이에 따라 금융당국은 그간 보안성에서 문제가 제기된 마그네틱(MS)카드 결제방식을 IC(집적회로)카드 거래로 전환해 보안성을 강화하겠다고 밝혔다. 하지만 업계에선 현재 금융당국이 추진하는 IC단말기 전환이 과연 포스단말기 해킹을 방지하는 데 실효성이 있을지 의구심을 품고 있다.
◆포스단말기 해킹, 뭐길래
지난 11일 포스단말기 해킹사고로 호남지역의 신한·KB국민·NH농협카드 등 모든 전업계 및 은행계 카드사에서 20만건이 넘는 고객정보가 빠져나갔다. 가장 많은 고객을 보유한 신한카드(3만5000건)를 비롯해 KB국민카드와 NH농협카드에서 각각 3만3000건, 3만건씩 유출됐다.
지난해 12월 말 범인 일당은 경기도에 위치한 포스단말기관리업체 서버를 해킹한 뒤 각 가맹점에 악성코드를 유포했다. 이에 따라 포스관리업체가 관리한 호남지역의 커피전문점, 식당 등 가맹점 80여개가 악성코드에 감염돼 해킹됐다.
이 같은 사고가 터지자 금융당국은 당장 발등에 불이 떨어졌다. 금융당국은 서둘러 개인정보유출 재발방지종합대책 이행 점검회의를 열고 올해 말까지 IC결제로 전환하겠다고 발표했다. 금융당국이 이처럼 화들짝 놀란 데는 이유가 있다. 포스단말기 해킹은 이미 예견된 사고였기 때문. 수년 전부터 포스단말기 해킹 가능성에 대한 지적이 끊이지 않았다.
그러나 이 문제에 대해 금융당국은 지금까지 실효성 있는 방안을 내놓지 못했다. 금융감독원은 지난 2010년 "단말기 보안 강화방안을 마련해 전국 모든 가맹점에 적용하겠다"고 밝힌 바 있다. 금감원은 포스단말기에 표준화된 보안프로그램을 설치하고 신용카드 거래정보 저장을 금지해 중요 거래정보의 경우 암호화하도록 했다.
하지만 약 220만 전국 신용카드 가맹점의 포스단말기 설치를 통제할 수 없는 데다 포스단말기 제조업체도 400여업체에 달해 관리·감독이 제대로 이뤄지지 않았다. 따라서 보안이 검증되지 않은 포스단말기가 버젓히 유통되고 있는 실정이다.
가맹점과 포스단말기 제조업체가 보안표준을 지키지 않는 이유는 법적 구속력이 없는 권고사항이기 때문. 또한 포스단말기 기종이 현재 400여종 이상으로 이에 맞는 보안프로그램을 일일이 개발할 수 없다는 현실적 문제도 있다.
이 때문에 카드업계는 IC단말기 전환이 금융당국의 생각만큼 간단한 일이 아니라고 우려하는 것이다. 1000억원이상 소요되는 비용부담 문제나 약관 수정, 포스프로그램 변경 등 기술적·제도적 문제가 산적했지만 금융당국이 이를 간과하고 있다는 것. 실제로 카드사, 여신금융협회를 중심으로 IC단말기 전환 전담반을 구성했지만 논의는 한달째 진척되지 않고 있다.
IC단말기 전환은 곧 IC결제가 궁극적인 목적이다. 금융당국은 포스단말기에 IC리더기를 부착해 IC거래를 유도한다는 복안이다. 문제는 단말기 전환만으로 IC결제가 가능할지가 미지수라는 것.
우선 기술적인 문제점이 있다. 업계에 따르면 "기존 포스단말기에 IC리더기 부착만으로 IC거래가 가능하지 않다. 포스단말기에 깔린 프로그램이 IC리더기와 호환되는지 알 수 없기 때문"이라고 설명했다. 포스단말기 기종이 현재 400여대에 달하고 그에 사용되는 프로그램도 제각각이기 때문에 IC결제가 가능한 프로그램으로 일일이 바꾸기 힘들 것이란 의미다. 실제로 지난 2010년 여신협회가 포스단말기에 표준화된 보안프로그램을 개발하려 했지만 제각각인 기기와 프로그램으로 실패한 바 있다.
또한 가맹점이 과연 기존 MS방식에 비해 불편하고 결제승인시간이 더 긴 IC거래를 할 것인가도 의문이다. 금융당국은 IC거래 활성화를 위해 가맹점 표준약관을 개정해 올해 하반기 중 'IC결제 우선 승인제'를 실시할 방침이다.
이는 결제승인시간을 MS결제 승인보다 단축시키거나 가맹점이 IC결제 가능 단말기에서 MS결제 승인을 요청할 경우 카드사가 최초 1회 승인을 거절하게 한다는 것이다. 또한 IC결제 시 가맹점에게 0.05~0.1%의 수수료를 인하해 주는 등 인세티브를 제공해 IC결제를 적극 유도하겠다고 발표했다.
하지만 금융당국의 이 같은 계획에 카드사들은 난색을 표한다. 한 카드사 관계자는 "카드사가 결제승인을 거절하는 것은 장사를 안하겠다는 것과 같은데 어떤 카드사가 이를 반기겠나. 또 가맹점수수료 인하에 대한 비용도 카드사 부담으로 이어질 것이 불을 보듯 뻔하다. 보전대책도 없이 카드사들이 이를 마냥 찬성하긴 힘들 것"이라고 설명했다.
포스단말기란?
포스단말기는 주로 대형가맹점이나 프랜차이즈 가맹점에서 출고 내역관리 등을 위해 사용해왔지만 최근 자영업자들의 이용도 늘고 있는 추세다. 포스단말기의 경우 카드정보를 읽어 전송하기만 하는 리더기와 달리 단말기 자체에 카드정보를 저장할 수 있다.
최근 통용되는 포스단말기는 인터넷 회선이 연결돼 있어 이를 통해 밴사에 카드 승인내역을 전송한다. 따라서 카드정보를 저장하는 포스단말기에 악성코드가 침입하고 암호화되지 않은 카드정보가 유출될 가능성이 높다. 전화 회선으로 연결된 단말기의 경우 악성코드를 통한 해킹은 불가능하다. 실제로 미국 내 최대 유통기업인 '타겟'의 포스단말기가 이러한 방식으로 해킹된 사례가 있다.
이에 따라 국내 포스단말기도 해킹으로부터 안전할 수 없다는 지적이 계속해서 제기돼 왔다. 미국과 같이 국내 포스단말기도 대부분 인터넷 회선이 연결돼 있고, 단말기에 대한 보안표준도 제대로 지켜지지 않고 있어서다.
☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제328호에 실린 기사입니다.
<저작권자 © ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>