결제 관련 규정 준수: 주요 규정 및 모범 사례
자금이 오가는 모든 사업은 규정 준수 문제를 안고 있습니다. 카드 거래, 전자상거래 결제, 암호화폐 결제 등 어떤 채널을 이용하든 마찬가지입니다. 규정은 적용되며, 위반 시 실질적인 처벌이 따르고, 이를 무시하면 결코 순순히 넘어가지 않습니다.
결제 관련 규정 준수가 어려운 이유는 규정이 존재한다는 사실 자체에 있는 것이 아닙니다. 오히려 특정 사업에 적용되는 규정이 무엇인지, 규정들이 서로 어떻게 연관되는지, 그리고 실제로 무엇을 해야 하는지 이해하기 어렵기 때문입니다. 이 가이드는 바로 이러한 내용을 다룹니다.
결제 규정 준수란 무엇이며 왜 중요한가?
서로 다른 결제 서비스 제공업체 다섯 곳에 "결제 규정 준수"가 무엇을 의미하는지 물어보면 아마도 다섯 가지 다른 답변을 들을 수 있을 것입니다. 실제로 결제 규정 준수는 기업이 결제 데이터를 수집, 저장, 전송 및 처리하는 방식을 규율하는 모든 규칙을 포괄합니다. 이러한 규칙이 존재하는 이유는 결제 시스템에 문제가 발생할 경우(사기, 자금 세탁 또는 데이터 유출 등) 피해가 빠르고 광범위하게 확산되기 때문입니다.
이러한 의무를 준수해야 하는 사업체는 기본적으로 디지털 방식으로 자금을 처리하는 모든 사업체를 포함합니다. 온라인 소매업체, SaaS 플랫폼, 마켓플레이스, 핀테크 기업, 암호화폐 판매업체 등이 여기에 해당합니다. 규모에 따른 예외는 없습니다. 직원 10명 규모의 스타트업이라도 대기업과 동일한 핵심 요건을 충족해야 합니다.
이 문제의 심각성을 보여주는 수치들을 살펴보겠습니다. 결제 사기 및 전자상거래 손실액은 2023년부터 2027년까지 3,430억 달러 에 달할 것으로 예상됩니다. 버라이즌의 2023년 결제 보안 보고서에 따르면 , 기업의 64%가 여전히 PCI DSS 규정을 완벽하게 준수하지 못하고 있습니다. 단 한 번의 데이터 유출 사고로 소송, 강제 감사, 카드 네트워크 제재 등이 발생하여 해결하는 데 수년이 걸릴 수 있습니다.
규정을 준수하면 결제 네트워크 접근성을 유지할 수 있습니다. 규정 위반이나 데이터 유출로 인해 규정을 잃게 되면 네트워크 접근이 영구적으로 차단될 수 있습니다.
전 세계적으로 결제 규정 준수를 규제하는 기관은 어디인가요?
전 세계적으로 결제 규정 준수를 총괄하는 단일 기관은 없습니다. 여러 기관들이 각 관할 구역에 걸쳐 기준을 설정하고 규칙을 시행하며, 대부분의 기업은 하나 이상의 기관에 책임을 져야 합니다.
| 조절기 | 관할권 | 범위 |
|---|---|---|
| PCI SSC (결제 카드 산업 보안 표준 위원회) | 글로벌 | PCI DSS를 설정합니다. 이는 카드 결제에 대한 기본 데이터 보안 표준입니다. |
| FATF (금융행동특구) | 글로벌 (40개 이상 회원국) | 자금세탁방지 및 테러자금조달방지 기준을 설정합니다. |
| 유럽은행감독청(EBA) / 유럽중앙은행(ECB) | 유럽 연합 | PSD2를 시행하고 결제 서비스 제공업체에 라이선스를 부여합니다. |
| FinCEN (금융범죄단속네트워크) | 미국 | 자금세탁방지법 집행, 은행비밀보호법, 암호화폐 관련 지침 |
| FTC (미국 연방거래위원회) | 미국 | 소비자 데이터 보호, 불공정한 지불 관행 |
| ICO / 데이터 보호 당국 | EU와 영국 | GDPR 시행 |
| 중앙은행 | 각 국가 | 현지에서 결제 서비스 제공업체에 대한 라이선스를 발급하고 감독합니다. |
예를 들어, EU에 기반을 둔 판매자가 해외 고객으로부터 미국 카드를 받는 경우 PCI DSS, GDPR, 그리고 경우에 따라 FinCEN 지침까지 모두 동시에 준수해야 합니다. 이러한 중복되는 규정을 관리하는 것이 바로 국경을 넘나드는 사업에서 결제 규정 및 규제 준수를 실천하는 방법입니다.
