여행사 카드정보 뚫리면 '항공 발권 못한다'
PCI DSS 보안표준 채택 준수해야
추가 경비 발생 발권 제한 등 암초
2018-05-25 18:17:21 , 수정 : 2018-05-25 18:51:33 | 양재필 기자



[티티엘뉴스] 앞으로 여행사들은 고객 신용카드 보안체계를 갖추지 못하면 항공권 발권 등에 제한을 받는다. 국내 여행사 대부분은 '신용카드 데이터 보안 인증(PCI DSS)' 준비가 안 돼 대책마련이 시급한 상황이다.
 

국제항공운송협회(IATA)와 한국여행자협회(KATA), 브로드밴드시큐리티는 최근 640여개 여행사 대상으로 설명회를 열고 PCI DSS 필요성과 방법을 공지한 바 있다. IATA는 지난해 세계 여행사 대상으로 지난 3월 말부터 PCI DSS 준수를 요구하고 있다.


지난 24일에는 KEB하나은행 본점에서 ‘IATA 여행사 PCI DSS Smart SAQ 설명회’가 열렸다. 이 날 설명회에는 BSP(항공발권자격) 여행사 등 업계 및 유관기관 관계자 300여명이 몰려 깊은 관심을 나타냈다.
 



PCI DSS란, 신용카드 회원의 카드정보 및 거래정보를 안전하게 관리하기 위해서 신용카드 결제 전 과정에 걸쳐 관련된 다 모두가 준수해야 하는 신용업계 보안표준을 말한다.


PCI DSS가 등장하기 전에는 신용카드 회사마다 제 각각 다른 보안기준을 요구했기 때문에 일반사업자들은 서로 다른 수많은 기준을 모두 맞추기도 어려웠고 비용도 많이 드는 등 불편했다. 그러한 불편을 해소하기 위해 JCB, 아멕스(American Express), 디스커버(Discover), 마스터카드(MasterCard), 비자(VISA) 등 국제 신용카드 대기업들이 공동으로 위원회를 조직해 'PCI DSS'라는 사실상 표준을 책정했다.


PCI DSS 규격은 전반적인 보안상태 진단 및 심사과정, 어플리케이션 시스템과 네트워크 등에 대한 침투테스트 횟수 및 시기, 부정 로그인 잠금, 클라이언트 PC 방화벽 설치 여부 등 세세한 기준까지 고루 완비했다.


PCI DSS는 개인정보보호법 등 법적 규제가 아닌 민간 표준이다. 과태료 등은 없지만 준수하지 않으면 신용카드 거래 장벽이 된다. IATA는 항공사에 여행사 PCI DSS 준수 여부를 통보한다. 항공사는 이를 근거로 여행사와 거래 유지를 판단한다.


주로 카드사와 PG, VAN만 PCI DSS인증을 받아왔는데 가맹점인 여행사, 체인점, 마트, 호텔까지 준수요구가 확대했다. 국내외 가맹점에서 카드 정보 유출 사고가 급증한 탓이다. 2016년 인터파크를 비롯해 지난해 하나투어, 자유투어, 익스피디아 자회사 등 국내외 여행사에서 정보유출 사고가 발생했다. 카드사나 PG, VAN이 보안을 준수해도 가맹점이 허술하면 정보보호가 이뤄지지 않는다.


PCI DSS는 서비스 프로바이더(Service Provider)와 가맹점(Merchant) 보안 준수 요건을 구분한다. 서비스 프로바이더는 연간 브랜드 카드 거래 건수 30만건 이상이면 레벨1(L1)이다. 인증된 평가 업체(QSAC) 통해 현장 심사를 매년 수행한다. 30만건 이하의 L2는 SAQ(Self-Assessment Questionnaire) 자가질의평가서를 완료한다.


가맹점인 여행사는 연간 600만건 이상 카드 거래 건수가 있으면 L1이다. 인증평가심사기관 통해 현장심사 후 인증을 받는다. 600만건 이하 거래 여행사는 자가질의평가서를 수행하면 된다. 카드데이터 유출사고가 발생한 곳은 반드시 L1현장 심사를 해야 한다.

양재필 여행산업전문기자 ryanfeel@ttlnews.com

관련기사