신용카드가 결제되는 단말기를 통한 개인정보 유출 사고가 자주 발생하고 있다. 단말기 해킹과 신용카드의 부정사용으로 인해 가맹점들의 피해와 카드 소유주의 피해가 속출하여 카드결제와 관련된 보안 시스템의 운영이 의무화 되고 있다. 더불어 단말기의 보안 강화도 중요한 사회 이슈가 되고 있는 실정이다.
지금까지 5회에 걸쳐 카드결제 보안과 관련된 정보 보안 시스템에 대해서 설명하였고 이번 칼럼에서는 정보 유출사고 예방을 위한 주의사항에 대해 알아보기로 한다. 가맹점은 신용카드 거래의 방법에 따라 각기 다른 주의가 필요하며 그 내용을 3가지로 요약하면 다음과 같다.
첫째, 만약 가맹점에서 전화선 연결 단말기를 사용하는 경우에는 결제 영수증에 고객의 신용카드 번호나 카드 유효기간 등 중요 인증 정보가 표시되어서는 안 된다. 이는 카드 프로세싱 회사에 의뢰하여 카드번호의 마지막 4자리 숫자만 영수증에 표기되도록 지정해 두어야 한다.
또한 데빗카드를 취급하는 가맹점이라면 ‘Triple DES’ 방식 이상의 핀 패드 보안 프로그램을 사용하여 정보를 암호화 하고 저장하여야 한다. 오랜 기간 핀 패드를 소유한 가맹점은 Single DES로 돼 있는 핀 패드를 여전히 사용하고 있는 경우가 많으므로 해당 카드 프로세싱 업체에 연락하여 핀 패드의 내용을 확인해 보는 것도 중요하다. 핀 패드는 반드시 Triple DES로 업데이트 돼 있어야 하며 비용은 해당 프로세싱 업체와 상담하면 된다.
둘째, 인터넷 선을 사용하는 카드 터미널과 무선 터미널 또는 PC를 이용한 프로그램을 사용하는 경우, 방화벽을 반드시 설치하되 방화벽이 필요한 기능에만 적용되어 있는지 확인한다. 또한 인증된 스캐닝 벤더를 통해 적어도 3개월에 한번은 스캐닝을 받아 새로운 문제가 있는지 확인하는 것이 중요하다.
셋째, 인터넷에 연결되어 있는 결제 프로그램을 사용하는 경우 프로그램 제공회사에 문의하여 카드 승인정보 보호 표준규격(PA DSS, Payment Application Data Security Standard)에 인증된 프로그램인지 확인하여야 한다. 또한 직접 인터넷 웹사이트에 접속하여 알아볼 수도 있다. URL은 ‘www. pcisecuritystandards.org/approved_companies_providers/vpa_agreement.php’이다.
만약 결제 프로그램이 PA DSS에 인증된 것이 아니라면 반드시 인증이 확인된 것으로 업그레이드 하여야 한다. 그리고 카드 결제 프로그램을 포함한 모든 시스템에는 반드시 바이러스 백신 프로그램과 악성코드 제거 프로그램을 설치해 두어야 한다. 그리고 이 프로그램들은 가장 최신 정보로 업데이트를 유지하여야 한다.
(213)365-1122
패트릭 홍 <뱅크카드 서비스>
댓글 안에 당신의 성숙함도 담아 주세요.
'오늘의 한마디'는 기사에 대하여 자신의 생각을 말하고 남의 생각을 들으며 서로 다양한 의견을 나누는 공간입니다. 그러나 간혹 불건전한 내용을 올리시는 분들이 계셔서 건전한 인터넷문화 정착을 위해 아래와 같은 운영원칙을 적용합니다.
자체 모니터링을 통해 아래에 해당하는 내용이 포함된 댓글이 발견되면 예고없이 삭제 조치를 하겠습니다.
불건전한 댓글을 올리거나, 이름에 비속어 및 상대방의 불쾌감을 주는 단어를 사용, 유명인 또는 특정 일반인을 사칭하는 경우 이용에 대한 차단 제재를 받을 수 있습니다. 차단될 경우, 일주일간 댓글을 달수 없게 됩니다.
명예훼손, 개인정보 유출, 욕설 등 법률에 위반되는 댓글은 관계 법령에 의거 민형사상 처벌을 받을 수 있으니 이용에 주의를 부탁드립니다.
Close
x