주요 결제 관련 규정 설명
다섯 가지 규정이 대부분의 기업이 준수해야 할 주요 사항을 정의합니다. 각 규정은 서로 다른 위험 영역을 대상으로 하며, 고유한 벌칙 체계를 가지고 있습니다.
- PCI DSS (결제 카드 산업 데이터 보안 표준)는 카드 소유자 데이터를 저장, 처리 또는 전송하는 모든 기관에 적용됩니다. 이 표준은 12가지 기술 및 운영 요구 사항을 명시하고 있습니다. PCI DSS를 준수하지 않을 경우 위반 정도에 따라 월 5,000달러에서 100,000달러의 벌금이 부과될 수 있습니다.
- PSD2 (결제 서비스 지침 2)는 유럽 경제 지역(EEA) 전역의 결제 서비스 제공업체를 규제합니다. 핵심 요구 사항은 전자 거래에 대한 강력한 고객 인증(SCA)입니다. 위반 시 최대 500만 유로 또는 전 세계 연간 매출의 3%에 해당하는 벌금이 부과될 수 있습니다.
- 자금세탁방지 (AML)/고객확인(KYC ) 규정은 기업이 고객의 신원을 확인하고(고객확인), 의심스러운 거래 활동을 감시하며, 의심스러운 활동 보고서를 제출하도록 요구합니다. 이러한 규정은 자금세탁방지기구(FATF)의 권고를 바탕으로 제정된 각국의 법률에서 비롯됩니다.
- GDPR/CCPA — 유럽연합의 일반 데이터 보호 규정(GDPR)과 캘리포니아 소비자 개인정보 보호법(CCPA)은 결제 분야의 데이터 개인정보 보호에 관한 규칙을 정하고, 개인 데이터 및 결제 정보의 수집, 저장, 처리 방식을 규정합니다. GDPR 위반 시 최대 벌금은 2천만 유로 또는 전 세계 연간 매출액의 4%에 달합니다. 2022년 메타(Meta)가 부과받은 4억 5백만 유로의 벌금은 규제 당국이 대규모로 법을 집행할 것임을 보여줍니다.
- BSA/FinCEN 규정 — 미국 은행비밀보호법(BSA)은 금융기관과 자금 서비스 사업자가 자금세탁방지(AML) 프로그램을 유지하고, 1만 달러 이상의 현금 거래를 보고하며, 의심스러운 거래 보고서(SAR)를 제출하도록 요구합니다. FinCEN은 이러한 의무를 미국에서 운영되는 암호화폐 사업자에게도 확대 적용했습니다.
PCI DSS 4.0: 결제 데이터 보안의 기반
대부분의 온라인 비즈니스는 다른 규정보다 먼저 PCI DSS를 준수해야 합니다. 버전 4.0은 2022년에 최종 확정되어 2025년 4월부터 전면 시행되며, 판매자와 결제 서비스 제공업체가 알아야 할 중요한 변경 사항을 포함하고 있습니다.
규정 준수 수준은 연간 카드 거래량에 따라 달라집니다.
- 레벨 1 : 연간 600만 건 이상의 거래 처리 - 공인 보안 평가사(QSA)의 연례 현장 감사 실시
- 레벨 2 : 연간 100만~600만 건의 거래 — 연간 자체 평가 설문지(SAQ) 및 분기별 네트워크 분석
- 레벨 3 : 연간 2만~100만 건의 전자상거래 거래 — SAQ 및 분기별 스캔
- 레벨 4 : 연간 전자상거래 거래 건수 2만 건 미만 — SAQ 권장
4.0 버전과 3.2.1 버전의 차이점은 무엇인가요?
