최근 여행업계에 이슈가 되고 있는 PCI DSS(Payment Card Industry-Data Security Stand
ard, 신용카드 데이터보안 표준, 이하 PCI) 등록 마감일이 한 달도 채 남지 않은 가운데 PCI 인증과 관련해 크고 작은 잡음이 발생하고 있어 관련 사항 재정비가 필요해 보인다.

 

서로 다른 인증평가기관을 둔 업체들이 연이어 설명회를 진행하다보니 여행사들의 혼란만 가중되고 있다는 것이 업계 관계자의 대체적인 평가다.

 

한 중소여행사 관계자는 “설명회라는 명목으로 여러 업체에서 PCI 인증 프로그램을 홍보하는데 진짜 궁금한 것은 인증프로그램이 아니라 PCI라며 숲을 보지 않고 나무만 보는 식”이라고 토로했다.

 

또 다른 여행사 대표는 얼마 전 가입비 30만 원을 내고 PCI 인증절차를 밟았다. 설명회 주최측에서 인증을 받지 않으면 더는 신용카드 발권 업무를 못하게 된다고 으름장을 놓는 바람에 서둘러 가입한 것이다. 평가서를 작성해 인증만 받고 나면 누구나 손쉽게 발권 업무를 재개할 수 있다는 설명을 믿고 인증 절차를 밟았으나 막상 가입비를 내고 인증하고 나니 제약이 너무 많았다고 전했다. 이어 그는 “IATA 측에 관련 문의를 했더니 일단 구매하고 얘기하자는 식으로 문제를 해결해주지 않았다”며 “환불을 요구했더니 해줄 수 없다고 했다”고 답답함을 호소했다.

 

이때까지 개최된 설명회는 PCI 인증절차를 밟기 위한 SAQ 설명회로 인증 이후 진행 방식에 대한 구체적인 설명은 없었던 것으로 알려졌다. 이 같은 혼란은 설명회를 평가인증기관들이 주최했기 때문에 빚어진 것으로 보인다.

 

PCI DSS라는 제도에 BBSec이나 버라이존 등 다양한 인증평가업체들이 뛰어든 형국으로 여행사는 여러 설명회에 참가하면서 어느 평가업체의 프로그램을 사용할 것인지 자체적으로 판단해야 한다.

 

또 다른 여행사 대표 역시 설명회에 참석해도 선명하게 이해되지 않는다고 털어놨다. 날짜가 임박해오면 인증을 하긴 하겠지만 미리 나서서 가입하고 싶은 마음은 없다는 것이다. 기다릴 수 있을 때까지 기다렸다가 상황을 보고 판단하겠다는 입장을 보였다.

 

여행사 종사자들은 대부분 PCI의 도입 의도는 알지만 그 필요성에는 의문을 가진다. 가입비를 굳이 30만 원이나 내야하냐는 의견도 있다. 이는 지난 3월 PCI 이야기가 흘러나왔을 때부터 문제시된 내용이다. 비용도 평가인증기관에 따라 달라지고 여행사 규모에 따라 차등이 있어 6개월마다 가입 멤버십 비용을 지불하기 때문에 여행사는 부담을 느낄 수밖에 없고 이 비용을 고스란히 여행사만 책임져야 한다는 점도 부담으로 작용한다.

 

비용만큼이나 인증프로그램 습득도 여행사 입장에서 큰 걸림돌이다. 대형여행사들은 항공사업부와 IT사업부가 함께 PCI 인증 단계를 밟아가고 있는 반면 중소여행사를 운영하는 이들은 IT용어에 익숙치 않아 인증에 어려움이 많다.

 

협회는 여행사에 도움을 주기 위해 PCI DSS 인증 설명회를 지원하고 있다. 그렇기 때문에 혼란이 가중되는 것을 막기 위해서는 여행사의 문의에 좀 더 적극적으로 대응할 필요가 있다.

 

이에 KATA 측은 “카드 사고 예방 및 보호는 전 세계적인 추세로 보안 규정을 강화하자는 의미에서 PCI DSS는 여행업계에 꼭 필요한 제도라고 본다”며 “여행사 뿐 아니라 호텔, 리조트 등을 비롯한 전자상거래 업체들에도 확대될 예정”이라고 밝혔다.

 

<김기령 기자> glkim@gtn.co.kr