강화되는 글로벌 결제 보안 규제, 플랫폼 기업이 떠안는 비용과 과제

유럽과 미국을 중심으로 결제 데이터 보안과 사용자 인증을 둘러싼 규제가 다시 한 번 조여지고 있다. 유럽연합은 기존 PSD2(결제서비스지침) 체계를 보완하는 후속 규율 논의를 이어가고 있고, 미국에서는 카드 결제 표준인 PCI DSS의 최신 요구사항이 단계적으로 의무화되는 흐름이다. 핵심은 결제 과정에서 발생하는 사기와 데이터 유출을 줄이기 위해 강력고객인증(SCA), 토큰화, 암호화 키 관리 같은 기술적 통제를 더 촘촘하게 요구한다는 점이다. 결과적으로 이 비용과 책임의 상당 부분이 결제를 중개하는 플랫폼 기업에게 옮겨가고 있다는 평가가 나온다.

규제가 강화되는 배경은 단순하다. 비대면 결제와 국경 간 거래가 늘면서 카드 정보 도용, 계정 탈취, 자동화된 사기 거래가 함께 증가했기 때문이다. 규제 당국의 논리는 명확하다. 사고가 터진 뒤 소비자를 구제하는 것보다, 결제 단계에서 인증과 데이터 보호를 의무화해 사고 자체를 줄이는 편이 사회적 비용이 낮다는 것이다. 법적으로 보면 이는 책임 소재를 사용자 개인이 아니라 결제 서비스를 제공하는 사업자 쪽으로 명확히 이동시키는 방향이다. 즉 플랫폼은 단순 중개자라는 위치에 더는 안주하기 어려워졌다.

해외 업계의 반응은 이해관계에 따라 갈린다. 대형 결제 사업자나 글로벌 핀테크는 이미 보안 인프라에 상당한 투자를 해 온 만큼, 규제 강화가 오히려 영세 경쟁사와의 진입 장벽을 높여 자신들에게 유리하게 작용할 수 있다는 시각이 있다. 반대로 중소 가맹점과 신생 플랫폼은 추가 인증 절차가 결제 이탈률을 높이고, 컴플라이언스 인력과 감사 비용을 감당하기 버겁다는 우려를 드러내는 것으로 알려졌다. 강력고객인증을 도입한 뒤 결제 단계에서 이탈하는 사용자가 늘었다는 현장 불만도 반복적으로 제기돼 왔다. 보안과 사용자 편의 사이의 균형이라는, 오래된 숙제가 다시 전면에 떠오른 셈이다.

한국 독자 입장에서 이 흐름이 멀게만 느껴지지는 않는다. 국내 결제 시스템은 자체적인 인증 체계를 발전시켜 왔지만, 해외 결제를 처리하거나 글로벌 카드망에 연결된 서비스는 결국 이런 국제 표준을 따라야 한다. 해외 직구 플랫폼, 구독형 콘텐츠 서비스, 국경 간 송금을 다루는 핀테크라면 해외 규제 변화가 곧 자사 정책 변경으로 이어질 가능성이 크다. 소비자 입장에서도 결제 단계가 한 단계 늘거나, 일부 해외 서비스의 결제 방식이 바뀌는 형태로 체감될 수 있다.

다만 아직 확정적으로 말하기 어려운 부분이 많다는 점은 분명히 해 둘 필요가 있다. 후속 규제의 세부 시행 시점과 적용 범위는 지역별로 협의가 진행 중이며, 의무화 일정도 유예되거나 조정될 가능성이 남아 있다. 리스크 측면에서는 컴플라이언스 비용 증가와 결제 이탈이, 기회 측면에서는 보안 신뢰도를 갖춘 사업자의 경쟁력 강화가 동시에 거론된다. 결국 규제가 플랫폼에 주는 부담의 크기는 각 기업이 보안 투자를 비용으로만 볼지, 신뢰 자산으로 볼지에 따라 달라질 전망이다. 구체적인 시행 일정과 적용 대상은 각 규제 당국의 최신 발표를 통해 확인하길 권한다. [최신 정보 확인 권장]