한국여행업협회(KATA)와 국제항공운송협회(IATA) 한국지부는 공동으로 지난 20일 서울 페럼타워에서 ‘PCI DSS(신용카드국제보안표준) 준수를 위한 BSP대리점 설명회’를 열고 BSP여행사들의 뜨거운 이슈로 부상한 PCI DSS와 인증 절차 등에 대해 안내했다. KATA와 IATA가 한국 시장 내 원활한 PCI DSS 정착을 위해 파트너사로 선택한 인증업체 브로드밴드 시큐리티(BBSec)사도 함께 참여했다. 이날 오고 간 주요 내용을 Q&A 형태로 소개한다.  <편집자 주>
 
 
Q. 도대체 PCI DSS는 무엇인가? 
A Payment Card Industry Data Security Standard의 약자로 ‘신용카드 업계 정보보호 표준’이라고 할 수 있다. 글로벌 신용카드 회사 5개사가 2006년 제정했다. 신용카드 소유자의 데이터를 보호하는 것이 가장 큰 목적이며, 신용카드 소유자의 데이터를 저장·처리·전송하는 기업들 즉, 가맹점과 신용카드회사, 결제대행사업자 등이 준수 대상이다.
 
Q. 갑작스럽게 진행되는 느낌이다.
A  PCI DSS는 2006년부터 시작됐다. 신용카드 거래가 이뤄지는 모든 영역에 적용된다. 그러나 한국에서는 관심이 없었다. IATA 본사도 고심을 많이 했지만, 항공권 발권 관련 신용카드 사고를 방지하기 위해 적극적으로 PCI DSS를 추진할 필요가 있다는데 의견이 모아져, 올해 3월1일부로 발효가 됐다. 
 
Q. 한국에서는 준비된 게 없는데….
A  IATA가 올해 1월17일 공문을 보내 3월1일부로 시행한다고 공지했다. 하지만 여행업계는 워낙 생소한데다가 기본 매뉴얼도 없어 도저히 기한 내에 준수할 수 없다고 판단하고 KATA BSP위원회를 거쳐 IATA본사에 항의하고 연기를 요청했다. 이후 KATA와 IATA코리아가 수차례 회의를 거쳐 인증업체로 BBSec을 선정하고 PCI DSS 준수를 위한 준비작업을 진행해왔다. 
 
Q. IATA 본사는 다른 인증업체를 추천했다.
A  세계적으로 PCI DSS 인증업체는 1,000여곳이 넘는다. 한국에는 한 곳도 없다. IATA본사가 추천한 업체는 서비스 수준과 언어지원 등에서 많이 미흡하다고 판단했다. 그래서 한국에 지사를 두고 있고 기술과 능력을 갖췄으며 이번 업무에 적극적인 참여의향이 있는 곳을 물색했고, BBsec과 인연이 닿게 됐다. BBSec은 이미 PCI DSS 자가인증평가 질문을 한글화했으며, 온라인 시스템 개발도 상당 부분 진행시켰다. 물론 어느 업체를 이용하든 상관없다.
 
Q. 항공권 신용카드 가맹점은 항공사다. 여행사는 항공사와 대리점 계약을 맺고 항공권을 판매할 뿐이다. 항공사가 먼저 시행하는 게 맞는 것 아닌가? 
A  가맹점 계약을 맺은 가맹점뿐만 아니라, 비즈니스를 위해 신용카드 데이터를 수취, 보관, 전송하는 업체들도 PCI DSS 준수 대상 가맹점에 포함된다. 항공사 역시 이미 시행한 곳이 꽤 있다. 아시아나항공 일본지사는 이미 시작했으며, 대한항공도 인증을 받았다. GDS들도 거의 다 인증을 받았다. 일본의 경우 2020년 도쿄올림픽 때까지 일본 취항 모든 항공사에 PCI DSS 인증을 받도록 법적으로 의무화했다.  
 
Q. 미준수시 어떤 제재를 받는가?
A   IATA 규정상에는 ‘규정위반(Irreg ularity)’ 2회를 발행하는 것으로 돼 있는데, IATA 본사 확인 결과, 그와 같은 벌점 부여보다는 항공사에 통보해 항공사가 그 여행사와 계속 거래를 할지 말지를 판단하도록 하는 방식이 될 것 같다. 
 
Q. 개괄적인 인증 절차는?
A   가맹점은 연간 BSP항공권 신용카드 거래건수에 따라 4단계(Level)로 구분된다. 1단계 가맹점은 연간 600만건 이상이거나 카드정보 유출사고가 있었던 업체다. 이들은 현장심사 등 가장 높은 수준의 인증절차를 밟는다. 시간과 비용도 더 소요된다. 나머지 2~4단계 업체는 자가평가질의서(SAQ)를 작성해 인증을 받고, 최종 인증서를 IATA 본사에 제출하면 된다. SAQ의 종류는 가맹점에 따라 달라진다. 각사별로 자사의 거래건수에 기초해 적합한 레벨을 선택하고 그에 맞게 절차를 밟는 방식이다.
 
Q. 항공권 외의 결제 항목과 건수도 많다.
A  항공권 이외의 호텔, 단품 등의 결제 건수도 반영해 아예 더 높은 단계로 올려 인증 받고 싶다면 그렇게 할 수 있다. 다만, 이번에 IATA가 요구한 것은 항공권 결제 건수에 대한 것뿐이다.
 
Q. 자가평가의 경우, 실제와 다르게 답변해서 인증을 받을 수도 있겠다.
A  실제로는 보안 체계가 미흡한데 충분하다고 답해서 인증을 받을 수도 있겠지만, IATA 본사의 최종 심의에서 거부당할 가능성이 높다. 신용카드 사고를 방지하고 그런 기반을 갖추자는 PCI DSS의 근본 취지를 생각하면 미흡한 부분은 미흡하다고 해 놓고 개선 과정을 밟는 게 정답이다.
 
Q. 언제까지 인증을 받으면 되는가?
A  시간이 더 소요되는 1단계 가맹점의 경우 당장 4월부터 현장심사를 시작하며, 5월 중순에는 PCI DSS 인증을 위한 온라인 한글 서비스 시스템 구축을 완료할 예정이다. 2~4단계 여행사는 여기에서 SAQ를 작성하고 7월말까지 IATA본사에 인증서를 제출하면 된다. BBSec(pcidss@bbsec.co.kr)을 통해 보다 상세한 내역을 확인할 수 있다.
 

김선주 기자 vagrant@traveltimes.co.kr
저작권자 © 여행신문 무단전재 및 재배포 금지