신용카드정보 수집 허용된다는데…PG社 개인정보·보안 관리 허술

업계 1위 KG모빌리언스 등 보안 부실로 무더기 징계

모바일 전자지급결제대행(PG)업계 1위인 KG모빌리언스가 보안관리 부실을 이유로 금융감독원으로부터 개선 조치를 받았다. 케이아이비넷 나이스정보통신 등 주요 PG사 두 곳도 함께 제재받았다.

금감원은 지난 1일 KG모빌리언스에 세 건의 제재(개선명령)를 결정했다. 우선 전산자료 유출방지 대책이 불합리하다는 지적을 받았다. 휴대용 저장장치(USB)를 쓸 때 사용시한을 정하지 않는 등 직원에 대한 통제가 미흡했다. USB는 지난 1월 신용카드 3개사에서 1억여건의 개인정보가 유출됐을 때 사용된 장치다. 암호화된 문서를 해제하거나 출력하면서 회사 로고 등 워터마크를 없앨 때 상급자의 승인절차도 마련하지 않은 것으로 드러났다.

케이아이비넷은 정보기술(IT) 부문 중요업무가 적정하게 이뤄지고 있는지 제대로 점검하지 않아 내부통제 미흡으로 ‘경영유의’ 조치를 받았다. 가맹점관리 보안대책이 허술했고 임직원이 컴퓨터를 사용하면서 보안정책 준수 여부를 확인할 수 있는 절차가 없다는 지적도 받았다.

나이스정보통신은 시스템을 공급해주는 업체가 보정해 줄 때 이를 제때 반영하지 못할 우려가 있는 것으로 나타났다.

PG회사의 부실한 보안관리 정황이 드러나자 금융위가 지난달 ‘전자상거래 결제 간편화 방안’에서 카드정보 보유를 허용하겠다고한 데 대해 우려의 목소리가 나오고 있다. 금융권 한 관계자는 “기술력 보안성 자본력을 갖춘 PG사만 카드 정보를 가질 수 있도록 하겠다고 했지만 미심쩍은 게 현실”이라며 “제대로 된 후속조치가 반드시 필요하다”고 말했다.

박종서 기자 cosmos@hankyung.com