- 맞춤형 접근 방식 : 이제 기업은 규정된 기술 사양을 문자 그대로 따르는 대신, 요구 사항의 취지에 부합하는 대체 제어 방식을 구현할 수 있습니다.
- 필수 다단계 인증(MFA) : 이제 원격 세션뿐 아니라 카드 소지자 데이터 환경에 대한 모든 접근에 다단계 인증이 필수입니다.
- 피싱 및 소셜 엔지니어링 대응 교육 : 맞춤형 인식 교육은 권장 사항이 아닌 필수 요건입니다.
- 더욱 강력한 비밀번호 : 최소 12자(기존 8자에서 증가), 고위험 계정의 경우 90일마다 자동 비밀번호 변경
PCI DSS를 무시할 경우 발생하는 비용은 막대합니다. 2008년 하트랜드 페이먼트 시스템즈(Heartland Payment Systems)가 데이터 유출 사고를 겪었을 때, 총 손실액은 2억 달러를 넘어섰습니다. 주가는 며칠 만에 50% 폭락했고, 회복되기 전까지 77%의 가치를 잃었습니다. 소규모 기업은 대개 이러한 상황에서 살아남지 못합니다.
자금세탁방지(AML) 및 고객확인제도(KYC): 금융범죄 근원 탐지
자금세탁방지(AML) 규정 준수란 금융범죄가 플랫폼을 통해 유입되기 전에 이를 적발하는 시스템을 구축하는 것을 의미합니다. 고객확인(KYC) 절차는 이러한 모니터링을 가능하게 하는 핵심 요소입니다.
자금세탁방지법(AML) 준수에 실제로 필요한 사항:
- 거래 모니터링 : 자동화 시스템은 대규모 이체, 급격한 자금 이동, 거래 분할(보고 기준치 미달을 방지하기 위해 거래를 여러 개로 나누는 행위)과 같은 비정상적인 패턴을 감지합니다.
- SAR 신고 : 의심스러운 활동이 발견되면 지정된 기간 내에 관련 당국에 의심스러운 활동 보고서를 제출해야 합니다.
- 제재 대상 심사 : 모든 고객 및 거래 상대방을 OFAC, UN 및 EU 제재 목록과 실시간으로 대조하여 확인합니다.
- 고객 실사(CDD) : 일회성 온보딩 점검이 아닌 지속적인 위험 프로필 검토
- 강화된 실사(EDD) : 고위험 고객, 즉 정치적으로 노출된 인물(PEP) 및 고위험 관할 지역 출신자에 대한 더욱 심층적인 조사
신규 고객 온보딩 시 KYC(고객 신원 확인)는 일반적으로 신분증(정부 발행 신분증, 주소 증명) 확인 및 생사 확인을 포함합니다. 하지만 이제 eKYC 솔루션은 AI를 활용하여 이러한 과정을 몇 초 만에 처리하며, 대규모 비즈니스 온보딩에서 표준으로 자리 잡았습니다.
FATF(자금세탁방지기구)의 트래블 룰은 암호화폐에 특화된 규정을 추가합니다. 가상자산 서비스 제공업체는 1,000달러 이상의 송금에 대해 송금인과 수취인 정보를 수집하고 전송해야 합니다. 정확한 기준 금액은 관할 지역에 따라 약간씩 다르지만, 이 의무는 송금 대상이 비트코인, 스테이블코인 또는 기타 디지털 자산인지 여부와 관계없이 적용됩니다.
PSD2, SCA 및 오픈뱅킹 요구사항
PSD2는 EU 전역의 결제 서비스 제공업체를 위한 인증 방식을 혁신했습니다. 핵심 원칙인 강력한 고객 인증(Strong Customer Authentication)은 이제 유럽 경제 지역(EEA)에서 운영되는 모든 결제 서비스의 표준이 되었습니다.
SCA는 세 가지 독립적인 요소 중 최소 두 가지를 사용하여 인증을 요구합니다.
