신용카드 결제용 POS 단말기를 해킹하여 신용카드 마그네틱 정보를 빼돌려 이 정보를 이용해 복제카드를 만든 사례가 빈번하게 발생하였습니다. 이 외에도 포스 단말기에서 트래커(Tracker), 덱스터(Dexter), v스키머(vSkimmer, 또는 Vskimm), 알리나(Alina) 등 다양한 악성코드가 카드정보 및 기밀데이터를 갈취하고 있어 보안위협이 증가해왔습니다.
이러한 마그네틱 카드의 불법복제에 따른 사고를 예방함으로써 전자금융거래의 안전성 및 신뢰성을 확보하기 위해, 2004년부터 MS카드를 보안성이 우수한 IC카드로 전환하는 정책을 추진했습니다. 금융당국 및 국회에서는 신용카드 IC거래를 활성화하기 위해 「금융분야 개인정보 유출 종합방지대책」 및 「여신전문금융업법」을 개정하여, 단말기 기술기준 및 등록관리방안 등 단말기 보안강화를 위한 법적 근거 등을 마련하였습니다.
2015년 7월 21일부터 여신전문금융업법이 변경 시행됨에 따라, 여신금융협회에 등록된 밴, 단말기 그리고 보안인증을 통과한 단말기만 설치가 가능하게 되었습니다. 개정된 여전법은 단말기 정보보호의 수준을 금융위(여신협회 위탁)가 정하도록 규정한 만큼 이를 근거로 VAN사 및 단말기 개발 업체가 준수해야 할 보안사항을 정립한 것입니다. ‘신용카드 단말기 정보보호 기술기준’은 다음과 같습니다.
첫째, 신용카드번호, 유효기한, 신용카드 유효성 검증값(CVC,CVV), PIN 유효성 검증값(PVV,PVKI 등) 등 외부 유출 시 신용카드 회원에게 금전적 손실을 발생시킬 수 있는 중요정보를 민감한 신용카드 정보로 규정하여 보호하도록 했습니다. 둘째, 가맹점에서 민감한 신용카드 정보를 통해 거래가 이뤄지는 단말기는 단말기의 형태와 상관없이 의무적으로 기술 기준을 충족시켜야 합니다. 단, 거래 시 민감한 신용카드 정보를 활용하지 않는 단말기 등은 기술 기준을 적용하는 대상에서 제외됩니다. 셋째, IC칩 훼손 등 IC카드 거래가 가능하지 않은 경우에만 MS거래가 허용되고, IC카드 거래가 우선적으로 승인됩니다. 넷째, 정보의 유출을 방지하기 위해 민감한 신용카드 정보는 112비트 이상의 보안강도를 갖는 암호 알고리즘과 암호키 길이에 따라 암호화하도록 하였습니다.
또한 여신금융협회에서는 단말기 기술기준을 통과한 단말기를 등록 및 관리하여 미인증 단말기 유통을 방지하여 신뢰성 및 안정성을 확보하였습니다. 이는 향후 위장가맹점을 적발하고 부정 사용을 방지하는 등의 가맹점 리스크 관리 강화 수단으로도 활용됩니다. 협회는 단말기의 기술기준 적용 여부를 확인한 후 협회 단말기 등록 시스템에 등록합니다. 또한 VAN사는 기술기준에 등록된 단말기 설치를 의무적으로 해야 하며, 카드사는 신규가맹점 계약 시 등록 단말기 설치 여부를 확인해야 합니다. 신용카드 단말기를 신규로 설치하시거나 교체하는 가맹주님은 해당 VAN사나 VAN대리점에 문의하거나 여신협회 홈페이지 (www.crefia.or.kr/) 등을 통해 단말기의 기술기준 충족 및 협회 등록 여부를 확인하고, IC카드 거래방법을 숙지하셔야 합니다. 이를 어기면 VAN사와 가맹점은 5천만 원 이하의 과징금이 부과된다. 다만, IC카드 거래의 유도를 위해 해당 법 시행 이전에 가맹주님이 사업장에 설치하여 카드거래가 이뤄지고 있는 단말기는 3년 동안의 유예기간이 부여됩니다.
이번 IC카드 우선 승인 적용, 신용카드 단말기 등록제 시행으로 고객 및 가맹점의 정보를 보호할 수 있고 신용카드 결제의 안정성 및 신뢰성이 강화될 것으로 기대됩니다. 가맹주님은 본인 및 고객의 소중한 개인정보 보호를 위해 IC보안인증이 완료된 포스단말기 설치와 안전한 IC카드 결제에 적극적으로 협조하여 주시기 부탁드립니다.
