국제카드사인 미국의 비자(VISA)카드가 카드사, 밴(VAN)사, 결제대행(PG)사들에 글로벌 보안인증을 받지 않으면 매달 1만달러(약 1200만원) 벌금을 부과할 방침을 통보해 논란이 일고 있다.
카드사들은 세계 1위 비자카드가 강하게 요구함에 따라 국내 카드사 보안성이 뒤떨어지지 않는다면서도 대부분 인증 도입을 준비하고 있다.
그러나 매출 규모에 비해 상대적으로 비용 부담이 큰 밴사와 PG사들은 이러한 비자카드의 요구에 반발하고 있다.
21일 카드업계에 따르면 지난 16일 비자카드는 해외 매입사인 카드사와 밴사, PG사를을 모아 글로벌 보안인증 시스템인 PCI DSS(Payment Card Industry Data Security Standard)를 도입할 것을 요구했다.
PCI DSS란, 비자와 마스터카드, 아메리칸 익스프레스 등 국제 신용카드 회사가 함께 만든 보안 인증 기준으로, 소비자의 신용카드 정보보호, 신원 도용 및 사기방지, 글로벌 결제시스템을 위한 데이터 보안 강화를 목적으로 만든, 국제적으로 인정받는 데이터 보안 표준이다. 해외에서는 은행, 카드사들이 PCI DSS 기준에 따라 보안 감사를 받아 매해 인증을 받고 있다.
비자카드가 이번에 PCI DSS 인증을 요구한 것은 국내에서 결제하는 해외카드 결제로, 비자나 마스터 등 해외 결제망을 사용할 경우에 해당된다.
비자카드 관계자는 "그동안 한국을 제외한 해외의 카드사나 은행들은 이미 PCI DSS 기준을 준수해 인증받고 있었다"며 "한국의 카드사 등에도 PCI DSS 인증을 받을 것을 꾸준히 권고했지만 지켜지지 않아 이러한 조치를 내린 것"이라고 밝혔다.
비자카드가 PCI DSS 인증을 요구하면서 벌금을 예고하는 등 초강수를 둔 것에 대해 카드사, 밴사 및 PG사의 반응에 온도 차가 있었다.
우선 카드사들 대부분은 비자카드의 이러한 요구에 이미 PCI DSS 인증을 받기 위해 검토 중이거나 준비하고 있다.
카드업계 관계자는 "대부분의 카드사들이 현재 PCI DSS 도입을 검토하고 있는 상황"이라며 "국내 카드사의 보안성이 뒤떨어지지는 않지만 전 세계 가장 많은 가맹점을 보유한 세계 1위인 비자카드가 요구하기 때문에 카드사들은 도입을 검토할 수밖에 없다"고 밝혔다.
밴사와 PG사는 이미 회사 보안을 위해 자체적으로 인증을 받은 곳도 있지만, 새롭게 준비해야 하는 곳도 많다. 이 경우 PCI DSS 기준을 맞추기 위해 드는 비용만 2억~3억원이며, 매년 인증을 다시 받는 데도 5000만~1억원이 드는 것으로 알려졌다.
밴업계 관계자는 "회사별로 필요에 의해 PCI DSS 인증을 받을 수는 있지만, 벌금을 부과하겠다는 둥 강제적으로 강요하는 방식은 옳지 않다"고 말했다.
설령 밴사나 PG사가 PCI DSS를 인증받지 않더라도 일차적인 벌금을 부과하는 부담은 모두 카드사에 돌아갈 것으로 보인다. 비자카드가 해외 매입 계약을 맺은 대상은 매입사인 카드사로, 밴사나 PG사와는 계약을 맺지 않았기 때문이다.
다만, 비자카드로부터 벌금을 부과받은 카드사들이 밴사와 PG사에 이러한 부담을 넘길 가능성이 크다.
한 PG사 관계자는 "비자카드는 밴사, PG사와 직접 계약을 맺은 게 아니기 때문에 카드사에 벌금을 물릴 수밖에 없다"며 "향후 인증을 받지 않아 매달 카드사가 벌금을 물게 되는 상황이 온다면 결국 이 부담을 밴사와 PG사에 전가될 것"이라고 설명했다.
한편, 국내 전업계 카드사들은 10월 비자카드가 국내 카드 소비자의 해외 이용 수수료를 일방적으로 인상한 것에 항의하는 공식 서한을 이번주 내로 보낼 예정이다. 앞서 지난달 말 비자카드는 국내 카드 소비자의 해외이용 수수료를 1.0%에서 1.1%로 10% 인상하는 내용을 국내 카드사들에 통보한 바 있다.
유은정 기자 viayou@segye.com
