금감원, 카드결제 보안지침 ‘모호’

공인인증 활용 가이드 제시 안해



금융감독원이 최근 신용카드 회사들에게 요구한 비대면 결제시 보완책 마련에 대한 기준과 내용이 모호해 빈축을 사고 있다.
7일 금융계에 따르면 금감원 비은행검사국은 지난달초 ‘비대면방식 신용카드 업무 취급시 불법사용 방지방안 이행 촉구’라는 공문을 카드사에 보냈다.

금감원은 이 공문에서 전자상거래 등 비대면 방식 카드 사용이 증가하고 있지만 카드사의 관련 시스템이 미비해 타인의 카드 정보를 불법적으로 사용하는 민원이 늘어나고 있다며 ‘금융기관 전자금융업무 감독규정’에 준한 시스템 구축 추진 계획을 9월말까지 제출토록 했다.

모든 비대면 신용카드 거래승인시 카드번호, 비밀번호, 주민등록번호, 정당여부에 대한 확인 의무화는 즉시 시행하고 내년 1월 1일부터는 ‘금융기관 전자금융업무 감독규정’에서 정하고 있는 제반 기준을 준수하라고 명시했다.

내년에 시행해야 할 세부 사항으로는 ▲인터넷 거래 이용 가능자를 사전에 카드사로부터 인증서를 교부받은 자로 제한한다 ▲상거래와 신용카드 관련정보를 이원화해 신용카드 관련정보는 회원과 카드사간 교류만 가능하도록 한다 등 두가지 내용을 담았다.

카드사들은 ‘인터넷거래 이용 가능자’에 대한 정의가 구체적이지 않아 시스템 구축 요건을 정하는데 혼란을 겪었다.
해외 거래에 대한 지침을 정하지 않아 아마존 등 해외 전자상거래 사이트에서의 카드정보 불법 이용 범죄에는 사실상 무방비로 노출돼 있다는 것도 문제다. 인증서를 교부받아야 인터넷 거래를 이용할 수 있다고 하면서 은행, 증권 등과의 상호 인증 활용 방안 마련에 대해서는 밝히지 않았다.

인증서를 활용하고 있는 카드사가 하나도 없는 상황에서 구체적인 도입 기준이나 요건은 내놓지 않고 무조건 내년부터 인터넷 거래 고객들이 이를 교부받게 하라고 요구하는 것도 무리한 처사라는 지적이다.

각종 비밀번호와 암호를 모두 입력하고 인증서를 교부받도록 하면 전자상거래시 카드결제 사용 고객이 감소할 것이라는 우려도 카드사들의 불만을 부추기고 있다.

한 카드사 관계자는 “카드사들이 각자 해석한 기준에 따라 시스템 보완 방안을 작성해 금감원에 제출했다”며 “업계 일부에서는 얼마전 일어난 대우증권 사이버거래 사고 때문에 금감원이 면피용으로 이런 공문을 보낸 것이 아니냐는 추측도 나오고 있다”고 말했다.
이에 대해 금감원 관계자는 “명세표에 나오는 다른 사람의 카드번호만 가지고도 거래할 수 있는 전자상거래 사이트가 있었다”며 “이번 조치는 이런 불법거래를 막기 위한 것일 뿐”이라고 설명했다.



김미선 기자 una@fntimes.com