재무기준 자기자본 400억원 이상…적격 PG사 기준 확정

앞으로 국내에서 PG사(전자지급결제대행업체)가 카드정보를 저장하려면 반드시 부정거래방지시스템(FDS)을 구축해야 한다.

1일 여신금융협회는 이런 내용을 골자로 그간 카드업계와 금융당국과 협의를 거쳐 최종적으로 확정된 적격 PG사 세부기준을 발표했다.

PG사는 앞으로 간편결제서비스를 위해 카드정보(카드번호, 유효기간)를 카드사로부터 받아 저장하려면 이상거래나 부정사용 탐지를 위해 반드시 자체적으로 부정거래방지시스템을 구축해야 한다.

또 카드정보 저장을 통한 결제 서비스 관련 시스템에 대해 재해복구센터를 구축해야 한다.

카드업계는 부정거래방지시스템과 재해복구센터 구축일정 등을 고려해 이런 내용을 내년 7월 1일부터 시행하기로 했다.

카드정보를 직접 수집하고 저장하려는 PG사는 PCI보안표준(비자·마스타 등 5개 국제브랜드 카드사가 신용카드 정보보호를 위해 설정한 정보보안 표준)과 비슷한 수준의 정보보안 인증도 취득해야 한다.

페이팔·알리페이 등 해외 대형 PG사는 PCI보안표준을 엄격하게 준수하는 동시에 전자금융사기를 방지하는 다양한 보안기술을 도입해 경쟁력을 높이고 있기 때문이다.

업계는 내년 말까지 한시적으로 미래창조과학부과 주관하는 정보보호관리체계(ISMS) 인증을 PG사에 요구되는 인증으로 인정하고, 이후에는 PCI보안표준을 도입하는 방안을 검토하고 있다.

또 카드정보를 저장하려는 PG사는 자기자본 400억원 이상, 순부채비율 200% 이하(고객 예수금 제외)라는 재무적 기준도 충족해야 한다.

여신금융협회는 “자본금은 설비투자 등 사업준비와 운영을 위해 필요한 자금력 지표”라며 “400억원은 여신전문금융업법에서 규정하는 카드사의 자본금 규모 요건”이라고 설명했다.

지난해를 기준으로 자본금 3천억원 이상인 PG사는 7곳, 1천억∼3천억원은 7곳, 400억∼1천억원은 11곳이었다.

또 개인정보 유출이나 전자금융사고 등에 따른 손해배상책임의 이행을 위해 충분한 수준의 보험이나 공제에 가입할 의무도 세부기준에 포함됐다.

전자금융사고에 대비한 PG사의 보험금 가입금액은 현행 카드사와 같은 수준으로 대폭 상향 될 전망이다.

카드업계는 국내 52개 PG사 가운데 이번에 확정된 세부기준을 충족할 수 있는 업체가 19개 정도가 될 것으로 예상하고 있다.

아울러 금융당국은 카드정보 보안 강화 중요성을 고려해 카드정보 저장 PG사로부터 카드정보 유출이나 이를 통한 부정사용이 발생하면 해당 PG사가 책임을 지도록 감독규정 개정을 추진할 예정이다.

또 카드정보를 저장하는 PG사에 대해서는 금융사 수준으로 검사·감독을 엄격히 방침이다. 이전에는 규모에 따라 2∼6년 주기 검사였다면, 앞으로는 최소한 2년에 한 번은 당국으로부터 IT실태평가를 받게 된다.

앞서 카드업계는 PG(전자지급결제대행업체)사가 간편결제서비스를 위해 카드정보를 원하면 약정을 통해 이를 저장·수집할 수 있도록 표준약관을 개정한 바 있다. 개정된 약관 내용은 이달 초부터 시행된다.

여신금융협회 관계자는 “현재 카드정보 미저장 PG사도 자체로 결제서비스를 제공할 수 있으며, 카드업계가 앞으로 이들 PG사와도 제휴를 확대할 계획이라 소비자편익이 증대될 것으로 기대된다”고 말했다.

연합뉴스