카드정보, 반만 저장한다고?
규제밖 카카오페이 '보안 사각'

[금융인사이드] 카카오페이가 PG(결제대행)사들에 대한 규제에서 벗어나 소비자 피해가 우려된다. 

27일 금융권에 따르면 이달 여신금융협회는 'PG사의 카드정보 저장을 위한 보안 및 재무적 기준'을 발표했다. 이 기준은 카카오페이 출범 초기 잇따라 지적된 '보안성'과 사고 '책임소재' 명확화를 위해 마련됐다. 

이번 발표에서 여신협회는 '보안성'과 '재정능력' 등 세부 기준을 충족한 PG사만이 카드번호와 유효기간을 저장할 수 있도록 했다. 외부해킹 등 예기치 못한 개인정보 유출을 막기 위함이다. 문제는 저장방식을 명확히하지 않았다는 점이다. 

PG사는 카드정보를 모두 저장하는 구조와 일부만 저장하는 구조로 나뉜다. 카카오페이는 후자에 속한다.

카카오페이에 결제 솔루션(엠페이)을 제공하는 LG CNS 측은 카드번호, 유효기간 등 카드정보를 모두 저장하지 않고 반은 본인 스마트폰으로 분리해 저장하기에 이 기준을 반드시 충족할 필요가 없다는 입장이다.

LG CNS 관계자는 "여신협회에서 내놓은 적격 PG사 기준은 'PG사가 카드정보를 저장한다'는 것을 전제로 하고 있다"며 "우리는 분리저장 방식으로 카드 정보의 반만 저장하고 모두 암호화해 보완상 문제가 없다"고 설명했다.

이에 따라 PG업계는 카카오페이처럼 카드정보를 반만 저장하는 경우 기준이 모호해 "이번 기준은 반쪽짜리"라고 평가하고 있다. 카카오페이와 같은 업체의 경우 보안사고 '사각지대'에 놓일 수 있어서다. 

이 경우 카카오페이 출범 초기부터 논란이 된 개인정보 유출, 부정사용 등 전자금융 사고 발생 시 책임소재가 문제가 발생할 수 있다. 

PG업계 한 관계자는 "카드정보 중 일부만 저장하는 경우 적격 PG사 기준이 모호해 간편결제 시장에 혼란만 가중된다"고 비판했다.

또 다른 PG업계 관계자는 "카카오페이처럼 카드정보를 나눠 저장하는 PG사들이 많다"며 "이들 PG사는 전자금융 사고의 사각지대에 놓여 있다"고 지적했다.

이에 대해 여신협회 관계자는 "협회는 카드정보 저장이 가능한 PG사에 대한 기준을 만든 것이고, 기준이 모호한 부분은 앞으로 세부적인 운영 규정을 만들어 개선할 방침"이라고 밝혔다.