현대카드와 신용 카드 결제 대행업체 페이게이트 간의 공방 이후
현대카드, 삼성카드, 신한카드, KB국민카드, BC카드, 씨티카드 등 6개사는 최근 국내 신용카드 결제대행(PG) 업체 페이게이트에 '간편 결제' 계약 해지를 통보했다.
여기에다 이 회사의 결제 방식을 지원하는 롯데카드, 외환카드, 하나SK카드, 농협카드도 내부적으로 계약해지를 검토 중인 것으로 알려졌다.
인터넷 서점 '알라딘'에 간편 결제를 제공하는 페이게이트는 카드사들의 잇단 계약해지에 대해 억울하다는 입장이다. 이 회사 관계자는 "소비자들이 편리하게 결제를 할 수 있고, 궁극적으로 국내 전자상거래 산업 활성화를 위해 필요한 결제방식이 거대한 장벽에 가로막혀 있다는 심정"이라고 말했다. 그러면서 "카드사들이 릴레이로 계약을 해지하는 것을 이해할 수 없다"고 했다.
이번 일의 도화선은 1개월 전으로 거슬러 올라가야 한다.
이찬진 드림위즈 대표는 7월께 알라딘의 결제 시스템을 이용하면서, 정태영 현대카드 사장에게 '액티브X와 공인인증서 없이도 결제가 잘 되도록 현대카드도 지원해 달라'는 요지의 트윗을 보냈다.
이 트윗에 정 사장은 "말씀하신 결제방법은 규제상 허용되는 안전한 방법이 아니다"라고 대답했다. 알라딘의 현행 결제 방식이 보안에 문제가 있어서 지원할 수 없다는 것이었다.
현대카드 측은 따로 페이게이트가 결제 서비스를 제공하기 위해 카드 고객의 카드번호와 유효기간 정보를 보관하는 점, 페이게이트 서버에 저장된 개인 정보가 해킹 당할 가능성이 높다는 점을 이유로 들며 보안상 안전하지 않다고 지적했다.
그러자 페이게이트 쪽이 현대카드 주장에 적극 반박하며 반격에 나섰다.
페이게이트 측은 "카드 가맹점이 카드 유효기간을 저장하지 못하도록 하는 내용은 가맹점 표준 약관에 있다"라며 "가맹점 표준 약관은 온라인 가맹점을 주로 염두에 둔 것이라기 보다는 오프라인 가맹점을 포함한 가맹점 일반에 대해서 적용되는 것이고, 온라인 가맹점의 경우 특약서가 우선한다"고 주장했다. 사용자의 카드 유효기간을 저장하는 데는 아무런 법적 문제가 없다는 것이다.
보안 취약성을 지적하는 현대카드 쪽 주장에 대해선 "서버가 해킹 될 수 있으니, 서버에는 중요한 정보를 저장하지 말라는 식의 주장은 서버 보안을 포기한 발상에 불과하고, 현실적으로도 불가능한 것"이라며 "페이게이트의 정보보호체계는 컨트롤 케이스(Control Case)라는 세계 최대의 PCI DSS(Payment Card Industry Data Security Standard) 보안감사 서비스 업체를 통해 2008년부터 지속적, 정기적으로 보안감사를 받아오고 있으며 현재 PCI DSS v2.0 Level1 감사 기준을 충족한 상태를 유지하고 있다"라고 해명했다.
그러면서도 회사 측은 "일부 카드사의 희망을 반영해 카드 유효기간은 페이게이트가 더 이상 보관하지 않고, 이용자가 매번 유효기간을 직접 입력하여 결제가 이루어지도록 할 예정이다"라고 했다.
페이게이트가 일부 카드사의 우려를 일정 인정하고 대안을 마련했지만, 이 논쟁은 작은 중소업체가 대형 카드사들에게 반기를 든 모양새로 비춰졌다.
