MATERIAL TOPICS

정보보안 및 개인정보보호

Activity

• 정보보호 및 개인정보보호 원칙 기반의 철저한 관리
• 글로벌 정보보호 규제 대응
• 시스템 기반 모니터링 및 실사

Performance

3년 연속 정보보호 및 사이버보안 관련 위반

0건

2019년 임직원 정보보호 교육 참여율

100%

Business relevance & Approach

ICT 기술의 급격한 발달을 기반으로 데이터 및 정보 기반 인프라의 활용성이 극대화되는 한편, 정보 유출 및 사이버 공격 등 사회적 문제에 대한 우려가 커지면서 국내외 모두 정보보안 및 개인정보보호 관련 법규제가 강화되고 있습니다.

코웨이는 렌탈 비즈니스의 특성상 많은 고객의 개인정보를 수집합니다. 따라서 고객정보를 안전하게 처리하는 것은 고객과의 신뢰 형성에 핵심적인 문제이며, 사업의 지속가능성 측면에서 중요한 이슈입니다. 또한 IT 기술을 활용한 서비스의 확장, 온라인 유통채널 확대에 따라 고객정보의 유입 경로가 분산되어 이에 적합한 정보보호 체계 강화의 필요성이 증가하였습니다.

코웨이는 정보보호위원회와 정보보호위원장 겸 개인정보보호 책임자를 중심으로 정보보호 조직을 운영하고있습니다. 정보의 수집-보관-파기 전 과정에서의 정보보호 체계를 기반으로 정보보호에 최선의 노력을 기울이고 있습니다. 24시간 외부 공격 탐지 및 모니터링 체계를 운영하고 있으며, 임직원을 비롯한 수탁사의 개인정보 관리 및 교육을 강화하고 있습니다. 또한 글로벌 시장 진출 확대에 따라 유럽연합 데이터 보호 규칙(GDPR, General Data Protection Regulation) 등 글로벌 정보보호 규제에 대해 선제적으로 대응하고 있습니다.

Business Cases

정보보호 인증 현황

코웨이는 많은 고객의 개인정보를 수집하는 렌탈 비즈니스의 특성을 고려하여 전 사업 영역에서의 정보보호를 위해 정보보호 원칙과 개인정보보호 원칙을 수립 및 공유하고 있습니다. 코웨이는 정보보호 정책을 실무에 적용하기 쉽도록 정보보호 원칙과 지침으로 구성하였습니다. 2019년에는 정보통신망법, 개인정보보호법 등 법규 및 규제 변화에 따라 관련 내용을 추가하였으며, 중복 규정은 간소화하고 실행 가이드를 구체화하여 정보보호 규정을 개정하였습니다.

정보보호 및 개인정보보호 원칙

정보보호 원칙은 전 임직원에 적용되며 내부 데이터 관리 및 사이버 보안 준수 원칙, 정보위반 관련 사건 발생 시 대처 방안 및 보고 체계, 원칙 위반 시 발생사항 등을 포함하고 있습니다.

개인정보보호 원칙은 최소한의 개인정보 수집 및 활용, 안전한 관리 및 법규 준수에 대한 가이드로 구성되어 있습니다. 2019년 개인정보보호법의 제·개정에 따라 개인정보보호지침 및 개인정보처리방침을 개정하여 공지, 교육을 진행하였습니다. 코웨이는 직접 사업 영역뿐만 아니라 영업조직을 비롯한 수탁자 및 협력사에 개인정보 관련 지침 및 방침을 모두 적용하며 철저한 정보 관리를 추진하고 있습니다.

정보보호 조직

코웨이는 정보보호위원회를 중심으로 정보보호 조직을 운영하고 있습니다. 정보보호위원회는 IT 센터장을 중심으로 운영되는 임원급 위원회로, 각 사업부문별 부문장이 정보보호 위원으로 참여합니다. 정보보호위원회는 정보보안 및 개인정보 보호 영역의 통합관리체계를 구축하여 관리의 효율성을 높이고 있습니다. 정보보호 실무는 인프라보안팀을 중심으로 추진하고 있으며, 조직 내 개인정보보호 관리자를 두어 명확한 업무 분담 하에 전 임직원이 자율적이고 능동적으로 정보보호체계에 참여할 수 있도록 노력하고 있습니다.

철저한 데이터 보안 유지 및 고객 개인정보보호를 위해 코웨이는 다각적인 정보보호 활동을 추진하고 있습니다. 개인정보보호를 위해 정보 수집, 보관 및 활용, 파기에 이르는 라이프사이클 관리 체계를 도입하였으며, ISMS, ISO27001 등의 정보보호 관련 국제 인증을 기반으로 체계적 관리를 지속하고 있습니다. 또한, 글로벌 정보보호 규제에 대응하기 위해 유럽연합 데이터 보호 규칙(GDPR, General Data Protection Regulation)의 보호조치 준수를 위한 가이드를 마련하였습니다.

