비씨카드는 IT정보의 유출 및 해킹 등 침해사고를 방지하기 위해 관리적, 기술적, 물리적 측면의 3가지 영역을 설정하고 엄격한 내부통제활동을 수행하고 있다. 또한 재해 발생 시에도 핵심 업무의 연속성을 유지할 수 있도록 재해복구(DR)센터를 운영 중이다.
비씨카드는 고객정보 보호를 위해 CEO 직속으로 정보보안실을 설치하고 임원을 정보보호최고책임자(CISO)로 임명하고 있다. ISO27001과 ISMS 등 국내외에서 보안인증을 획득해 유지하고 있다. 또 VDI 기반의 망 분리 환경을 구축했고 업무 망과 인터넷 망을 전면 분리했다.
업무용 단말기가 외부 악성코드에 의한 감염 및 침해사고 발생 차단은 물론, 고객정보 외부 유출에 대해서도 차단하고 있다. 인가를 받지 않은 USB, 외장하드, 노트북 등은 반입을 전면 통제한다.
외부로부터 고객정보를 보호하고 보안을 강화하기 위해 전산센터를 별도의 건물에 분리, 출입구에 X-RAY 검색기와 스캐너 검색기를 설치해 혹시라도 모를 정보유출 사고에 만전을 기하고 있다.
24시간, 365일 통합보안관제센터를 운영하면서 코스콤 금융ISAC와 관제모니터링을 실시하고 있다. DB 보안을 위해 방화벽 등 네트워크 보안시스템을 구축·운영하고 DDoS 등 외부침해사고에 대응하기 위해 주기적으로 모의훈련을 실시하고 있다.
비씨카드는 ‘고객정보 취급 인가자’라는 독특한 제도를 운영하고 있다. 사전 승인된 인가자 외에는 접근이 통제되며, DB계정에서 고객정보에 접근한 이력을 모니터링하고 있다.
전 임직원을 대상으로 한 교육과 점검 활동도 집중하고 있다.
매분기 문서 및 PC 보안 등에 대해 전사적인 점검을 진행하고 있으며, 외부 메일 전송할 때에는 부서장 승인 후 첨부 파일을 암호화해 발송하도록 의무화했다.
모든 임직원 PC에 문서보안솔루션을 설치, 회사 내부에서 사용하는 모든 문서에 암호화를 적용했다. 외부에서는 열람이 불가능하도록 조치했다. 또 고객정보 검색 솔루션을 도입해 허가된 자 이외에 고객정보 보유 현황에 대해 체크하고 있으며, 적발된 임직원에 대해 재발 방지 교육 등을 진행하고 있다.
DR센터는 테러 등 재해 발생 시 거래 승인은 10분 이내에 복구 가능하도록 준비 태세를 갖추고 있다. 또 이전의 단순한 데이터 보관 기능에서 한 단계 업그레이드 해 메인시스템과 실시간으로 데이터를 공유해 DR시스템에서도 승인업무 처리가 가능하다.
비씨카드는 지난해 7월 각종 재해, 재난발생 시에도 핵심 업무를 신속하게 진행하고 시스템을 복구해 대고객 서비스를 지속할 수 있도록 민·관·군 통합 모의훈련을 국내 신용카드사 최초로 실시했다. 훈련은 DR시스템 점검과 업무의 연속성을 유지할 수 있는 단계적 대응에 집중됐다.
비씨카드 관계자는 “소중한 고객정보 보호를 위해 내부통제 활동 및 업무연속성 프로그램(BCP)을 운영하는 등 리스크 관리 체계를 보다 효율화하기 위한 투자와 노력을 강화하고 있다”며 “이를 통해 거래승인, 가맹점 대금결제 등 핵심 업무의 365일 안정적 운영이 가능하다”고 밝혔다.
길재식기자 osolgil@etnews.com
