현대카드 관련 기사에 대한 페이게이트의 입장
첫째, 신용카드 유효기간 저장
카드 가맹점이 카드 유효기간을 저장하지 못하도록 하는 내용은 가맹점 표준 약관에 있습니다. 가맹점 표준 약관은 온라인 가맹점을 주로 염두에 둔 것이라기 보다는 오프라인 가맹점을 포함한 가맹점 일반에 대해서 적용되는 것이고, 온라인 가맹점의 경우 특약서가 우선합니다.
현대카드와 페이게이트가 체결한 ‘전자상거래 결제대행업체 가맹점 계약의 관리감독강화를 위한 협약서’ 제3조는 페이게이트가 ‘회원의 식별정보, 거래정보, 비밀번호 등 이용자 정보’를 저장할 수 있는 명문의 근거규정을 마련해 두고 있습니다. 따라서 페이게이트가 법령이나 계약을 어겼다고 볼 여지는 없습니다.
하지만, 일부 카드사의 희망을 반영하여 카드 유효기간은 페이게이트가 더 이상 보관하지 않고, 이용자가 매번 유효기간을 직접 입력하여 결제가 이루어지도록 할 예정입니다.
둘째, 키보드 해킹 공격에 대한 대응
키보드 해킹(키로깅) 공격은 윈도우즈 운영체제에서 주로 발생되는 공격 형태로, 이용자가 자신이 이해하지 못하는 프로그램을 컴퓨터에 무작정 설치하도록 반복 훈련된 한국인에게는 적지 않은 ‘위협’ 입니다. 하지만 그 공격에 대응한다는 명목으로 또다시 키보드 해킹 방지 플러그인 설치를 강요할 경우, 문제 해결이나 대응에 도움이 되기는커녕 문제를 더욱 악화시킬 뿐입니다.
보다 근본적인 해결책은 아마존, 애플, 페이팔, 구글 등 전세계 첨단의 전자상거래 서비스 모델처럼 애초에 개인정보/카드정보/유효기간 등의 민감 정보 입력을 최소화하고, 처음 한 번만 입력하면 다음에는 아예 입력할 필요가 없도록 하는 간편결제 모델입니다. 아마존이나 아이튠즈, 구글 플레이 등이 스크린 키보드나 키보드 해킹 방지 플러그인을 사용하지 않는 이유는 소비자 보호를 포기한 것이 아니라, 더 우월한 방법으로 소비자의 정보를 보호하기 때문입니다.
서버가 결제 정보를 보관하지 않는 대신 유저가 매번 입력하라는 식의 국내 ‘관행’은 서버 보안을 사실상 포기하고 모든 위험을 유저에게 전가하는 불행한 관행이며, 페이게이트는 이러한 관행을 반복할 의사가 없습니다.
키보드 해킹 방지 플러그인을 사용하지 않는다고 해서 당장에 ‘입력값 보호 대책’이 없다고 주장하는 견해는 옳지 않으며, 현행 규정상 그렇게 해석할 근거도 없습니다.
셋째, 가맹점 서버에 대한 해킹 우려
‘서버가 해킹 될 수 있으니, 서버에는 중요한 정보를 저장하지 말라’는 식의 주장은 서버 보안을 포기한 발상에 불과하고, 현실적으로도 불가능한 것입니다. 금융거래 서비스를 제공하는 서버가 중요 정보를 ‘저장’하지 않을 수는 없습니다.
페이게이트의 정보보호체계는 Control Case라는 세계 최대의 PCI DSS 보안감사 서비스 업체를 통해 2008년부터 지속적, 정기적으로 보안감사를 받아오고 있으며 현재 PCI DSS v2.0 Level1 감사 기준을 충족한 상태를 유지하고 있습니다.
PCI DSS(Payment Card Industry Data Security Standard) 기준에 따른 보안 감사는 비자, 마스타 카드사 등 국제적인 신용카드사들이 제시하는 글로벌 신용카드 정보보호체계로서 해당 브랜드를 취급하는 국내 신용카드사와 대규모 트래픽을 처리하는 결제대행회사들이 보안감사 대상이 됩니다.
PCI DSS 보안감사는 데이터 암호화, 서버해킹 대응뿐만 아니라 물리적 보호, 인적 공격에 대한 대응, 보안정책 관리 등 전사적인 보안체계를 안전하게 유지하도록 250가지 이상의 관리요건이 있으며, 요구 수준이 매우 까다롭기 때문에 국내 대형 카드사들도 PCI DSS 보안감사를 통과하지 못하고 있습니다.