개인정보보호 라이프사이클 관리

코웨이는 개인정보 수집, 보관 및 활용, 파기의 전 과정에서 정보를 안전하게 관리하기 위해 개인정보보호 라이프사이클 관리를 추진합니다. 또한, 라이프사이클 전반에서 더욱 강화된 정보보호를 위해 관리영역, 물리영역 및 기술영역에서 정보보호대책을 실행합니다. 관리 영역에서 정보 자산 분류에 따른 정보 핸들링과 함께 정보보호 교육을 통한 인적 보안을 추진하며, 물리적인 관리 한계를 넘어 전체 시스템 통제 및 회복력 확보를 위해 기술영역에서 IT 시스템 기반의 진단, 통제 및 사고 복구를 진행하고 있습니다.

개인정보보호 라이프사이클 관리 체계

정보보호대책 상세 항목

고객의 개인정보 수집하고 정보 수집 동의를 구하는 과정에서 법규를 준수하고, 내용에 대한 명확한 설명을 제공함으로써 오해를 방지하기 위해 최선의 노력을 기울이고 있습니다. 특히 지난 2018년부터는 기존 개인정보 수집 및 동의 프로세스에서 고객이 이해한 내용과 동의 내용의 정확한 일치 여부를 확인하는 절차를 보강하는 등 더욱 엄격한 수집 절차를 적용하였습니다. 또한, 개인정보 수집 동의 전 별도의 문자를 발송하여 고객이 동의할 정보 수집에 대한 내용을 사전 인지할 수 있도록 절차를 추가하였습니다. 향후 개인정보가 포함된 개인정보처리시스템 내 개발 또는 수정이 발생하는 경우 테스트 단계에서 개인정보에 관한 보안성을 체크리스트 기반으로 점검하도록 프로세스화 하여 진행할 계획입니다.

개인정보 침해사고 발생 시 신속한 초기 대응을 통해 피해를 최소화하고 추가적 피해가 없도록 사고 대응 체계를 구축하여 관련 부서에 정기적으로 배포 및 교육하고 있습니다. 우선 사고인지 즉시 정보보호전담부서(인프라보안팀) 및 정보보호책임자에 보안사고 의심 내역을 신고하고, 사고대응팀을 구성합니다. 다음으로 1차 초동조치, 2차 원인분석, 3차 문제해결, 4차 사후조치의 4단계 사고대응 프로세스를 추진하며, 관련 신고 기관에 현황을 보고합니다. 마지막으로 재발방지대책을 수립 및 적용 후 모니터링하며 사후 관리를 진행합니다.

단계	프로세스	Action Plan
사고인지	보안사고 발생통지	① 사고발생 인지부서 : 정보보호관리자에게 보안사고 의심내용 신고 ② 정보보호부서(인프라보안팀) : 보안사고 원인 파악
	사고대응팀 구성	① 정보보호관리자 : CISO에게 최초 보고 ② 관련부서 : 사고대응팀 인원 비상 배치 ③ 사고대응팀 : 사고대응 준비
사고대응팀 대응 (정보보호부서 각 담당자 수행)
사고신고	침해사고 대응기관 신고	① 정보보호 부서: 보안사고 경중을 파악하여 '한국정보보호진흥원 인터넷 침해사고 대응지원센터' 118 또는 '국가 사이버안전센터' 111로 연락하여 신고
사후관리	재발방지 대책수립	① 사고대응팀 : 사고 원인별로 재발방지 대책과 대책에 따른 적용계획을 수립
	대책적용 모니터링	① 사고대응팀 : 재발방지 대책 이행여부 집중 모니터링 및 주기적으로 보고

글로벌 정보보호 규제 대응

빅데이터, IoT 기술 등을 활용한 새로운 제품 및 서비스의 도입이 확대되고 있는 반면, 유럽연합을 필두로 글로벌 시장에서의 개인정보 보호 규제가 강화되고 있습니다. 이에 코웨이는 GDPR^* 등 글로벌 개인정보 보호 규제에 대응하기 위해 대응방안을 수립하였습니다. 코웨이는 2019년 유럽지역에 아이오케어(IoCare) 서비스를 출시를 앞두고 GDPR 요구사항 이행을 위해 개인정보 보호 관련 규정, 약관, 프로세스 등을 점검하였습니다. 개인정보 처리 현황 분석결과에 대해 IoCare 앱을 통해 고지하였으며, 협력사 계약 시 유럽 개인정보 처리에 대한 표준 프로세스 계약 항목을 반영하였습니다. 또한 향후 수집된 데이터를 기초로 분석서비스를 제공할 경우를 대비하여 GDPR 보호조치 준수를 위한 가이드를 마련했습니다.