- 알고 있는 정보 : 비밀번호, PIN, 보안 질문
- 가지고 있는 것 : 휴대폰, 하드웨어 토큰, 스마트 카드
- 당신을 식별하는 정보 : 지문, 얼굴 인식, 음성 패턴
3D Secure 2.0은 카드 미소지 거래에 대한 강력한 고객 인증(SCA)을 구현하기 위한 주요 기술 표준입니다. 이는 가맹점, 카드 네트워크 및 발급 은행 간에 위험 신호를 전달하여 위험도가 낮은 거래는 문제없이 처리되도록 합니다.
SCA 면제는 불필요한 마찰을 줄이기 위해 존재합니다.
| 면제 | 상태 |
|---|---|
| 소액 거래 | 30유로 미만 (연속 거래 5건 또는 누적 100유로까지) |
| 신뢰할 수 있는 수혜자 | 고객이 수취인을 사전 승인했습니다. |
| 정기적인 고정 금액 지급 | 매 기간 동일 수취인에게 동일 금액 지급 |
| 기업 결제 도구 | 전용 비즈니스 결제 프로토콜 |
| 거래 위험 분석 | 정의된 임계값 미만의 실시간 사기 점수 |
PSD2는 또한 오픈뱅킹을 의무화합니다. 은행은 고객 동의를 얻어 API를 통해 허가받은 제3자 제공업체에 고객 계좌 데이터에 대한 접근 권한을 제공해야 합니다. 이러한 접근 규칙 준수는 라이선스 발급 조건이며 선택 사항이 아닙니다.
암호화폐 및 디지털 자산 분야의 결제 규정 준수
대부분의 결제 관련 규정 준수 지침은 카드 결제와 계좌 이체에만 초점을 맞추고 있습니다. 이는 심각한 공백입니다. 암호화폐 판매자, 결제 게이트웨이, 그리고 디지털 자산 사업자는 자금세탁방지(AML) 및 고객확인(KYC) 규정을 모두 준수해야 할 뿐만 아니라, 점점 더 강화되는 암호화폐 관련 규정까지 추가로 부담해야 합니다.
가상자산 서비스 제공업체(VASP) - 즉, 암호화폐 거래소, 지갑, 결제 게이트웨이 - 는 자금세탁방지기구(FATF) 지침에 따라 금융기관으로 취급됩니다. 실제로 이는 다음과 같은 의미입니다.
- 신규 고객 온보딩 시 완전한 KYC 절차, 지속적인 거래 모니터링 및 SAR 신고 의무
- FATF 송금 규정 : 1,000달러 이상의 송금에는 송금인 이름, 송금 계좌 번호 및 수취인 정보가 거래와 함께 전송되어야 합니다.
- 미국 내 암호화폐 사업체를 위한 FinCEN의 자금 서비스 사업자 등록
- 2024년부터 시행된 EU 암호화폐 시장 규제(MiCA )에 따른 라이선스는 스테이블코인 발행자와 암호화폐 서비스 제공업체의 준비금 요건, 소비자 보호 규정 및 정보 공개 의무를 포함합니다.
실질적인 과제는 각기 다른 결제 확정성과 추적성을 가진 수백 개의 자산과 블록체인 전반에 걸쳐 규정 준수가 이루어져야 한다는 점입니다. 이를 처음부터 구축하는 것은 비용이 많이 들고 시간이 오래 걸립니다.
Plisio는 게이트웨이 수준에서 규정 준수를 처리하며, 200개 이상의 암호화폐를 지원하는 동시에 자금세탁방지(AML) 규정을 준수하는 거래 모니터링 및 고객확인(KYC) 절차에 적합한 가맹점 등록을 제공합니다. 자체적인 규정 준수 인프라 구축 없이 암호화폐 결제를 도입하고자 하는 전자상거래 기업에게는 규제 관련 복잡성을 처리해주는 게이트웨이를 선택하는 것이 실용적인 해결책입니다.
결제 규정 준수 워크플로 구축 방법
규정 준수는 일회성으로 켜고 끄는 도구가 아닙니다. 지속적으로 실행되는 프로세스이며, 일회성 프로젝트로 취급하면 제대로 작동하지 않습니다.
