금감원-여신금융협회, POS 가맹점 단말기 보안강화방안 시행


[보안뉴스 오병민] 요식업이나 유통업계에서 고객정보 유출로 말이 많았던 POS단말기에 대한 보안조치가 제도화 된다.
 
금융감독원과 여신금융협회는 카드업계와 공동으로 신용카드 가맹점의 ‘POS단말기 보안강화방안’을 마련하여 시행할 예정이라고 밝혔다.

POS(Point Of Sale)단말기는 가맹점의 판매정보를 실시간으로 관리하는 시스템으로 신용카드 결제기능이 탑재되어 있어 가맹점에서 발생하는 모든 매출정보의 수집과 분석을 도와주는 장치다.

최근 신용카드 가맹점의 POS단말기를 통해 개인회원정보가 해외로 유출돼 부정 사용되는 사고가 발생함에 따라 POS단말기의 신용카드 회원정보 보안강화 필요성 대두됐다.

이에 금융감독원 및 여신금융협회에서는 POS단말기의 회원정보 유출 등으로 인한 신용카드 부정사고를 사전에 차단하기 위해 ‘회원정보 보안강화 TF’를 통해 ‘POS 단말기 보안강화방안’을 마련하고, 이를 모든 POS가맹점(약 20여만개)에 적용할 예정이다.

금융감독원은 ‘POS단말기 보안표준’을 마련해 2010년 8월말 현재 설치·운영 중인 모든 POS단말기(약20만개)에 표준보안프로그램을 설치함으로써 신용카드 거래정보 저장을 금지하고, 중요 거래정보는 암호화하여 고객정보유출을 원천 차단한다는 방침이다.

보안표준의 내용은 ▲POS단말기에 신용카드 중요 인증정보(CVC값, 유효기간 등)의 저장 금지, ▲POS단말기의 카드리더기(카드정보 입력장치)로부터 신용카드 인증정보 기밀성 보장 등 보안기능 마련, ▲카드번호 보호(일부분 마스킹 표시, 일정기간 경과시 자동 삭제 등), ▲전표 출력시 신용카드 유효기간 출력 금지, ▲POS단말기 관리프로그램의 패스워드 사용 및 모든 행위를 로그로 기록 유지, ▲운영체제 보안 강화 및 사용자에게 보안가이드 제공 등이다.
POS단말기 보안표준을 준수하지 않은 POS단말기에서 신청하는 신용카드 거래승인 요청건은 2011년 1월 1일부터 승인 거절할 예정이다.

아울러 보안모듈 설치도 의무화된다. 금융감독원은 2010년 8월~12월까지 POS단말기에 표준보안프로그램을 설치하도록 할 방침이다. POS단말기에 표준보안프로그램을 설치하여 신용카드 거래정보를 암호화하고 주요 고객정보 저장을 금지하는 한편, POS시스템상에 남아 있는 기존 신용카드 거래정보를 삭제할 계획이다. 그리고 2010년 8월말 현재까지 설치돼 운영 중인 POS단말기는 신용카드사와 VAN사가 공동으로 예산 및 기술지원을 통해 표준보안프로그램을 장착하고 이후 등록되는 POS단말기는 당해 가맹점이 신규 제정된 표준보안프로그램이 장착된 POS단말기를 직접 구입하여 사용하게 할 계획이다.

그리고 2011년 1월 1일 이후에는 ‘POS단말기 보안표준’을 준수하지 않을 경우 카드사가 승인을 거절할 수 있도록 제도적 보완장치 마련할 예정이다.

현재 제정중인 ‘가맹점표준약관’에 ‘POS단말기 보안표준’을 준수하지 아니한 가맹점의 카드거래에 대해서는 카드사가 승인을 거절할 수 있도록 관련내용 반영 예정으로 감독원은 필요시 관련규정 개정도 고려하고 있는 것으로 전해지고 있다.

금융감독원 측은, POS단말기 보안강화방안 마련·시행으로 고객정보 유출사고 사전 예방, 부정사용 등에 따른 카드사의 경제적 손실 방지 및 신뢰성 제고에 크게 기여할 것으로 예상했다. POS단말기의 해킹 등으로 인한 신용카드 회원의 카드정보가 유출되는 사고의 사전 예방할 수 있으며, POS단말기의 고객정보가 유출될 경우 발생하는 부정사고 보상금액 및 신용카드 재발급 등으로 인한 경제적 손실도 방지할 수 있다는 것. 더불어 POS단말기 고객정보 유출로 인한 소비자불만 등의 해소 및 신용카드 거래전반에 대한 안정성 증가로 카드사 등의 신뢰성 향상에도 기여할 것이라고 덧붙였다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>