페이게이트가 PCI DSS 인증을 유지하는 것은 법률이나 카드사와의 계약에서 요구하는 개인정보 보호를 위한 보안대책으로서 충분한 수준이며, 국내의 모든 카드사들도 국제 수준의 PCI DSS 보안감사를 자발적으로 받고 그 기준을 충족하는 수준을 유지한다면, 대규모 고객정보 유출 등의 불미스러운 사고 발생의 가능성은 현저히 줄어들 것입니다.
넷째, 개인정보보호 책임 소재 관련
기사에 익명으로 인용된 카드사 관계자의 언급 중, “여신전문금융업법상 개인정보 유출 등의 문제 발생시 관련 책임은 가맹점에 일절 전가하지 못하도록 해놓았다”라는 부분이 있는데, 이 점은 카드사와 가맹점 간의 계약 내용과는 완전히 다르다는 점을 지적하고자 합니다.
카드사(“갑”)와 결제대행가맹점(“을”)사이에는 표준약관 외에도 이른바 ‘특약서’라는 별도의 계약이 체결되고 있습니다. 이 특약서는 표준약관에 우선해서 적용되는데, 다음 사항들은 모두 “을”의 책임으로 한다는 규정을 “갑”이 관철해 두고 있습니다:
거래의 진위성 및 부정사용(본인사용) 여부에 대한 확인
개인정보 보호를 위한 보안대책 운영책임 및 개인정보 유출로 발생된 “갑” 또는 신용카드 회원의 손해를 전부 배상할 책임
심지어 카드사에서 제공하는 인증방법이나 ActiveX 플러그인을 사용하더라도 여전히 사고발생시 책임은 가맹점이 지도록 특약이 체결된 경우도 있으며, 결제대행 가맹점은 카드사에 대한 배상책임에 대한 이행보증보험 등을 미리 카드사에게 제공하지 않으면 가맹점 계약을 체결할 수 없도록 되어있습니다.
카드사가 마치 모든 책임을 져주는 듯한 언급은 사실과 다르며, 실질적으로 모든 책임은 가맹점이 지도록 계약이 되어 있습니다. 페이게이트가 결제대행서비스를 시작한 1998년 이래로 한번도 카드사가 책임을 져준 사례는 없습니다.
카드사가 모든 책임을 가맹점에게 지우고 있으므로, 가맹점은 더 나은 인증 방법을 선택할 수 있어야 합니다. 카드사가 가맹점과 온라인 상점, 소비자에게 인증방법의 선택권을 부여하지 않는다면, 부정사용으로 인한 책임도 카드사가 모두 져야 하고 결제대행사로부터 선납 받아 카드사가 보유하고 있는 이행보증금 등도 모두 반납해야 합니다.
다섯째, 새로운 인증방식에 대한 협의 및 논의
현대카드로부터 “협의” 및 “논의”라는 단어가 사용된 것에 대해서 매우 반갑게 생각하고 있습니다. 다양한 인증방식이나 보안기술은 앞으로도 계속 시장에 나올 것이며, 무엇이 바람직할지에 대한 긴밀한 협의나 논의는 SNS, 언론사 기자를 통해서만 할 것이 아니라 양사 실무자들이 직접 만나서 대화해 볼 기회가 있으면 좋겠습니다. 국무총리실과의 부처간 합의(2010년5월31일)에 따라 금융위와 금감원이 스스로 “공인인증서와 동등한 안전성이 인정되는 인증방법"의 국내 시장 진입을 허용하기 위해 운영한다는 인증방법평가위원회에서 페이게이트의 금액인증이 2012년 9월에 통과(이로 인해 페이게이트는 2012년 연말 국무총리 훈장을 수여 받은 바 있음)한 이래 지난 10개월 동안 현대 카드측과 여러 차례 대화를 시도했으나, 현대카드는 응해 주지 않았습니다. 이번 일을 계기로 양사 공식적인 협의 및 논의가 진행될 것으로 기대하고 있습니다.
페이게이트 개요
페이게이트는 1998년 설립되었으며 지난 17년 동안 8,000여개의 전자상거래업체를 대상으로 크로스보더 온라인 결제 사업을 지속해 왔다. 현재 32명의 다국적 임직원이 활동중에 있으며 한국, 일본, 미국, 홍콩, 영국. 싱가포르에 지사를 두고 룩셈부르크, 아일랜드, 시드니에 추가 지사 설립 중에 있다. 페이게이트는 신용카드 부정사용 등 전자상거래 위험도를 획기적으로 줄여주는 개방형 웹 표준 독자 기술을 개발하여 운영해 오고 있다.
웹사이트: http://www.paygate.net
연락처
페이게이트
박소영 이사
02-2140-2700
이메일 보내기
