-
[종합] PCI DSS 인증, 아직도 ‘안개 속’
-
- GTN 김기령 기자 marketing@gtn.co.kr
- 게시됨 : 2018-12-10 오전 8:24:39 | 업데이트됨 : 1시간전
-
PCI DSS(Payment Card Industry-Data Security Standard, 신용카드 데이터 보안 표준)가 적용된 지 5개월이 지났지만 진행과정이 뚜렷하게 공개되지 않고 있어 답답함을 호소하는 여행사가 늘고 있다.
대부분의 BSP 여행사들은 지난 7월18일 전까지 PCI DSS 인증에 필요한 증빙 서류를 IATA에 제출했다. 하지만 적용이 된 건지, 시행이 되고 있는 건지 IATA 측에서 가타부타 말이 없다. GDS사에서 IATA 측에 진행 상황에 대해 문의했으나 구체적인 진행과정을 말해줄 수 없다는 답변을 받았다. 본지에서 추가로 IATA 측에 답변을 요구했으나 답변을 전달받지 못했다.
지난 5월 마감기한이 두 달 채 남지 않은 시점에서 PCI DSS 인증에 필요한 SAQ(자가질의평가서) 작성법에 대한 설명회가 진행되면서 여행사들이 관련 서류를 완벽하게 준비하기에 시간이 촉박하다는 불만이 많았다.
한 여행사 대표는 “당시 할 일은 많고 기한은 다가오니 대행업체에 인증절차를 위탁했다. 웃돈을 지불해서라도 마감일까지 진행해야 뒤탈이 없을 것이라고 생각했다”고 말했다. 이 여행사 대표는 100만원에 가까운 비용을 PCI DSS 인증에 썼다. 레벨 4 가맹점의 연간 서비스 이용 금액이 30만원을 포함하면 130만원이 들어간 셈이다.
600여개 BSP 여행사 가운데 적게는 10만원부터 많게는 80만원까지 웃돈을 얹어가며 무리해서 인증 절차를 진행한 곳이 여럿 존재했다. 마감기한을 넘기거나 인증 받지 않을 시 미제출 여행사 리스트가 IATA BSP 항공사로 통보되고 항공사 정책에 따라 여행사에 발권 제재 혹은 불이익이 가해질 수 있다고 알려졌기 때문이다.
PCI DSS라는 용어가 한국 여행업계의 수면 위로 오른 것은 지난 5월이었다. 사회 전반적으로 신용카드 정보 유출 사고가 발생하자 이를 미연에 방지하기 위해 VISA 등 대형 카드사들이 나서서 새롭게 규정된 국제 데이터 보안 표준을 제시했다.
IATA가 BSP 여행사를 위한 설명회를 다수 개최하는 등 여행사들의 인증 과정을 독려했다. 하지만 설명회 진행에도 불구하고 대다수 여행사가 PCI DSS에 대한 개념을 정확히 인지하지 못한 상태로 시간이 흘렀다. IATA 본사가 싱가포르에 있다 보니 여행사들과의 즉각적인 커뮤니케이션이 어려웠고 인증평가업체였던 BBSec과도 메일로만 연락을 주고받는 데 그쳤다.
그러다보니 마감기한을 한달 앞둔 6월까지도 PCI DSS에 대해 인지하지 못한 여행사들도 존재했다. 항간에는 PCI DSS 인증을 신청하지 않은 여행사도 발권 업무 진행에 아무런 제재를 받지 않고 있다는 이야기도 흘러나오고 있다.
이에 KATA는 정기적으로 PCI DSS 진행 상황을 파악하고 있는 것으로 알려졌다. 홍사운 KATA 국장은 “11월 중순까지도 매번 IATA에 진행 상황을 점검 중이며 적용이 됐다고 보기에는 아직 이르다”며 “하지만 우리나라는 카드 발권량이 많은 편인데도 불구하고 상당 부분 원활하게 처리되고 있다”고 전했다. 또한 “IATA에서 올 연말 항공사에 PCI DSS 인증 여행사 리스트를 제출하는 것을 목표로 승인 심사를 진행하고 있다”고 덧붙였다. 인증사 리스트가 항공사에 전달되면 미승인 여행사에 관련 내용과 제재 여부가 통보될 것으로 보인다.
<김기령 기자> glkim@gtn.co.kr
- GTN 금주의 이슈
- 스폰서 링크