[프라임경제] 앞으로 일정 보안기준을 갖추고 자기자본 400억원 이상의 재무적 기준을 충족한 결제대행업체(이하 PG사)는 신용카드사처럼 카드정보를 저장할 수 있다.

여신금융협회(이하 여신협회)와 카드업계는 온라인 구매 편의성 제고를 위해 간편결제 방식이 활성화될 수 있도록 이 같은 내용이 포함된 'PG사의 카드정보 저장을 위한 보안 및 재무적 기준'을 마련했다고 1일 밝혔다. 이는 지난 7월 금융당국이 발표한 '전자상거래 결제 간편화 방안' 후속 조치의 일환이다.

여신협회는 이번 기준을 마련하며 결제안전성을 고려, 카드정보 저장을 위해서는 외부해킹 등 예기치 못한 개인정보 유출에 대응할 수 있는 보안성을 기본적으로 갖추고 정보유출 때에는 소비자 등에 충분히 보상할 수 있는 여력 등을 반영했다.

보안 기준은 우선 PCI DSS(Payment Card Industry-Data Security Standard) 인증을 취득하고 PG사 자체 부정사용 예방시스템(FDS)과 재해복구센터도 구축해야 한다. PCI DSS는 카드정보 해킹 및 도난·분실사고로부터 고객 신용카드 정보를 보호하고자 비자, 마스터카드 등 국제브랜드사가 공동으로 마련해 운영하는 카드산업 보안표준이다.

여신협회는 미래창조과학부가 주관하는 정보보호관리체계(ISMS) 인증을 받으면 PCI표준을 획득한 것으로 간주하고 향후 PCI DSS인증 전환을 유도할 예정이다. 현재 국내 PG사 중 PCI DSS 인증을 취득했거나 준비 중인 회사는 5개사며 ISMS 인증의 경우 15개사가 취득한 상태다.

재해복구센터와 FDS 구축은 일정 등을 감안해 2015년 7월1일부터 시행키로 했다. 재무기준은 자기자본 400억원 이상, 순부채 비율 200% 이하여야 하며 전자금융사고 책임 이행을 위한 충분한 수준의 보험이나 공제에 가입해야 한다. 2013년 말 기준 자본금 요건을 충족하는 PG사는 25개사며 이는 금융감독원 공시 대상 40개사의 60%다.

단, 카드정보 저장을 위한 요건을 충족하지 못한 PG사도 가상카드번호 사용 등 실제 카드번호, 유효기간 저장을 대체하는 방식으로 PG사 자체 결제 서비스 운영은 가능하다.

한편, 여신협회는 이 기준 실제 적용 때 필요한 세부운영사항에 대해서는 운영규정을 제정해 적용할 예정이다. 운영규정을 보면 PG사는 저장하는 정보의 범위 및 활용 범위를 규정하고 최소 1년에 1회 검사 등 점검 주기 방법 등의 관리방안도 마련한다. 카드사 수준의 FDS 시스템 구축을 위한 세부 내용도 마련해 운영규정에 포함시킨다.

함정식 여신금융협회 카드본부장은 "현재 카드정보 미저장 PG사도 아이디와 패스워드만으로 결제가 가능한 원클릭 결제서비스 제공이 가능하다"며 "카드업계가 향후 카드정보 미저장 PG사와 제휴를 확대할 계획인 만큼 간편 결제방식 확대를 통한 소비자편익이 증대될 것으로 기대된다"고 말했다.

금융당국은 카드정보 보안 강화 중요성을 감안해 카드정보를 저장한 PG사가 카드정보를 유출해 부정사용하다 적발되면 PG사가 책임을 지도록 여신전문금융업감독규정 개정을 추진하고 카드정보 저장 PG사에 대해 금융회사 수준으로 검사·감독을 엄격히 할 예정이다.