비씨카드

비씨카드가 온라인 결제 핵심 업무를 특정 외부업체 한 곳에 몰아넣고도 비상 대응 훈련에서 해당 업체를 제외하는 등 허술한 리스크 관리를 해오다 금융감독원 제재를 당했다. 

이에 금감원은 11일, 비씨카드에 '경영유의사항' 2건과 '개선사항' 2건을 통보했다. 재해복구센터(DR)가 국제카드사 등 핵심 연계기관과 연결조차 되지 않은 사실도 드러났다. 

온라인 결제 1곳에 몰빵····단일 장애지점 관리로 장애 발생 시 대처 안 돼

비씨카드는 온라인 결제 과정 대부분을 1곳에 위탁해 수행하고 있었다. 문제는 그 업체가 대체수단이 없는 '단일 장애지점'이라는 점이다. 

해당 업체에 장애가 발생할 경우, 삼성페이나 네이버페이 등 타사 간편결제를 제외한 비씨카드의 온라인 결제 업무가 전면 중단되는 구조다.

상황이 이런데도 비씨카드는 업체 관리에 미흡했다. 전산 성능 및 운영 상황(SLA) 점검은 연 1회 수행에 그쳤고, 위탁업무 장애 시 대응을 위한 비상대책 수립도 미흡했다. 

더욱 심각한 것은, 비씨카드가 매년 고객사 및 VAN사와 합동 재해복구전환훈련을 실시하면서도, 정작 온라인 결제의 '아킬레스건'인 J사와의 연계 훈련은 단 한 번도 실시하지 않았다는 점이다.

국제카드사·ARS 인증, 재해복구센터 연결도 누락

비상 대응 체계의 구멍은 이뿐이 아니었다. 비씨카드는 주전산센터 재해 발생에 대비해 재해복구센터를 운영하면서도, 핵심 업무와 관련된 일부 고객사 및 일부 국제카드사와 재해복구센터 간 전용회선을 연결하지 않았다. 

재해 발생으로 재해복구센터가 가동되는 순간, 이들 기관과 연계된 외부 서비스가 중단될 위험에 그대로 노출된 것이다.

또한 ARS 인증이나 '1원 인증'으로 불리는 계좌점유인증 서비스에 대해 장애 발생 시 대체수단을 마련하지 않아, 해당 서비스가 중단되면 페이북 머니 계좌 연결 등 관련 전자금융거래가 불가능해지는 문제점도 발견됐다.

페이북 클라우드 감사 '0'···3자 관리 총괄 부서조차 없어

이러한 문제들은 비씨카드의 부실한 제3자 관리 체계에서 비롯됐다. 비씨카드는 다수의 외부 전문업체와 계약을 맺고 있으면서도, 이들을 총괄하는 관리부서나 관리 체계, 심지어 업무 영향도를 평가할 기준조차 수립하지 않은 것으로 드러났다.

특히 페이북 서비스 등에 이용하는 클라우드 서비스의 인프라 및 보안 운영 업무를 외부업체(MSP)에 위탁하고도, 이에 대한 내부감사 절차를 전혀 마련·운영하지 않았다. 

심지어 자체 인프라(On-Premise)와 클라우드 서비스의 재해복구 전환 매뉴얼을 각각 다른 부서가 따로 관리하는 등, 전사 차원의 재해복구시스템 전환이 원활하지 않을 우려가 제기됐다.