지불카드용 데이터 보안 표준(PCI-DSS) 발효를 불과 두 달 남겨 놓은 가운데, 국내에서 이를 따르기 위한 명확한 페널티 지침 등은 결정되지 않은 상황이어서 업계가 혼란을 겪고 있다.
PCI-DSS란 아메리칸익스프레스·마스터카드·비자카드 등 세계적 카드회사 6개가 신용카드정보 유출을 막기 위해 제정한 보안 표준으로 오는 6월 30일 전 세계적으로 발효된다.
이 표준을 제정한 PCI보안표준위원회는 표준을 준수하지 않는 결제는 승인을 거부하거나 서비스를 중단하겠다고까지 발표하며, 준비를 서두를 것을 권고한 바 있다. 그러나 PCI-DSS가 발표된 이후 국내 현실에 맞는 구체적인 적용방안이 아직도 나오지 않았으며, 논의를 주도할 주체조차 불분명한 상황이다.
◇국내 현실에 맞는 기준 논의, 올 스톱 = PCI-DSS는 보안 표준을 따르기 위해 준비해야 할 사항을 명시하고 있지만 어떤 영업점이 어떻게 준비를 해야 하는지는 각 나라 현실에 맡겨 놓았다.
국내 다국적 카드회사 또는 협회 등에서 이에 맞는 요건을 만들어야 하지만 표준 제정 이후 국내에서는 논의가 진전되고 있지 않았다. 그나마 지난해 말까지는 다국적 카드회사가 논의를 주도했지만, 담당자들이 퇴사와 인사이동 등으로 자리를 옮기자 논의조차 중단됐다.
이 때문에 정작 발효가 되는 6월 30일부터 국내에서 어떠한 상황이 벌어질지 예측조차 하기 힘든 상태다. 최악의 상황에서는 준비 없는 국내 영업점에서 다국적 카드회사들의 카드 승인이 거부될 수도 있다.
금융보안연구원의 한 관계자는 “작년까지는 다국적 카드회사를 중심으로 국내 영업점이 어떤 준비를 해야 할 것인지 논의하다 지금은 논의가 중단되다시피 했다”며 “다국적 카드회사들이 7월까지 적용을 안 하게 되면 국내 쇼핑몰이나 카드사에 어떤 페널티를 주겠다는 규격이 나와야 하지만 이를 주도하는 회사나 기관이 없는 상태”라고 말했다.
이에 대해 국내 카드회사는 “국제적으로 강력하게 제재를 가하고 있는 조치인만큼 일단 7월부터는 영업점 관리를 해야 할 것”이라고 밝혀, 어떤 준비를 해야 할지 모르는 업계의 혼란을 더욱 부추기고 있다.
◇보안 솔루션 기업들 우왕좌왕= 국내 장비·솔루션 기업들은 지난해 말부터 수백억원에 달하는 특수가 열릴 것이라는 기대감에 부풀었다. PCI 위원회는 6월 30일부터 PCI-DSS 표준을 따르지 않으면 승인 거부까지 하겠다고 하면서 강제했기 때문이다.
웹 방화벽 시장만 올해 100억원이 넘을 것이라는 전망이 쏟아졌으며, 여기에 관련 무선랜 등 관련 장비를 갖춰야 할 것으로 전망한 네트워크 장비 업체들의 준비 또한 발빠르게 진행됐다. 하지만 아직까지 관련 발주는 거의 나오지 않았다. 국내 카드회사들은 지침에 따라 7월부터 영업점을 철저하게 관리하겠다고 밝히고 있지만, 명확한 기준이 제시되지 않아 사실상 카드회사들도 손을 놓고 있는 상황이다.
PCI-DSS 시장을 겨냥해 웹 방화벽을 준비한 한 기업은 “지난해 말만 해도 시장이 열릴 것으로 기대하고 준비를 많이 했지만, 문의조차 뜸한 상황”이라며 “이렇게 있다 앞으로 어떤 일이 일어날지 알 수 없다”고 말했다.
문보경기자 okmun@