글로벌 데이터 보호 관련 법 규제 강화에 대비하여 해외 개인정보보호 규제 대응을 위한 체계를 수립하였습니다. 진출 국가별 개인정보 보호 요구사항을 검토하여 통합 체크리스트를 마련, 글로벌 확장 가능성에 대비하였습니다.

* GDPR (General Data Protection Regulation): 유럽연합 회원국 시민의 개인정보 보호 규정. 2018년 5월부터 시행

교육을 통한 정보보호 내재화

코웨이는 임직원 및 수탁사를 대상으로 정보보호 교육을 실시하여 정보보호 의식을 고취하며 역량을 강화하고 있습니다. 2013년부터 매년 전 임직원을 대상으로 필수 과정인 정보보안 이러닝 과정을 진행하고 있으며, 2018년부터 현장에서 고객의 정보를 처리하는 파트너 약 15,000명을 대상으로 개인정보보호의 중요성에 대한 교육을 진행하고 있습니다. 2019년에는 전체 임직원을 대상으로 온라인 정보보호 교육은 물론 신규 입사자를 대상으로 오프라인 교육도 실시했습니다. 코웨이는 임직원뿐만 아니라 수탁자의 정보보호 인식을 제고하는 교육 방법 및 콘텐츠 개발을 위하여 노력하고 있습니다.

1. 온‧오프라인 고객 정보보호 교육 포괄
2. 위/수탁사 교육 대상자 중 참여자 수의 비율. 위/수탁사 교육 대상의 범위는 내부에 상주하고 있으며 개인정보와 관련된 시스템에 접근이 가능한 위, 수탁사에 소속된 모든 인원을 정보보호 교육 대상자로 선정

정보보호 체계 실행을 위해 정기적인 데이터 보안 및 개인정보보호 모니터링을 진행합니다. 외부로부터의 사이버 공격 및 데이터 침해에 대응하기 위해 정보 암호화 및 보안 시스템을 운영할 뿐만 아니라 정기적인 연례 모의해킹 훈련을 수행합니다. 또한, 내부 데이터 관리의 안전 보장을 위해 개인정보 이상징후 탐지 시스템을 통해 리스크를 탐지하고, 고위험 영역에 대해서는 실사를 진행하여 리스크를 완화하고 있습니다.

시스템 기반 위험점검 및 실사

코웨이는 2019년 개인정보 이상징후 탐지 시스템을 통하여 개인정보 과다 보유, 근무시간 외 개인정보 조회, 개인정보 반출 등의 기준으로 고위험군 15개 영업소를 선별하여 현장 점검을 시행하였고, 정보보안에 위배되는 오남용 사례를 확인하여 개선할 수 있었습니다. 점검 시에는 24개 항목의 체크리스트 기반의 점검을 실시하였습니다. 내부 직원의 보안 인식 제고를 위해 온오프라인 교육을 강화하였으며, 개인정보 사이클에 대한 내부 공지를 강화하여 개인정보 취급에 대한 표준 정책을 공유하였습니다. 주기적으로 ‘개인정보검출솔루션’을 통한 개인정보 취급 및 관리에 대한 인식을 높이고, 연1회 선별 지국에 방문하여 정기 실사를 통해 개인정보 취급에 대한 기준을 공유하고 처리 방침에 관하여 계도하여 개인정보 취급에 대한 위험성을 낮추고 있습니다.

코웨이는 주요 영업 지점 및 영업 현장 PC내 개인정보검출 솔루션의 운영을 하고 있습니다. 개인정보가 포함된 파일을 PC에 기준치 이상 보관하는 경우 개인정보검출솔루션(PII)이 정기적인 검사를 통해 개인정보 보유 내역을 검출하여 PC알림창으로 사용자에게 알리고 격리, 삭제, 암호화 등 적절한 조치를 권고하고 있습니다.

2019년 정보보호 모니터링 주요활동 및 성과

1. IDC(Internet Data Center, 인터넷 데이터 센터): 전체 시스템의 로그를 집산하여 관리하는 통합보안관제 체계를 구축해 분산된 고객 개인정보를 더욱 안전하게 처리하고, 효율적으로 모니터링하고 있습니다.
2. 훼손된 서버의 기동 체크, 서버의 파일 시스템 및 무결성 체크 등 재해복구 절차에 따라 판단에서 복구 완료까지 검증
3. 침해사고 인지부터 대응, 복구까지 절차대로 훈련을 진행하며 시스템의 취약점을 점검하고 방지 대책을 수립

1. 이상 도출 건수 중 조치만 시행한 건 수
2. 이상 도출 건수 중 실사 진행 후 조치한 건 수