-IATA, 한국시장 기한 6월말로 설정 “시간적 촉박”… 작년 해외서도 반발

국제항공운송협회(IATA)가 한국 시장의 PCI DSS(Payment Card Industry Data Security Standard) 인증 기한을 6월말로 설정할 것으로 알려지면서 시간적 촉박함을 호소하는 BSP여행사들의 목소리도 커질 전망이다. 

IATA는 오는 20일 서울 페럼타워에서 한국여행업협회(KATA)와 공동으로 약 600개사에 이르는 전체 BSP여행사를 대상으로 ‘PCI DSS 준수를 위한 설명회’를 열고, 6월말까지 인증을 마치도록 안내할 예정이다. 하지만 PCI DSS에 대한 정보와 여행사들의 인식이 턱없이 부족한 것은 물론 기본적인 기반조차 마련되지 않은 상태이기 때문에 6월말은 너무 촉박하다는 의견이 대두될 가능성이 높다.  

특히 연간 항공권 발권량이 많은 대형 여행사의 경우 인증 절차가 더 까다롭고 시간도 더 소요될 수밖에 없기 때문에 불만이 집중될 전망이다. 여행사는 연간 신용카드 거래 건수별로 4단계로 분류되는데, 연간 거래건수가 600만건을 초과하는 1단계 업체는 우리나라에는 없다. 주요 대형 여행사는 대부분 2단계(100만~600만건)와 3단계(2만~100만건)에 해당되며 나머지는 4단계에 속한다.
 
2~3단계 여행사가 PCI DSS 인증을 받기 위해서는 전문인증대행업체를 통해 분기별로 각사의 시스템 네트워크를 점검(Scan)하는 동시에 매년 자체 또는 대행업체를 통해서  PCI DSS 자체평가서(SAQ)를 제출해야 한다. 자체평가서는 12개 항목 415개 질문으로 구성돼 있다. 매년 한 차례 자체평가서만 제출하면 되는 4단계 여행사와 달리 2~3단계는 분기별로 네트워크 점검 과정도 거쳐야 하기 때문에 비용은 물론 시간도 더 소요된다.   

지난해 해외 여행사들도 크게 반발했다는 점도 주목할 만한 대목이다. 당초 IATA는 2017년 6월말까지 PCI DSS 인증을 마칠 것을 통보했지만 캐나다여행업협회(ACTA) 등의 반발로 2018년 2월말까지로 연기했다. 한국 시장에는 올해 들어서야 관련 내용이 알려지기 시작했고 그마저 여행사들의 관심도 끌지 못했다. 때문에 IATA가 제시한 6월말보다 인증기한이 더 연기될 가능성도 배제할 수 없는 상황이다.

한편 PCI DSS는 5개 국제 신용카드 회사가 도입한 신용카드 거래 시 준수해야 할 국제보안표준으로, IATA는 BSP항공권 신용카드 거래 안전 강화를 명목으로 지난해 세계 각국 BSP여행사에 2018년 2월말까지 PCI DSS 준수를 위한 인증을 받도록 의무화했다. 미인증 BSP대리점은 신용카드 거래 제한 등의 제재를 받을 수 있다. 

김선주 기자 vagrant@traveltimes.co.kr              
 
저작권자 © 여행신문 무단전재 및 재배포 금지