- 환경 범위를 설정하세요 . 결제 데이터와 관련된 모든 시스템(결제 페이지, 결제 처리 시스템, 데이터베이스, 타사 통합 시스템 등)을 파악하십시오. PCI DSS는 범위에 포함된 내용만 다루며, 대부분의 데이터 유출 사고는 범위에 포함되지 않은 곳에서 발생합니다.
- 규정 준수 격차 분석을 실시하십시오 . 현재 통제 사항을 PCI DSS, AML/KYC 요구 사항 및 GDPR(또는 CCPA)과 비교하여 평가하십시오. 현재 갖춰진 사항뿐만 아니라 부족한 사항도 기록하십시오.
- 기술적 통제를 구현하세요 . 토큰화는 카드 번호를 민감하지 않은 토큰으로 대체하고, 암호화는 전송 중 및 저장된 데이터를 모두 보호합니다. 이 두 가지 조치만으로도 PCI DSS 적용 범위의 대부분을 제거할 수 있습니다.
- 거래 모니터링 시스템을 구축하세요 . 자동화 시스템은 의심스러운 거래를 실시간으로 감지해야 합니다. 시스템 가동 전, 즉 가동 후에가 아니라 가동 전에 경고 규칙, 검토 대기열 및 에스컬레이션 경로를 정의하십시오.
- 직원 교육 실시 — 소셜 엔지니어링과 피싱 공격은 기술적 오류보다 더 많은 보안 침해를 유발합니다. PCI DSS 4.0에서는 맞춤형 보안 인식 교육을 필수로 요구하며, 이를 실질적인 관리 조치로 간주해야 합니다.
- 정책, 절차, 감사 기록, 사고 대응 계획 등 모든 것을 문서화하십시오 . 규제 기관은 단순히 시스템이 작동하는 것뿐 아니라 의지와 역량을 입증할 수 있는 증거로 문서를 요구합니다.
- 정기적인 감사 일정을 수립하세요 . 연간 PCI DSS 평가, 분기별 네트워크 검사, 그리고 지속적인 자금세탁방지(AML) 프로그램 검토를 실시해야 합니다. 적극적인 관리가 없으면 규정 준수가 흐려질 수 있습니다.
- PCI DSS 규정을 준수하는 결제 파트너를 선택하세요 . 결제 처리업체, 게이트웨이 및 은행 파트너는 공동 책임을 집니다. 인프라 수준에서 PCI DSS를 처리하는 파트너를 선택하면 관리 부담을 크게 줄일 수 있습니다.
전자상거래 결제 규정 준수를 위한 모범 사례
일단 결제 규정 준수 프로그램이 운영되기 시작하면, 다음 사항들을 통해 프로그램이 조용히 무너지는 것을 방지할 수 있습니다.
- PCI DSS 레벨 1 인증 게이트웨이를 사용하면 카드 소유자 데이터 처리를 공급업체에 위임하여 일반적으로 PCI DSS 적용 범위를 SAQ A로 줄일 수 있습니다.
- 3D Secure 2.0을 활성화하면 카드 미소지 거래에 대한 사기 위험을 줄이고 EU SCA 요건을 충족할 수 있습니다.
- 모든 것을 토큰화하세요 . 카드 번호는 입력 시점에 토큰으로 대체하고, 카드 소지자의 원시 데이터는 시스템에 절대 저장해서는 안 됩니다.
- 기기 지문 인식 및 IP 위치 정보 활용 — 결제 과정에 불편함을 더하지 않고 행동 데이터를 기반으로 사기 방지 신호를 구축합니다.
- 데이터 최소화 원칙을 적용하세요 . GDPR에 따라 필요한 데이터만 수집하고, 필요한 기간 동안만 보관하며, 정해진 일정에 따라 삭제하세요.
- 결제 활성화 전에 판매자를 검증하세요 . 마켓플레이스 또는 플랫폼에서 온보딩 규정 준수는 하위 판매자에게도 적용됩니다.
- 사고 대응 계획을 유지하세요 . GDPR은 데이터 유출 발생 후 72시간 이내에 규제 기관에 통보하도록 요구하며, 대부분의 미국 주에서는 30일을 요구합니다. 검증되지 않은 계획은 그저 문서에 불과합니다.
