개인정보 보호 및 정보보안

Strategy

정책 및 전략
BGF리테일은 비즈니스의 연속성 확보와 각종 보안 리스크로부터 정보 자산을 보호하기 위해 정보보안 관리 규정 및 개인정보 관리 규정을 수립해 보안관리체계가 효과적으로 운영될 수 있도록 운영하고 있습니다. BGF리테일은 국가 및 산업에서 정하는 정보보호 관련 규제 사항을 준수하고 있으며 정기적인 보안점검을 통해 정보보안 리스크를 최소화 하고 있습니다. 또한, 개인정보 처리방침을 매년 현행화하고 있으며 2023년 상반기에는 ‘읽기쉬운 개인정보처리방침’을 홈페이지에 추가하여 핵심사항을 이해하기 쉽도록 별도의 안내지침을 마련하였습니다.

읽기쉬운 개인정보처리 방침


정보보호 원칙

1. BGF리테일은 지속적인 정보 보안 개선 및 향상 활동으로 경영 목표를 달성하여야 한다.

2. 임직원은 정보보호 중요성을 인식하고 규정을 준수하여야 한다. 

3. BGF리테일은 정보 보안 사고 발생 시  신속하게 대응하고 재발 방지 대책 수립에 노력하여야 한다.


거버넌스 
BGF리테일은 사내 정보보안을 위해 정보보안 거버넌스 체계를 구축하고 정보보호 최고책임자를 지정하여 관리체계를 관리 감독하고 있습니다. 개인정보보호 책임자(CPO, Chief Privacy Officer)로는 C-level급 임원인 혁신부문장이 정보보안 및 개인 정보 체계를 총괄하고 있습니다. 개인정보 보호책임자 선임 요건으로는 개인정보보호, 정보보호, 정보기술 분야에서 총 4년 이상의 경력을 보유해야 하며, 그 중 개인정보보호 경력은 최소 2년 이상이어야 합니다. 또한, 정보보호위원회의 위원장인 혁신부문장이 사이버보안 전략을 총괄하고 있습니다. 산하 조직인 정보보호위원회, 정보보호 전담 조직은 업무 규정 및 프로세스를 정립함으로써 정보보안 관리를 수행합니다. BGF리테일의 개인정보 보호 정책과 시스템은 그룹 전체의 리스크 관리 영역에 포함되며, 보안관리자인 정보보안팀장은 리스크 발생 시 매뉴얼에 따라 위기관리 위원회에 보고하고  모니터링합니다.

Image

Target

BGF리테일은 ‘정보보안 중장기 투자계획 2030’에 따라 정보보호 관리체계 인증 및 CU 점포 보안 강화를 목표로 2024년부터 2030년까지 매년 노후 보안장비를 교체하고, 사이버 보안 최신 동향에 따라 필요한 시스템을 고도화하는 등 정보보안을 강화할 예정입니다.

구분내용
2024년

• 웹·앱 소스코드 분석 강화

• 개인정보 보유·처리 시스템 도입 및 관리체계 구축

• 점포 정보보안 체계 강화

2025년

• 무선 보안 고도화

• 개인정보 보유·처리 시스템 관리 체계 고도화

 점포 정보보안 체계 강화

2026년~

 통합 보안관리솔루션 구축

 점포 정보보안 체계 강화


Assssment

개인 정보 관리체계
BGF리테일은 개인정보 관리 규정을 수립하여 이를 기반한 정기적인 점검을 진행합니다. 법규 제·개정, 산업 전반 정보보안 이슈, 내부 점검을 통해 리스크 파악을 전개하고 있으며 이를 통해 발견된 리스크는 수시로 개선해 나가고 있습니다.

Image


정보보안 리스크 식별
BGF리테일은 한국인터넷진흥원에서 발표한 개인정보보호 동향보고서 및 개인정보보호위원 모니터링과 고객 정보 유출 이슈는 없었으나 2023년 2월 발생한 브랜드 홈페이지 침해 사고에 따라 BGF리테일은 고객정보 보호 관리를 주요 리스크로 파악하여 대응하였습니다.  


