간편결제서비스 '적격PG사 세부기준' 1일 발표, 배상보험 의무 가입 등 포함
앞으로 회원의 카드정보를 직접 수집하고 저장하려는 PG사(전자지급결제대행업체)는 외국의 페이팔이나 알리페이처럼 까다로운 'PCI DSS'(이하 PCI) 보안표준을 받아야 한다. 또 보안 사고에 대비해 일정 규모 이상의 배상보험에 의무 가입해야 한다.
30일 금융권에 따르면 여신금융협회와 카드업계 실무진 등으로 구성된 태스크포스(TF)는 전날 오전 금융위원회에서 회의를 열고 이 같은 내용을 골자로 한 '적격 PG사 세부 기준'을 마련, 이날 최종안을 발표할 예정이다.
여신금융협회 관계자는 "주요 기준에 대해 카드 및 PG업계 간 의견 수렴을 마쳤다"며 "세부 사항에 대해 막바지 조율을 거친 후 1일 최종안을 발표할 예정"이라고 말했다.
세부기준에는 보안성, 재무능력 등의 영역에서 PG사를 검증하기 위한 조건들이 포함된다. 우선 해외의 페이팔이나 알리페이처럼 PCI의 데이터보안표준(DSS)을 획득해야 한다.
PCI는 비자·마스타카드 등 대형 글로벌 카드사가 고객의 신용카드 정보보호를 위해 만든 보안표준으로 가맹점 등이 신용카드 정보를 불필요하게 저장하지 못하도록 규정돼 있다. 페이팔과 알리페이 모두 PCI 보안표준을 준수한다.
여신협회는 당초 PCI 보안표준과 유사한 'K-보안표준'(가칭)을 만들어 적격 PG사가 의무적으로 준수토록 할 계획이었으나 개발과 인증에 시간이 오래 걸리는 점을 감안해 외국과 같이 PCI 인증을 받기로 했다.
간편결제 서비스의 빠른 시행을 위해 일단 PG사들이 미래창조과학부가 주관하는 정보보호 관리체계(ISMS) 인증을 받으면 PCI 표준을 획득한 것으로 간주해 주고, 향후 PCI 인증으로 전환토록 할 예정이다. 현재KG이니시스(11,450원 ▼20 -0.17%)등 일부 PG사는 ISMS 인증을 획득한 상태다.
또 적격PG사는 개인정보 유출 등 보안 사고에 대비해 배상보험 가입을 의무화하기로 했다. 재무적 기준 외에도 △가입 회원수 △소송제기 확률 △배상 예상금액 등을 계산해 보험 규모를 산정하고, 가입을 의무화할 방침이다.
재무능력을 가늠하는 자기자본은 초안대로 400억원 이상을 충족해야 한다. 단 간편결제 서비스의 운영 기간은 세부 기준에서 빠졌다. 카드업계는 일정 기간 상용화된 간편결제 서비스를 운영한 경험이 있는지 여부를 세부 기준에 포함하는 안을 두고 고심했으나 최종안에서는 제외했다. 이에 따라 '카카오페이' 서비스에 결제모듈을 제공하는 LG CNS는 짧은 서비스 운영 기간에도 불구하고 다른 조건을 충족하면 적격 PG사에 선정될 수 있는 길이 열렸다.
독자들의 PICK!
금융권 한 관계자는 "간편결제 시스템 구축과 보안 강화를 위한 투자는 비용 부담이 상당하기 때문에 상위 업체가 아니면 감당하기 어려울 것"이라며 "자체 PG서비스를 제공하는 대형 오픈마켓과 상위권 PG사를 중심으로 대형사 3~4곳이 유력하다"고 말했다.