신용카드 위·변조와 도용 등에 따른 보안문제는 신용카드 사용이 늘어남에 따라 동반되는 취약 부분 중 하나이다. 보안기술이 진화함에 따라 관련된 카드사고의 기술도 진화하기 때문인데 가끔 주변에서 신용카드와 관련된 사기범죄 소식을 듣게 된다.

사용하지 않은 결제 내역이 포함되어 있거나, 특히 방문한 적이 없는 지역이나 장소에서 샤핑한 것이 결제되는 등 신용카드 부정사용에 대한 범죄의 수법도 날로 지능화되어 가고 있다. 이러한 정보유출과 관련된 사고를 방지하기 위해 카드사들은 가맹점들의 신용정보 보호에 대한 의무규정을 강화하고 있으며, 비자 카드사는 모든 전자결제 부분에 새롭게 적용되는 보안규정인 TDES(Triple Data Encryption Standard)를 지난해 이미 발표하였다.

보통 우리가 데빗카드를 사용하여 물건을 구입하거나 은행에서 현금을 인출할 때 비밀번호 입력장치인 PED(Pin Entry Devices), 또는 현금 인출기에서 직접 비밀번호를 입력하게 된다. 이에 카드 소유자의 비밀번호를 통해 거래를 하는 모든 가맹점들은 반드시 PCI DSS의 비밀번호 보안요구 사항을 준수하여야 한다.

PCI DSS 비밀번호 요구조건은 PED 보안 요구조건, PIN과 PED의 암호화 요구조건, 비자 보안 요구조건을 포함한다. PED 장치는 유효기간이 지나게 되면 구입할 수 없고 인증 받지 않은 것은 사용할 수 없게 되며 이에 관한 보안은 PCI SSC(PCI Security Standard Council)에서 전 세계적으로 관리하고 있다.

또한 비자에서는 PCI PED 보안 요구사항을 모두 적용하여 인증 받은 PED 장치 목록 및 이전의 PED 장치에 대한 정보를 계속적으로 업로드하고 있으며 모든 가맹점들이 비밀번호를 보호하기 위해 비자에서 인증한 PED 장치만을 사용할 것을 요구하고 있다.

특히 일반 데빗카드 결제 때 사용하는 핀 패드와 ATM 거래는 데이터를 암호화 하는 TDES 기준을 적용해야 하는데 이는 기존의 ‘Single Data Encryption’보다 세배 더 강화된 보안 프로그램으로 비밀번호를 더욱 안전하게 관리할 수 있으며 이를 통해 데빗카드 결제 고객들을 전자 결제 관련 범죄로부터 보호받을 수 있다.

TDES는 국제적으로 적용되는 기준이며 지난 2010년 7월1일까지 모든 비밀번호를 입력하는 PED 장치는 반드시 TDES를 적용해야만 했다. 하지만 6개월이 지난 지금도 규정에 맞지 않은 핀 패드를 사용하는 가맹점이 있다. 현재 비자는 모든 가맹점의 TDES 준수 여부에 대해 이미 파악하고 있으므로 비자의 핀 패드 보안기준 벌금 적용은 시간문제이다.

따라서 카드 가맹점 업주는 현재 사용하는 비밀번호 입력장치가 비밀번호와
PED 보안기준에 적합한 장비인지 반드시 확인해야 하며, 이를 지키지 않을 경우 카드사 별 최대 50만달러까지 벌금이 부과될 수 있음을 명심해야 한다. (213)365-1122

해당 프로세싱 회사나 뱅크카드 서비스에 문의하면 현재의 PED 장비가 인증 받은 제품인지 확인이 가능하다.
(213)365-1122


패트릭 홍 <뱅크카드 서비스>