결제대행업체(PG)가 카드정보를 저장하려면 국제 공인 '지불결제산업 데이터보안표준'(PCI DSS) 인증을 취득하고 자체 부정사용 예방시스템(FDS)을 구축해야 한다.

여신금융협회 및 카드업계는 1일 온라인 구매에서 간편 결제가 활성화될 수 있도록 PG사의 카드정보 저장을 위한 보안 및 재무적 기준을 마련했다.

보안 및 재무적 기준을 갖춘 PG가 고객의 동의 아래 카드정보를 저장하게 되면 온라인에서 전자 결제를 할 때마다 매번 카드번호와 개인정보를 입력할 필요 없이 간편하게 결제를 마칠 수 있다.

PG는 카드정보를 저장할 수 있다고 해도 신용카드사의 카드정보 데이터베이스(DB)를 공유하는 것은 아니다. 다만 전자상거래 과정에서 카드 회원의 동의 아래 정보를 수집·저장할 수 있다. 국내 PG로는 KG모빌리언스·나이스정보통신 등이 있다.

이번에 마련된 보안 기준은 ▲PCI DSS인증 취득 ▲결제대행업체 자체 부정사용 예방시스템(Fraud Detection System, FDS) 구축 ▲재해복구센터 구축 등이다.

PCI-DSS란 카드정보 해킹 및 도난·분실 사고로부터 고객의 신용카드 정보를 보호하기 위해 해외 브랜드(VISA, Mastercard, AmericanExpress, JCB, Discover)가 공동으로 마련해 운영하는 카드산업 보안 표준이다. 재해복구센터 및 FDS 구축의 경우 PG의 구축 일정 등을 감안해 2015년 7월1일부터 시행된다.

이와 함께 최근 3년간 고객정보 유출 등 정보보안 사고로 금융위원회 또는 금융감독원으로부터 기관주의 이상의 조치를 받은 기록이 없어야 한다.

재무 기준으로는 ▲자기자본 400억원 이상, 순부채 비율 200% 이하 ▲전자금융사고 책임 이행을 위한 충분한 수준의 보험 또는 공제 가입 등을 충족시켜야 한다.

여신금융협회 함정식 카드본부장은 "현재 카드정보 미저장 결제대행업체도 자체 결제서비스 제공이 가능하며 카드업계에서도 향후 카드정보 미저장 결제대행업체와 제휴를 확대할 계획"이라며 "간편한 결제방식 확대를 통한 소비자편익이 증대될 것으로 기대된다"고 말했다.

한편 금융당국은 카드정보 저장 결제대행업체가 회원 동의 후 수집·저장한 카드정보를 유출하고 이를 부정하게 사용할 경우 결제대행업체가 명확한 책임을 지도록 여신전문금융업감독규정 개정을 추진한다. 또 카드정보 저장 결제대행업체에 대해 금융회사 수준으로 검사·감독을 강화할 예정이다.