박소영 페이게이트 이사는 "보안 안정성이 의심받을 정도면 나머지 19개 카드업계가 왜 사용하고 있으며, 서버에 저장된 개인 정보가 해킹될 정도로 허술하게 정보를 관리하고 있지 있지 않다"라며 "오히려 현대카드가 기존 카드사 인증 방식만 고집했고, 2010년과 2012년에도 현대카드를 찾아갔으나 계속 얘기하지 못했다"라고 말했다.
박 이사의 논리와 반박이 대기업의 심기를 건드린 것일까. '간편 결제' 논쟁 후 현대카드 외 삼성카드, KB국민카드, 비씨카드까지 인터넷서점 알라딘의 비(非)액티브 엑스146(Active X) 결제 방식 중단을 통보했다.
시장점유율 1위인 신한카드·롯데카드 등도 중단 여부에 대해 내부 검토에 들어간 데 이어 KB국민카드도 페이게이트의 일방적인 가맹점 계약과 보안 취약점을 이유로 결제 중단을 통보했고, 비씨카드도 같은 이유로 중단했다.
금융당국도 페이게이트 방식에 대해 유보적인 입장을 내면서 사실상 카드사의 손을 들어줬다. 최근 금융감독원(금감원)은 페이게이트 측에 아직 인증 평가를 거치지 않은 '프로파일' 방식을 사용하지 말라고 권고했다.
카드업계 관계자는 "국내 대형 카드사들이 민감하게 생각하는 결제 방식을 페이게이트가 건드리면서 문제가 커진데 대해 '괴씸죄'가 적용된 것 같다"고 말했다. 또 다른 관계자는 "이번 논란의 최대 피해자는 '갑'인 신용카드사들의 영원한 '을'일 수 밖에 없는 페이게이트"라고 지적했다.
이번 페이게이트 결제 방식을 거부하거나 검토 중인 카드사들은 여신금융협회 회원사로 특정 사안에 대해 한 목소리는 내는 경향이 강하다.
페이게이트는 이번 논쟁을 계기로 글로벌 비즈니스에 보다 무게중심을 둘 계획이다. 비자카드, 마스터카드 등 해외 카드사를 상대로 사업기회를 만든다는 방침이다.
박소영 대표는 언론과의 인터뷰에서 "지금과 같은 국내 환경에서는 PG사가 카드사에 종속될 수 밖에 없다"고 꼬집었다.
**페이게이트의 간편결제 방식이란
페이게이트가 개발한 금액인증은 신용카드 승인금액을 이용해 카드 소지자가 본인인지를 확인하는 방식이다. 지난해 9월 7일 금융감독원 인증방법평가위원회 인증심사를 통과했다. 공인인증서를 대체하는 결제방식으로 개발됐다.
이번 현대카드와의 보안 논쟁의 대상인 된 것은 금액인증을 응용한 간편결제 방식이다. 13일까지 알라딘이 채택했던 소위 `프로파일 결제`다.
이 방식은 최초 금액인증(Amount Authentication)으로 거래를 했던 당사자가 제2, 3의 후속 거래를 할 경우, 금액인증 인증절차가 생략된다. 즉 본인 여부를 묻는 절차 없이 아이디와 패스워드를 입력해 물건을 주문할 수 있다. 카드번호와 유효기간을 PG사가 보유하고 있기 때문이다.
페이게이트 측은 한 번 인증을 거친 이용자에 대해선 디지털 핑거프린터(digital fingerprint)를 생성, 재결제시 일일이 본인확인을 하는 과정을 없앴다고 설명한다. 그만큼 사용자 입장에서는 매우 간편하고 편리함을 느낄 수 있다.
페이게이트 관계자는 "기술적으로 로그인 아이디 패스워드 및 카드 유효기간 정보가 정확한 지 여부로 2차 구매자가 본인인지를 확인한다"고 설명했다.
이영훈 기자
news@ejanews.co.kr