오는 7월부터 우리나라 600여 개 BSP 여행사들은 PCI DSS에 등록해야만 신용카드 발권 업무가 가능하도록 제도가 변경된다.

 

지난 3월 PCI DSS 미준수 시 여행사들에 신용카드거래제한 등의 제재를 가할 수 있다는 IATA 결의안이 발효된 만큼 여행사들이 PCI DSS에 대해 발 빠르게 적응해야 할 것으로 보인다. 요즘 신용카드 정보 유출 같은 신용카드 거래 사고가 빈번하게 발생함에 따라 미연에 사고를 방지하기 위함이다.

 

PCI DSS(Payment Card Industry - Data Security Standard)는 단어 그대로 풀이하자면 신용카드 데이터보안 표준이라는 의미로 카드 소유자의 개인정보, 거래 정보를 안전하게 보호하기 위해 카드 결제의 모든 과정에 필요한 보안 요구 사항을 규정한 국제 데이터 보안 표준이다. 카드사의 보안 기준을 강화하고 보안 정책을 표준화하기 위해 대형 카드사들이 PCI 위원회를 구성해 운영하고 있다.

 

전 세계 BSP 여행사들은 카드 발권 업무 시 PCI DSS를 인증받고 있으며 한국도 이러한 세계적인 흐름에 동참하고 있다. 이미 선진국에 비해 늦었다는 의견도 있으나 막상 PCI DSS에 인증해야하는 여행사들 입장에서는 혼란스럽다.
인증을 위해서는 6개월마다 가입 멤버십 비용을 지불하기 때문에 여행사는 부담을 느낄 수밖에 없다. 비용도 여행사 시스템의 규모, 신용카드 거래 규모(연간 카드 거래 건수)에 따라 Level 1~4로 나뉘어 레벨별로 다르게 책정되기 때문에 인증 절차를 밟기 전에는 가입 비용을 파악하기도 힘들다.

 

레벨 선정은 인증 신청을 한 기업에 한해 IATA 내부에서 승인 적합 여부를 판단한다. 판단 기준은 카드정보유출 사고가 있는지, 카드거래규모가 작성한 질의서와 일치하는지 등이다.

 

PCI DSS 인증받으려면 SAQ(자가질의평가서) 작성 절차를 거쳐야 한다. 이전까지 SAQ는 영어로 돼 있어 한국 여행사들이 등록하기 어려웠다. 하지만 오늘(28일)부터 SAQ 한글 버전 홈페이지가 개설돼 보다 편리하게 등록할 수 있게 됐다. SAQ가 자국어버전으로 출시된 것은 한국이 처음이다.

 

한편, 한글 SAQ 서비스 설명을 위해 지난 24일 IATA 초청 PCI DSS 한글 온라인 SAQ 설명회가 서울 중구 KEB 하나은행 4층 대강당에서 진행됐다. 지난 3월20일 PCI DSS 개괄 설명회에 이어 서비스 시연 및 설명회를 개최하면서 여행사들의 혼란 수습에 나섰다.

 

이번 설명회에는 양무승 KATA 회장과 홍대석 IATA 코리아 지사장이 참여했으며 오경 브로드밴드시큐리티(BBSec) 이사가 회원가입 방법, 세금계산서 발행, 승인 방법, SAQ 보고서 생성 방법에 대한 설명을 진행했다.

 

한글서비스가 지원됨에도 불구하고 SAQ 작성에 어려움을 겪는 여행사는 플래티넘 서비스를 신청해 컨설팅을 받을 수 있다. 컨설팅 비용은 상담 후 별도로 책정된다. 이밖에도 SAQ 작성 상 기타문의사항이 있으면 help@bbsec.co.kr로 메일을 보내면 된다.

 

 

<김기령 기자> glkim@gtn.co.kr