정보보안 리스크 대응 및 완화 조치
BGF리테일은 2023년 정보보호 전문 업체를 통해 주요 고객정보 보유 시스템을 대상으로 개인정보보호 실태조사를 시행하였습니다. 또한, 관련 법 개정 사항을 반영한 체크리스트를 기준으로 개인정보 라이프 사이클, 개인정보 보호조치, 개인정보 처리방침 공개, 개인정보 유출 대응체계 등을 종합적으로 점검 하여 약 42건의 개선사항을 도출 하였습니다. 도출된 개선사항을 담당부서에 전달하고 구체적인 대응 가이드를 제공하여 조치기간 내 개선될 수 있도록 지원하고 있습니다. 지속적인 사후 점검을 통해 개인정보보호 실태조사가 점검에서 끝나지 않고 실질적인 효과를 거둘 수 있도록 노력하고 있으며, 2023년도 고객 정보유출 사례는 발생한 바 없습니다.


취약성 분석
외부로부터 발생하는 해킹 및 사이버 침해 사고에 대응하고자 연 1회 정보보안 컨설팅을 통해 모의 해킹 관련 당사 보안체계 진단 및 서버 취약점을 분석하고 선제적인 조치 대응을 마련하고 있습니다. 또한, 최신 보안 동향 파악과 함께 KISA 보안 취약점 안내에 따라 업무용 PC와 시스템 보안 취약사항에 대한 정기적으로 보완하고 있으며 원격 사이버 침해 관제를 통한 위협 분석과 침해사고에 대응하고 있습니다.


정보보호 관리체계(ISMS) 인증
BGF리테일은 정보보호 관리체계(ISMS) 인증을 취득하였으며 2023년에는 전문인력을 통한 개인정보 실태조사를 통해 인증 체계를 강화하였습니다. ISMS 인증을 위해 연1회 CU멤버십, BGF리테일 홈페이지, 가맹점주 시스템 전반에 걸쳐 고객 정보보호 정책 및 이행 활동에 대한 평가를 진행하였으며, 정보보호 리스크 평가, 내부심사, 시스템 취약점 분석 등의 활동을 통해 정보보안을 강화해 나가고 있습니다. 2023년에는 갱신 심사 대응을 통해 ISMS 운영 체계를 검증 받은 바 있습니다.

Performance

정보보안 사고 대응 프로세스

BGF리테일은 정보보안 침해 사고 발생 시 신속하고 원활한 조치를 위해 사고 대응 프로세스를 구축하고 있습니다. 당사가 보유한 유무형 자산, 영업비밀 등 모든 정보 자산 및 활동과 연계된 자(임직원, 협력회사 임직원, 내방객 등 포함)가 정보보안·개인정보 관리규정을 위반했을 경우에는 규정에 의거하여 위반사항의 경중에 따라 상벌위원회 회부에 따른 징계 또는 고발 조치될 수 있습니다.

Image







정보유출 및 침해

구분단위202120222023
위반/유출총 정보유출 건수000
총 정보보안 위반 건수000
침해개인 식별 정보(PII) 침해 비율%000
데이터 침해의 영향을 받는 대상 고객 수만 명500580613
고객 불만총 불만 건수000
규제 당국에 의해 입증된 건수000
고객 프라이버시 침해 불만 건수000


정보보호 교육
BGF리테일은 매년 전 임직원을 대상으로 개인정보보호 및 정보보안 교육을 진행하고 있으며, 정보보호 담당자 대상으로는 최신 정보보안 동향 및 보안 기술 등 전문 교육을 실시하고 있습니다. 또한, 전사 정보접근 통제규정을 모든 임직원이 열람할 수 있도록 공개하고 있습니다. 또한, 대고객 서비스 정보 보안을 위해 모의해킹, 재해복구, 악성 메일 모의 훈련을 연 1회 진행하고 있습니다.

구분단위202120222023
직원 1인당 교육시간시간531.25


Image