지난 3월 이행 계획안을 확정해 4개월간 진행해온 신용카드 데이터보안 표준(PCI DSS, Payment Card Industry-Data Security Standard)이 우여곡절 끝에 지난 18일부로 인증을 마감했다. 절차는 종료됐지만 여행사들은 홀가분하다는 입장보다 불편함을 내비치고 있다. 일부 여행사는 대행업체까지 써가며 인증을 진행한 것으로 밝혀져 논란이 예상된다.

 

PCI DSS는 이미 전 세계적으로 시행되고 있던 제도였으나 우리나라에 관련 내용이 등장한 것은 지난 3월이었다. PCI DSS 미준수 시 여행사들에 신용카드거래제한 등의 제재를 가할 수 있다는 국제항공운송협회(IATA)의 결의안이 발효되면서 IATA와 한국여행업협회(KATA)가 PCI DSS 알리기에 나선 것이다. 다만 제도 공표부터 인증 마감까지의 기간이 4개월에 불과했다는 점이 한계로 지적됐다.

 

PCI DSS 인증 대상에 해당하는 전국 600여 개 BSP 여행사는 IATA의 갑작스러운 통보에 혼란을 보였다. 이에 따라 여행업계의 불만이 고조되자 KATA가 나서 인증 마감일을 7월 말로 연기하는 등 급한 불을 끄고 다수의 설명회를 진행했다.

 

같은 맥락으로 KATA는 IATA와 협력해 지난 3월과 5월 PCI DSS 설명회를 두 차례 진행한 바 있으며 TOPAS에서도 서울과 부산을 오가며 여섯 차례 SAQ(자가질의평가서) 작성 설명회를 진행했다.

 

하지만 총 8번의 설명회가 진행됐음에도 불구하고 여행사들은 여전히 혼란스럽다는 입장을 내비쳤다. 마감일이 임박한 7월에도 PCI DSS를 정확히 이해하지 못한 여행사들이 대부분이었다. IT 전문가나 회계 담당 직원이 아니고서는 인증 평가서를 작성하기 쉽지 않았다는 것이 여행사들의 평가다.

 

평가서 작성에 어려움을 겪었다던 A 여행사 회계 담당자는 “신용카드 발권이 전체 발권의 70%를 차지하기 때문에 인증받지 않으면 훗날 제재가 가해질까봐 두려웠다”며 “막상 인증서를 제출하긴 했지만 정확히 인지하지 못한 상태에서 부랴부랴 제출해 마음이 편하진 않다”고 토로했다.

 

이러한 가운데 여행사들이 어려움을 호소하고 있다는 점을 악용해 평가서를 대신 작성해주는 대행업체까지 등장했다. 대행업체들은 여행사 발권 규모에 따라 적게는 70만 원부터 많게는 300만 원까지 대행 비용을 요구한 것으로 알려졌다.

 

PCI DSS 인증 비용은 신용카드 발권 금액 규모에 따라 여행사마다 인증 비용이 다르게 책정되는데 최소 비용이 30만 원이다. 대행업체의 도움을 받은 B 여행사는 실제 인증 비용 30만 원에 웃돈을 얹어 70만 원을 지불했다. 신용카드 거래량이 B 여행사보다 많은 여행사는 300만 원을 대행업체에 지불했다고도 알려져 PCI DSS 인증 과정에 허점이 있었음을 보여준다.

 

C 여행사 이사는 “IATA에게 여행사는 언제나 ‘을’”이라며 “IATA 측에서 통보해오면 여행사 입장에서는 따를 수밖에 없다”고 털어놨다.

 

PCI DSS가 무엇인지, 왜 인증을 받아야 하는지, 여행사에 도움이 되는지 등의 근본적인 물음에 IATA가 뚜렷한 정보를 제공하지 않았다는 점이 문제점으로 지적된다. 또 다른 원인으로 지목되는 것은 IATA 한국지사의 운영방식이다. 서비스 도입 단계라는 점을 감안해도 운영 상 미숙한 부분이 많았다는 것이다. 지난 4개월 동안 서비스 인증 등록을 단계별로 진행하거나 PCI DSS 관련 정보를 여행사에 더 자세히 공지하는 등의 절차를 마련했더라면 여행사들의 불만을 잠재울 수 있었으리라는 아쉬움이 남는다.

 

한편, PCI DSS 인증 마감 후 IATA와 KATA는 여행사들을 초청해 PCI DSS 서비스 도입 과정에서의 문제점을 듣는 자리를 마련했다. 홍사운 KATA 국장은 “PCI DSS는 전 세계적인 추세지만 다들 어려워하는 것도 공감한다”며 “현재 상황을 분석해 문제점을 개선하면서 단계적으로 서비스를 발전시켜나가는 방향으로 나아갈 것”이라고 말했다.

 

<김기령 기자> glkim@gtn.co.kr