지역별 뉴스를 확인하세요.

강화된 크레딧카드 보안 규정···소규모 한인업소 '속앓이'

복잡한 인증절차·방법 잘 몰라

크레딧카드 보안규정 인증제도(PCI DSS)가 소규모 업소들에도 의무화〈본지 8월13일자 A-3면> 됐다는 소식을 전해지자 한인업주들의 문의가 이어지고 있다.

PCI DSS(Payment Card Industry Data Security Standard)는 지난 2006년 부터 비자 매스터 등 대형 카드 발급업체들이 각 카드 가맹점을 대상으로 실시하고 있는 것으로 지난 4월 부터 대상이 확대됐다.

하지만 많은 업주들이 복잡한 보안규정 인증절차와 방법을 제대로 몰라 애를 먹고 있다.

카드프로세싱 업체들에 따르면 본지 보도 후 문의가 하루 평균 20~30여건에 이르고 있으며 일부 업체는 파트타임 직원까지 고용해 특별 전담팀을 구성해 업소들을 돕고 있다.

우선 관계자들은 이를 위해 ▷업주들은 자신의 업소가 가입돼 있는 카드프로세싱 회사에 문의를 해 각 프로세싱 회사가 선정한 인증보안업체의 웹사이트 주소를 확인할 것 ▷웹사이트에 나와있는 30여 문제 이상의 자가진단서를 다운 받을 것 ▷질문서를 읽은 뒤 해당 질문들에 자격조건을 갖추고 있으면 'Yes'를 하고 아닐 경우 해당사항을 시정한 뒤 모든 질문에 반드시 'Yes'를 기입하고 인터넷이나 명시된 주소에 우편을 통해 접수하면 된다.

또 업주들은 일단 PCI안전기준위원회(PSSC) 자체 웹사이트(www.pcisecuritystandards.org)에서 한국어로 번역된 샘플 자가진단서를 통해 문항들을 미리 살펴볼 수 있다.

카드프로세싱 업체인 CDS의 오성진 이사는 "문항을 보며 자신의 업소가 해당조건에 자격이 되는지 판단하는 기준도 상당히 애매하고 과정이 매우 복잡하기 때문에 업주들이 곤란을 겪고 있다"며 "만약 자격조건이 안되는데 'Yes'라고 기입했다가 조사에서 적발되면 큰 문제가 될 수 있다"라고 말했다.

한편 PCI DSS 인증서를 받게되면 업소는 고객이 신용카드 정보 유출 피해를 입더라도 각 카드 프로세싱 업체 규정에 따라 최대 10만 달러까지 보상 받을 수 있다.

궁금증 풀이 "가입안했다 벌금폭탄 맞을 수도"

-확대 대상업소는.

"지난 4월 확대된 보안인증규정 의무화는 '레벨 4'에 해당하는 업체를 말한다. 이는 연간 카드 거래가 온라인에서 2만건 이하거나 오프라인에서 100만건 이하인 업소들로 아마 대부분의 한인 업소들이 여기에 속하는 것으로 알고 있다."

-만약 보안인증 의무규정을 지키지 않으면.

"일단 매달 20~50달러의 벌금을 내는 것은 문제가 아니다. 그보다 더 큰 문제는 만약 신용카드 정보 유출 사고가 발생하면 업주들은 수만 달러의 벌금이나 피해보상 등의 책임을 질 수 있다는 것이다."

-업주들이 가장 먼저 취해야 할 조치는.

"우선 각 업소들은 자신들이 가입돼 있는 카드프로세싱 업체에 전화를 걸어 보안인증의무화 실시가 언제부터 시작되는지를 알아봐야 한다. 이는 지난 4월부터 의무화가 되긴 했지만 시행날짜는 각 카드프로세싱 업체들에게 자율적으로 맡겨졌기 때문이다. 지금 다른 프로세싱 업체들도 서둘러 이미 시작했거나 이를 준비중인 것으로 알고 있다."

-왜 업주들이 혼란을 겪고 있나.

"일단 한인 카드프로세싱 업체에 가입돼 있지 않은 업주의 경우 복잡한 영어서류에 대한 질문이 불편하거나 컴퓨터를 잘 다루지 못하면 그 과정이 상당히 불편할 수 있기 때문이다.

또 자가진단서에 'Yes'를 하는 기준을 혼자서 판단하기에는 애매한 부분도 많다. 상황이 이렇다보니 우리도 전담팀을 구성해 일일이 업소를 돌며 교육도 시켜주고 이를 돕고 있다."

〈도움말=김용대 본부장 CDS LA지역 >

장열 기자