17일 금융당국과 신용카드 결제 단말기 IC전환 태스크포스(TF)팀에 따르면, 카드리더기→POS단말기→가맹점 서버 등 카드 정보가 전송되는 모든 구간에 걸쳐 ‘복호화’를 원천 금지하는 표준 방식을 사실상 확정했다. 카드 결제 정보의 모든 영역에 암호화 조치를 의무화하겠다는 것이다.
POS 보안 표준방식을 놓고 ‘구간별 암호화’만 하자는 주장도 있었지만, POS를 통한 정보 유출 사고가 잇따라 터지면서 엔드투엔드(end-to-end) 방식의 ‘전체 암호화’를 의무화하는 데 합의했다.
결제의 가장 첫 단계인 카드리더기에서부터 카드 정보가 의무적으로 암호화된다. POS단말기가 해킹되거나 가맹점 서버가 뚫려도 유출된 정보는 암호화돼 있기 때문에 쓸모없는 데이터가 된다.
또 카드정보를 암호화 시킨 키를 밴(VAN)사만 보유할 수 있어 가맹점 등에서 데이터를 보관, 수집할 수 없다.
기존 가맹점 결제단말기는 별도 보안체계가 없고, 일부 결제 구간에서만 암호화하는 방식을 취해왔다. 이 때문에 POS는 물론이고 가맹점 서버에 있는 카드 및 결제정보 데이터가 손쉽게 해킹당해 수백억원이 넘는 위변조 피해가 발생하곤 했다.
IC전환 TF 관계자는 “카드 정보 유출은 그동안 결제 구간별로 복호화가 가능해 보안이 상당히 취약했다”며 “문제는 구간별로 전체 암호화에 소요되는 추가 재원 마련”이라고 말했다.
모든 데이터를 전송 구간별로 암호화하기 위해서는 별도 프로그램을 개발해야 하고, IC결제 단말기 개발에도 이 요구사항을 반영해야 한다.
금융당국은 모든 카드 정보를 복호화 금지하는 방안을 ‘POS 보안 표준’에 의무사항으로 올리는 방안을 우선 추진하고, 암호화에 소요되는 투자비는 카드사와 밴사간 협의를 통해 마련하겠다는 입장이다. 아울러 카드정보를 풀 수 있는 복호화 권리를 밴사만 가질 수 있기 때문에, 밴사에 대한 철저한 보안관리 체계도 마련할 방침이다.
김영기 금융감독원 여전감독국장은 “전체 암호화를 통해 POS결제단말기의 보안 취약점을 상당부분 해소할 것”이라며 “TF에서 협의를 마무리하고 빠른 시일 내에 보안 표준안을 확정, 발표할 예정”이라고 밝혔다.
길재식기자 osolgil@etnews.com
[Copyright © 전자신문. 무단전재-재배포금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
