SBS Biz

카드번호를 직접 입력하는 이른바 ‘키인(Key In) 거래’의 악용 우려가 커지면서 여신금융협회가 모바일 결제 단말기에 대한 사전 보안 관리 체계를 강화했습니다.

오늘(5일) 여신금융협회에 따르면 협회는 지난달 29일부터 스마트폰이나 태블릿 등 모바일 기반 POS 단말기 역할을 하는 앱에서 키인 거래를 지원하는 경우 새로운 단말기 시험요구 사항을 적용하고 있습니다. 단말기 시험 가이드가 개정된 것은 지난 2023년 이후 약 2년 반 만입니다.



키인 거래는 카드를 긁거나 꽂지 않고 카드번호와 유효기간, CVC 등을 사람이 직접 입력해 결제하는 방식으로, 전화 주문이나 배달 주문, 일부 온라인 결제 과정에서 주로 활용됩니다.

앞으로는 카드번호를 수기로 입력받는 단말기의 경우 여신금융협회의 공식 시험을 통해 안전성이 검증돼야만 키인 거래를 지원할 수 있습니다. 신규 단말기 인증은 물론, 기존 단말기의 인증 갱신이나 키인 거래 기능을 새로 추가하는 경우에도 해당 시험요건을 충족하지 못하면 인증이 제한돼 카드 결제가 승인되지 않는 구조입니다.

그동안 업계에서는 기존 단말기 시험 기준이 모바일 환경에서 발생할 수 있는 키로깅(Keylogging·결제자가 단말기로 입력한 내용을 몰래 가로채 기록하는 행위)이나 화면 노출, 메모리 잔존, 앱 보안 취약점 등 새로운 위험 요인을 충분히 반영하지 못한다는 지적이 제기돼 왔습니다.

개정된 기준에 따르면 키인 거래를 지원하는 모바일 POS 앱은 카드번호 입력 단계부터 처리·전송·삭제에 이르기까지 전 과정에 대해 지정된 정보보호 전문기관의 보안취약점 진단을 의무적으로 받아야 합니다. 진단 과정에서 발견된 취약점이 모두 조치됐다는 확인 절차도 거쳐야 합니다.



또 카드번호 입력 구간에서는 일반 키보드 사용이 금지되며, 랜덤 키패드나 보안 키보드 등 키로깅과 정보 탈취를 차단할 수 있는 보안 입력 방식만 허용됩니다. 카드번호 수정이나 거래 종료 시에는 입력된 정보가 메모리에 남지 않도록 즉시 삭제·초기화하는 조치도 요구됩니다.

협회는 단말기 인증 유효기간이 통상 5년으로 설정돼 있고, 사업자들의 준비 부담도 적지 않은 점을 감안해 이번 기준을 즉시 전면 적용하지는 않았습니다. 대신 향후 인증 갱신이나 기능 변경, 모바일 기반 단말기에서 키인거래 서비스를 새로 도입하는 경우부터 개정된 기준을 적용하도록 했습니다.

이번 조치를 두고 그동안 상대적으로 관리 기준이 뚜렷하지 않았던 키인 거래 전반에 대해 체계적인 관리 틀이 마련됐다는 평가가 나옵니다. 사고 발생 이후 책임을 묻는 방식이 아니라 거래 구조 전반의 위험을 사전에 낮추는 예방적 성격의 보호조치라는 분석입니다.

앞서 롯데카드에서 해킹으로 카드번호와 CVC, 비밀번호 정보가 유출되면서 카드 정보를 알고 있을 경우 상대적으로 인증 절차가 간소한 키인 거래를 통한 부정사용 가능성이 제기된 바 있습니다.

협회는 "모바일 POS와 스마트폰 단독 단말기 보급이 빠르게 확대되면서 키인 거래 환경도 크게 변화했다"며 "보안 취약점 진단 의무화와 통신 구간 보안 강화 등을 통해 카드회원 정보 유출 가능성을 구조적으로 낮추는 데 목적이 있다"고 개정 배경을 설명했습니다.