PG사도 개인정보 유출 처벌받는다···금감원 검사·감독 강화

등록 2014.08.13 16:19

기자

앞으로 PG(전자지급결제대행업체)도 개인정보를 유출하거나 안전조치 의무를 하지 않으면 처벌을 받게 된다. 또 카드정보를 보유한 PG는 금융감독원의 검사와 감독을 받도록 규정에 개정된다.

금융위원회는 13일 ‘전자상거래 결제 간편화 방안’ 후속조치로 이 같은 내용을 담은 규정을 재개정했다고 밝혔다.

PG사는 전자상거래 결제 간편화 방안에 따라 카드정보 저장 허용 등 논란이 많았다. 특히 PG사는 상대적으로 보안이 허술해 향후 또다시 개인정보 유출 사태를 맞을 수 있다는 지적이다.

금융위는 이 같은 논란이 계속해서 일면서 표준약관을 개정해 PG사에 대한 관리 감독 강화 방침을 내놓았다.

PG사 카드정보 보유방식은 카드정보 데이터베이스를 공유하는 것이 아니라 전자상거래 과정에서 카드 회원의 동의와 수집 저장하는 방식으로 이뤄진다.

정보보호 대책으로는 기술력, 보안성, 재무적 능력 등 정보보호 능력(시스템)을 충분히 갖춘 PG사에 대해서는 카드정보 저장을 허용하기로 했다. 따라서 모든 PG사가 카드정보를 저장할 수 없도록 했고 보안시스템에 문제가 있거나 소비자 피해배상 능력이 없는 PG사는 카드 정보를 저장할 수 없다.

검사와 감독 ,처벌과 제재 규정도 신설됐다. PG사는 전자금융업자로 앞으로 금감원 검사와 감독을 받는다. 금감원은 카드정보를 보유한 PG사에 대해서는 다른 PG사 보다 검사와 감독을 강화한다는 방침을 세웠다.

금감원은 카드정보를 보유하게 되는 PG사에 대해서 검사 주기를 단축하고 IT실태평가도 실시한다. 최소 2년에 1회 이상 검사를 진행된다. PG사 IT보안수준 등을 평가해 일정등급 이하는 카드정보를 보유 할 수 없도록 조치하는 방안도 만들기로 했다.

또 IT실태평가 항목 중 ‘IT서비스 제공과 지원’부문의 세부평가 항목에서 ‘대체인증수단 제공여부’를 카드사 IT실태평가에 반영하기로 했다. 종합평등급의 약 3% 비중을 차지한다.

개인정보유출과 관련해서는 안전조치의무와 손해배상책임, 시정조치, 처벌 등 규정을 신설했다.

FDS(이상거래탐지지스템)도 강화된다. 결제서비스 부정사용방지대책을 결제수단 등록과 사용시 인증하는 방식에서 결제시 검증하는 방향으로 강화시키기로 했다.

최재영 기자 sometimes@