자기자본 400억원, 순부채비율이 200% 이하인 전자지급결제대행업체(PG)는 카드정보 저장이 허용된다. 단 부정거래방지시스템(FDS)을 의무화하고 3년간 정보보안 사고가 없어야 한다.
1일 여신금융협회는 이 같은 내용을 골자로 한 적격 PG사 세부기준을 발표했다.
카드정보 저장이 허용되는 PG사는 자기자본 400억원 이상, 순부채비율 200% 이하(고객 예수금 제외)의 재무적 기준을 충족해야 한다. 또 개인정보 유출이나 전자금융사고 등에 따른 손해배상책임의 이행을 위해 충분한 수준의 보험이나 공제에 가입해야 한다.
정보유출을 방지하기 위해 보안성 기준을 상당부분 강화했다. 우선 이상거래나 부정사용 탐지를 위해 자체적으로 부정거래방지시스템을 구축해야 한다. 또 카드정보 저장을 통한 결제 서비스 관련 시스템에 대해 재해복구센터를 갖춰야 한다. 카드정보를 직접 수집하고 저장하려는 PG사는 PCI DSS 인증도 취득해야 한다.
PCI DSS(Payment Card Industry-Data Security Standard)란 카드정보 해킹 및 도난·분실 사고로부터 신용카드 정보를 보호하기 위해 비자, 마스터 카드 등 5개 국제브랜드 카드사가 공동으로 운영 중인 카드산업 보안 표준이다.
카드업계는 부정거래방지시스템과 재해복구센터 구축일정 등을 고려해 이런 내용을 내년 7월 1일부터 시행하기로 했다.
업계는 내년 말까지 한시적으로 미래창조과학부과 주관하는 정보보호관리체계(ISMS) 인증을 PG사에 요구되는 인증으로 인정하고, 이후에는 PCI 보안표준을 도입하는 방안을 검토하고 있다.
국내 51개 PG사 가운데 이번에 확정된 세부기준을 충족할 수 있는 업체가 19개 정도가 될 것으로 예상하고 있다.
함정식 여신금융협회 카드본부장은 “카드정보를 저장할 경우 소비자, 카드사 등의 정보보호 강화와 결제 안전성, 보안여력 등을 고려해야 한다”며 “카드정보 미저장 결제대행업체도 자체 결제서비스 제공이 가능하며 카드업계는 향후 이들과 제휴를 확대할 계획”이라고 말했다.
앞서 카드업계는 PG사가 간편결제서비스를 위해 카드정보를 원하면 약정을 통해 이를 저장, 수집할 수 있도록 표준약관을 개정한 바 있다. 개정된 약관 내용은 이달 초부터 시행된다.
한국은행에 따르면 올해 2분기 PG 이용건수는 2억6873만건, 금액은 13조420억원을 기록했다. 이는 전분기 대비 각각 0.5%, 1.7% 감소한 수치다. 지급수단별(금액기준)로는 카드 67.5%, 가상계좌 19.9%, 계좌이체 10.2% 순이었다.
길재식기자 osolgil@etnews.com
