카드정보 과연 DB에 저장해도 되는가?

인공지능 진짜 대단하다. 이런 이미지도 제작 가능.

 

PG는 꼭 연동해야할까?

기획하고 있는 제품의 도메인 특성상 PG사를 이용하지 않고 승인/매입이 이뤄진다. 보통 PG 결제창을 호출하여 다양한 결제수단을 이용하는 것이 커머스나 플랫폼에서 흔히 사용하는 방식이다. 다만 이 경우 가맹점 수수료가 2~4%까지 부담스러운 수준이다. 상품가가 100만 원이 넘어선다면 수익률이 상당히 악화될 것이다.

앞서 언급했듯 도메인 특성상 PG를 사용하지 않다 보니 Key-in 호출을 통해 결제를 진행한다. 장점은 UI 커스터마이징이 가능하여 톤 앤 매너를 맞춰 결제창을 구현할 수 있으며 별도 팝업창이 뜨지 않아 정보 입력 후 바로 결제가 완료된다.

단점으로는 매 번 결제 시마다 카드정보를 재입력해야 한다는 점이다. 이 부분을 해결하기 위해 유저 카드정보 입력값을 서버에 저장하자는 의견이 나오게 된다.

과연 이 정보 저장해도 될까?

 

신용카드 결제정보 저장해도 될까?

많은 시간을 들여 서치를 해도, GPT에 물어봐도, 국내 최대 기획 커뮤니티 맥*님의 단톡방에서 질문해도 뚜렷한 답을 구할 수 없었다. 그래서 그 답을 직접 찾기로 했으며 그 과정을 서술하려 한다.

일단 기획자 커뮤니티에 물어봤을 때, 100% 저장하지 말라는 답변이 돌아왔다. 리스크가 너무 크기 때문이다. 도용된 카드정보로 비정상 결제가 일어난 경우 책임이 정보가 유출된 가맹점에 있다. 

 

여신금융업법 17조

여신금융업법 17조에 해당되는 내용이다.

제17조(가맹점에 대한 책임) ① 신용카드업자는 다음 각 호의 어느 하나에 해당하는 거래에 따른 손실을 신용카드가맹점이 부담하도록 할 수 없다. 다만, 신용카드업자가 그 거래에 대한 그 신용카드가맹점의 고의 또는 중대한 과실을 증명하면 그 손실의 전부 또는 일부를 신용카드가맹점이 부담하도록 할 수 있다는 취지의 계약을 신용카드가맹점과 체결한 경우에는 그러하지 아니하다.
1. 잃어버리거나 도난당한 신용카드를 사용한 거래
2. 위조되거나 변조된 신용카드를 사용한 거래
3. 해킹, 전산장애, 내부자정보유출 등 부정한 방법으로 얻은 신용카드등의 정보를 이용하여 신용카드등을 사용한 거래
4. 다른 사람의 명의를 도용하여 발급받은 신용카드등을 사용한 거래
② 제1항 각 호 외의 부분 단서에 따른 계약은 서면 또는 전자문서로 한 경우에만 효력이 있으며, 신용카드가맹점의 중대한 과실은 계약서에 적혀 있는 사항만 해당한다. <개정 2023. 3. 21.>
[전문개정 2009. 2. 6.]

 

카드정보 암호화해서 저장했다 하더라도 해킹당해서 털리면? 피해액 전액 혹은 일부를 가맹점, 즉 유출당한 회사에서 책임져야 한다. 이렇게 계속 정보를 찾던 중 하나의 기사를 발견하게 되는데..

 

자기자본 400억원, FDS 도입한 PG사에 카드정보 저장 허용

https://www.etnews.com/20141001000259#:~:text=%EC%B9%B4%EB%93%9C%EC%A0%95%EB%B3%B4%20%EC%A0%80%EC%9E%A5%EC%9D%B4%20%ED%97%88%EC%9A%A9%EB%90%98%EB%8A%94%20PG%EC%82%AC%EB%8A%94%20%EC%9E%90%EA%B8%B0%EC%9E%90%EB%B3%B8,%EA%B3%B5%EC%A0%9C%EC%97%90%20%EA%B0%80%EC%9E%85%ED%95%B4%EC%95%BC%20%ED%95%9C%EB%8B%A4.

자기자본 400억원, FDS 도입한 PG사에 카드정보 저장 허용

 

해당 기사와 관련 기사를 찾아보니, 기존에는 카드사만 카드 인증 정보를 저장할 수 있었는데 구매자 편의성 측면에서 적격 PG에 카드정보 저장할 수 있도록 법을 개정한다는 내용이었다.

 

카드정보 저장이 허용되는 PG사는 자기자본 400억원 이상, 순부채비율 200% 이하(고객 예수금 제외)의 재무적 기준을 충족해야 한다. 또 개인정보 유출이나 전자금융사고 등에 따른 손해배상책임의 이행을 위해 충분한 수준의 보험이나 공제에 가입해야 한다.
출처 : 전자신문

 

2014년 기사이긴 하지만 기사 내용만 봤을 땐 카드 인증정보 저장에 대한 기준이 엄격 그 잡채인 것을 확인할 수 있다. 모든 지표가 카드정보 저장을 하지 말라고 말하고 있다. 기획을 틀어야 하는 것인가?

 

카드사 가맹점 이용약관에도 명시

추가로, 신한카드 가맹점 이용약관을 살펴보니

• ② 가맹점은 카드 유효기한, 검증값(CVC, CVV), PIN 및 PIN 블록, PIN 검증데이터(PVV)등 카드 인증정보를 보관하여서는 아니됩니다. 또한, 가맹점은 카드회원과의 신용판매, 카드사와의 신용판매대금 결제 등을 위해서 반드시 필요한 경우가 아니면 회원의 카드번호를 보유하지 않아야 합니다.
• ③ 제2항에도 불구하고 결제대행업체가 간편한 카드결제를 목적으로 카드번호, 유효기한 등을 보유하고자 하는 경우에는 카드사가 요구하는 보안에 대한 기준을 충족하는 경우에 한하여 결제대행업체에 간편결제를 신청하고자 하는 자로부터 동의를 받아 카드사와 사전에 협의된 정보의 범위 내에서 수집·보유할 수 있습니다.

기획을 틀어야겠다. 무지하면 몸이 고생이다. 지금은 새벽 한 시 반을 향하고 있다.

 

결론

정리해 보자면

• "카드번호(16자리)" 자체는 암호화 처리 후 DB 저장 가능
• 단, 카드 인증정보(CVC, 만료기간 등) 법률상 저장 불가
• 저장 가능 업체는 카드사 혹은 자기자본 400억 이상, 순부채 비율 200% 이하 PG사만 가능 (PCI DSS 인증 등 추가 조치 필요)
• 카드사의 가맹점 이용약관에도 인증정보 저장 불가 명시, 저장 필요시 카드사 조건에 부합하는 보안 기준 충족 후 카드사와 협의
• 여신금융업법 17조에 따라 유출된 카드정보로 피해 발생 시 가맹점에서 전액 혹은 일부 피해액 전액 배상의무

너 이정도면 스카이넷일듯

 

카드정보 저장하지도, 저장하려는 생각조차 하지 말자.