을 준수하도록 하고 있다.

아울러 가맹점이 이를 준수하지 않아 회원정보 유출로 카드사 또는 회원에게 손실이 발생할 경우, 그 손실의 전부 또는 일부를 가맹점이 부담하는 내용도 담고 있다. 사실상 피해 대상에 '카드사'를 넣고 책임 대상에는 '가맹점'만 넣어 가맹점에게 책임을 전적으로 두고 있다.

상황이 이렇다면 가맹점 입장에선 보안표준을 준수한 포스단말기를 설치하는 게 당연해 보인다. 하지만 '포스단말기 보안표준'은 사실상 폐기된 제도이다. 따라서 대부분의 단말기 제조회사는 보안표준을 지키지 않고 있다.

지난 2010년 금융감독당국과 여신금융협회는 포스단말기 해킹으로 신용카드 회원의 카드정보가 유출되는 사고를 막기 위해 포스단말기에 '표준보안프로그램'을 설치하고 고객정보 저장을 금지하는 내용의 '포스단말기 보안표준'을 마련했다.

포스 단말기(자료사진)

하지만 포스단말기를 제조하는 제조사는 보안프로그램을 설치했을 때 결제가 안 되는 등 프로그램 충돌 문제로 사실상 보안표준을 지키지 않았다.

결국, 이 같은 상황을 잘 모르는 가맹점 입장에선 매출관리가 쉽도록 포스단말기를 들여놓았지만, 해킹 시 책임을 져야하는 부담을 져야하는 것이다. 그것도 제대로 지켜지지도 감독도 되지 않는 포스단말기 보안표준을 준수해야 한다는 조항 때문이다.

대형 카드사 보안부서 관계자는 "인터넷 선을 이용하는 포스단말기는 해킹에 취약하다"며 "실제 동유럽을 포함한 해외에서 국내 포스단말기를 해킹해 얻은 카드정보로 카드를 복제해 불법 사용하는 경우가 있다"고 알렸다.

금융감독원 관계자는 "포스단말기에서 보안프로그램을 설치했을 때 결제프로그램과 충돌이 발생하는 경우가 상당수 발생했다"면서 "300여개 이상 난립하고 있는 단말기 제조사에게 '포스단말기 보안표준'을 사실상 강요하지 못하는 상황"이라고 말했다.

이어 그는 "1년여만 있으면 IC카드로 전환된다. 따라서 포스단말기 보안문제는 단말기 인증제도와 IC카드를 통한 거래로 자연스레 해결될 것으로 보인다"고 덧붙였다.

한편 카드사 관계자는 "가맹점 표준약관 조항은 가맹점 책임으로만 보이지만, 포스단말기 보안표준이 잘 이행되지 않고 있어 카드사가 가맹점에게 모든 책임을 전가하는 경우는 없을 것"이라고 강변했다.

#포스단말기 해킹

#신용카드 회원정보

#카드사 가맹점

#IC카드 보안

'포스단말기' 만들어놓고… 해킹당하면 가맹점 탓

댓글 0