규제 완화 부실대책 금융당국…보안은 깜깜이?
금융당국, '전자상거래 결제 간편화 방안'에 PG사의 CVC 저장 관련 명확하게 설명하지 않아 혼선 야기
최근 금융당국발로 결제대행사(PG)에 보관할 수 있는 카드정보를 확대키로 하면서 카드 뒷면 세자리 숫자인 유효성검사코드(CVC) 포함 여부를 놓고 논란이 일었다. 외국의 경우 PG사에 CVC 값을 저장하지 못하게 돼 있다. 해킹이나 관리소홀로 CVC 값이 외부로 노출될 경우 개인정보가 새어나갈 수 있기 때문이다.
이를 두고 업계에서는 정부가 보안에 대한 가이드라인 없이 규제 완화에만 신경 쓰다 보니 결국 구체적으로 무엇을 빼고, 포함시킬지 밝히지 않아 혼선을 빚게 했다고 지적했다.
다행히 금융당국은 이번 PG사 카드정보 저장에는 CVC값을 포함하지 않기로 하면서 논란은 수그러드는 분위기다. 다만, 카드 유효기간은 PG사가 저장할 수 있게 됐다.
11일 금융권에 따르면, 금융위원회와 미래창조과학부는 지난달 28일 '전자상거래 결제 간편화 방안'을 발표하면서 기술력과 보안성, 재무적 능력을 갖췄다고 인정되는 PG사에 대해 유효기간이나 CVC와 같은 카드정보를 저장할 수 있는 여건을 마련하겠다고 밝혔다.
현행 '신용카드 가맹점 표준약관'을 보면 가맹점은 카드 유효기간이나 검증값(CVC, CVV 등)과 같은 인증정보를 보관해서는 안 된다. 카드결제 과정에서 PG사는 가맹점에 해당해 이를 지켜야 한다. 정부는 표준약관을 고쳐 PG사도 결제정보를 저장할 수 있도록 한다는 계획이었다.
하지만 이 같은 소식이 전해지면서 PG사는 CVC 번호를 카드사 외 누구든 보관해서는 안 된다고 지적했다. 이번 정부 발표의 수혜자가 될 수 있는 PG사가 오히려 '그럴 필요 없다'며 정부를 뜯어 말린 꼴이다.
PG사 관계자는 "어떤 이유에서든 CVC 등은 저장해서는 안 된다"며 "정부가 얼마나 급하게 대책안을 마련했는지 여실히 보여주는 부분"이라고 비판했다.
그는 이어 "PG사가 CVC를 저장할 수 없다고 해서 간편결제 시스템을 개발하지 못하는 게 아니다"면서 "세계 어느 간편결제 시스템도 PG사가 CVC를 저장해서 활용하는 경우는 없다"고 강조했다.
실제 신용카드를 취급하는 가맹점과 서비스 제공업체들이 준수해야 하는 정보보호 표준인 'PCI 데이터 보안 표준(Data Security Standard, DSS)'을 보면 CVC는 어떤 경우에서도 저장해서는 안 되는 가장 민감한 결제정보로 분류된다. 또 PCI에 문의한 결과 CVC는 암호화했다고 하더라도 저장·보관할 수 없다는 답변이 나왔다.
성재모 금융보안연구원 본부장은 "아무리 PG사가 재무적, 기술적 능력을 갖고 있더라도 CVC는 보관해서는 안 된다"면서 "카드번호와 유효기간만으로도 결제업무를 충분히 수행할 수 있다"고 했다.
우려의 목소리가 커지자 표준약관이 개정되더라도 CVC가 포함될 가능성은 없어 보인다. 특히 표준약관을 만드는 주최가 카드사다.
카드업계 관계자는 "카드번호와 유효기간만으로 결제가 가능하기 때문에 카드사가 CVC와 같은 민감한 정보를 PG사에 저장할 수 있도록 하는 일은 없을 것"이라며 "표준약관에도 이 같은 내용을 반영할 것"이라고 설명했다.
금융위도 뒤늦게 이런 문제를 인식하고 표준약관이 개정되더라도 CVC는 포함되지 않을 것이라고 선을 그었다.
금융위 관계자는 "지난달 '전자상거래 결제 간편화 방안'을 발표하면서 PG사가 보관할 수 있는 허용범위에 대해서는 말하지 않았다"며 "다만 현행 표준약관에서 CVC나 유효기간 등은 PG사가 저장할 수 없었다고 언급한 수준"이라고 말을 아꼈다.
그러면서 "지금 카드사와 함께 표준약관 개정안을 주고받고 있다"면서 "유효기간은 PG사가 보관할 수 있도록 바뀔 것 같지만, CVC는 빠질 것"이라고 대답했다.
한편, 이번 일을 두고 일부에선 금융당국의 소홀한 보안의식을 의심하고 있다.
금융권 관계자는 "만일 금융당국이 CVC 중요성에 대해 미리 알고 있었다면 이런 오해를 불러일으키지 않았을 것"이라며 "정보유출로 골머리를 앓았던 금융당국이 아직도 보안에 어두운 것 같아 아쉽다"고 질타했다.
©(주) 데일리안 무단전재 및 재배포 금지
새롭게 개정되는 '신용카드 가맹점 표준약관'에 PG사가 수집할 수 있는 정보 중 유효성검사코드(CVC)는 빠질 것으로 보인다.(자료사진) ⓒ데일리안
비자와 마스타, JCB 등 국제 브랜드 카드사가 만든 'PCI DSS'에서는 CVC를 저장할 수 없도록 하고 있다. 사진은 PCI DSS 캡처.
실시간 주요뉴스
![지방 미분양 ‘시한폭탄’이 다가온다 [기자수첩-부동산]](https://cdnimage.dailian.co.kr/news/icon/202504/news_1743665289_1481219_c.jpeg){kind=icon}