신용카드 결제용 POS 단말기를 해킹하여 신용카드 마그네틱 정보를 빼돌려 이 정보를 이용해 복제카드를 만든 사례가 빈번하게 발생하였습니다. 이 외에도 포스 단말기에서 트래커(Tracker), 덱스터(Dexter), v스키머(vSkimmer, 또는 Vskimm), 알리나(Alina) 등 다양한 악성코드가 카드정보 및 기밀데이터를 갈취하고 있어 보안위협이 증가해왔습니다.
이러한 마그네틱 카드의 불법복제에 따른 사고를 예방함으로써 전자금융거래의 안전성 및 신뢰성을 확보하기 위해, 2004년부터 MS카드를 보안성이 우수한 IC카드로 전환하는 정책을 추진했습니다. 금융당국 및 국회에서는 신용카드 IC거래를 활성화하기 위해 「금융분야 개인정보 유출 종합방지대책」 및 「여신전문금융업법」을 개정하여, 단말기 기술기준 및 등록관리방안 등 단말기 보안강화를 위한 법적 근거 등을 마련하였습니다.
2015년 7월 21일부터 여신전문금융업법이 변경 시행됨에 따라, 여신금융협회에 등록된 밴, 단말기 그리고 보안인증을 통과한 단말기만 설치가 가능하게 되었습니다. 개정된 여전법은 단말기 정보보호의 수준을 금융위(여신협회 위탁)가 정하도록 규정한 만큼 이를 근거로 VAN사 및 단말기 개발 업체가 준수해야 할 보안사항을 정립한 것입니다. ‘신용카드 단말기 정보보호 기술기준’은 다음과 같습니다.
첫째, 신용카드번호, 유효기한, 신용카드 유효성 검증값(CVC,CVV), PIN 유효성 검증값(PVV,PVKI 등) 등 외부 유출 시 신용카드 회원에게 금전적 손실을 발생시킬 수 있는 중요정보를 민감한 신용카드 정보로 규정하여 보호하도록 했습니다. 둘째, 가맹점에서 민감한 신용카드 정보를 통해 거래가 이뤄지는 단말기는 단말기의 형태와 상관없이 의무적으로 기술 기준을 충족시켜야 합니다. 단, 거래 시 민감한 신용카드 정보를 활용하지 않는 단말기 등은 기술 기준을 적용하는 대상에서 제외됩니다. 셋째, IC칩 훼손 등 IC카드 거래가 가능하지 않은 경우에만 MS거래가 허용되고, IC카드 거래가 우선적으로 승인됩니다. 넷째, 정보의 유출을 방지하기 위해 민감한 신용카드 정보는 112비트 이상의 보안강도를 갖는 암호 알고리즘과 암호키 길이에 따라 암호화하도록 하였습니다.
또한 여신금융협회에서는 단말기 기술기준을 통과한 단말기를 등록 및 관리하여 미인증 단말기 유통을 방지하여 신뢰성 및 안정성을 확보하였습니다. 이는 향후 위장가맹점을 적발하고 부정 사용을 방지하는 등의 가맹점 리스크 관리 강화 수단으로도 활용됩니다. 협회는 단말기의 기술기준 적용 여부를 확인한 후 협회 단말기 등록 시스템에 등록합니다. 또한 VAN사는 기술기준에 등록된 단말기 설치를 의무적으로 해야 하며, 카드사는 신규가맹점 계약 시 등록 단말기 설치 여부를 확인해야 합니다. 신용카드 단말기를 신규로 설치하시거나 교체하는 가맹주님은 해당 VAN사나 VAN대리점에 문의하거나 여신협회 홈페이지 (www.crefia.or.kr/) 등을 통해 단말기의 기술기준 충족 및 협회 등록 여부를 확인하고, IC카드 거래방법을 숙지하셔야 합니다. 이를 어기면 VAN사와 가맹점은 5천만 원 이하의 과징금이 부과된다. 다만, IC카드 거래의 유도를 위해 해당 법 시행 이전에 가맹주님이 사업장에 설치하여 카드거래가 이뤄지고 있는 단말기는 3년 동안의 유예기간이 부여됩니다.
이번 IC카드 우선 승인 적용, 신용카드 단말기 등록제 시행으로 고객 및 가맹점의 정보를 보호할 수 있고 신용카드 결제의 안정성 및 신뢰성이 강화될 것으로 기대됩니다. 가맹주님은 본인 및 고객의 소중한 개인정보 보호를 위해 IC보안인증이 완료된 포스단말기 설치와 안전한 IC카드 결제에 적극적으로 협조하여 주시기 부탁드립니다.