신용카드가 결제되는 단말기를 통한 개인정보 유출 사고가 자주 발생하고 있다. 단말기 해킹과 신용카드의 부정사용으로 인해 가맹점들의 피해와 카드 소유주의 피해가 속출하여 카드결제와 관련된 보안 시스템의 운영이 의무화 되고 있다. 더불어 단말기의 보안 강화도 중요한 사회 이슈가 되고 있는 실정이다.

지금까지 5회에 걸쳐 카드결제 보안과 관련된 정보 보안 시스템에 대해서 설명하였고 이번 칼럼에서는 정보 유출사고 예방을 위한 주의사항에 대해 알아보기로 한다. 가맹점은 신용카드 거래의 방법에 따라 각기 다른 주의가 필요하며 그 내용을 3가지로 요약하면 다음과 같다.

첫째, 만약 가맹점에서 전화선 연결 단말기를 사용하는 경우에는 결제 영수증에 고객의 신용카드 번호나 카드 유효기간 등 중요 인증 정보가 표시되어서는 안 된다. 이는 카드 프로세싱 회사에 의뢰하여 카드번호의 마지막 4자리 숫자만 영수증에 표기되도록 지정해 두어야 한다.

또한 데빗카드를 취급하는 가맹점이라면 ‘Triple DES’ 방식 이상의 핀 패드 보안 프로그램을 사용하여 정보를 암호화 하고 저장하여야 한다. 오랜 기간 핀 패드를 소유한 가맹점은 Single DES로 돼 있는 핀 패드를 여전히 사용하고 있는 경우가 많으므로 해당 카드 프로세싱 업체에 연락하여 핀 패드의 내용을 확인해 보는 것도 중요하다. 핀 패드는 반드시 Triple DES로 업데이트 돼 있어야 하며 비용은 해당 프로세싱 업체와 상담하면 된다.

둘째, 인터넷 선을 사용하는 카드 터미널과 무선 터미널 또는 PC를 이용한 프로그램을 사용하는 경우, 방화벽을 반드시 설치하되 방화벽이 필요한 기능에만 적용되어 있는지 확인한다. 또한 인증된 스캐닝 벤더를 통해 적어도 3개월에 한번은 스캐닝을 받아 새로운 문제가 있는지 확인하는 것이 중요하다.

셋째, 인터넷에 연결되어 있는 결제 프로그램을 사용하는 경우 프로그램 제공회사에 문의하여 카드 승인정보 보호 표준규격(PA DSS, Payment Application Data Security Standard)에 인증된 프로그램인지 확인하여야 한다. 또한 직접 인터넷 웹사이트에 접속하여 알아볼 수도 있다. URL은 ‘www. pcisecuritystandards.org/approved_companies_providers/vpa_agreement.php’이다.

만약 결제 프로그램이 PA DSS에 인증된 것이 아니라면 반드시 인증이 확인된 것으로 업그레이드 하여야 한다. 그리고 카드 결제 프로그램을 포함한 모든 시스템에는 반드시 바이러스 백신 프로그램과 악성코드 제거 프로그램을 설치해 두어야 한다. 그리고 이 프로그램들은 가장 최신 정보로 업데이트를 유지하여야 한다.

(213)365-1122


패트릭 홍 <뱅크카드 서비스>