코웨이는 많은 고객의 개인정보를 수집하는 렌탈 비즈니스의 특성을 고려하여 전 사업 영역에서의 정보보호를 위해 정보보안 및 개인정보보호 원칙을 수립 및 공유하고 있습니다. 코웨이는 정보보호 정책을 실무에 적용하기 쉽도록 정보보호 원칙과 지침으로 구성하였습니다. 정보보호 원칙은 전 임직원에 적용되며 내부 데이터 관리 및 사이버 보안 준수 원칙, 정보위반 관련 사건 발생시 대처 방안 및 보고 체계, 원칙 위반시 발생 사항 등을 포함하고 있습니다. 개인정보보호 원칙은 최소한의 개인정보 수집 및 활용, 안전한 관리 및 법규 준수에 대한 가이드로 구성되어 있습니다. 코웨이는 내부 비즈니스 영역뿐만 아니라 영업조직을 비롯한 수탁자 및 협력사에 개인정보 관련 지침 및 방침을 모두 적용하며 철저한 정보보호 및 관리를 추진하고 있습니다.
코웨이는 정보보호 조직을 중심으로 정보보호위원회를 운영하고 있습니다. 정보보호위원회는 DX 센터장을 중심으로 운영되는 임원급 위원회로, 위원회 안건에 따라 각 사업부문별 부문장이 정보보호 위원으로 참여합니다. 정보보호위원회는 정보보안 및 개인정보 보호 영역의 통합 관리체계를 구축하여 관리의 효율성을 높이고 있습니다. 정보보호 실무는 인프라보안팀을 중심으로 추진하고 있으며, 조직 내 개인정보보호 관리자를 두어 명확한 업무 분담 하에 전 임직원이 자율적이고 능동적으로 정보보호체계에 참여할 수 있도록 노력하고 있습니다.
2020년에는 업무시스템 개선에 따른 보안 환경 변경 사항, 자원 통합관리 체계 구축, 정보보안 및 인프라 환경 및 정책 개선 등에 대한 보고 및 승인이 진행되었습니다. 2021년에는 위험도 평가 기준 재정립, 신규 서비스 런칭에 따른 정보보호 대상 확대, 사내 정보보안 관리 강화에 대한 논의를 진행할 계획입니다.
코웨이는 개인정보 수집, 보관 및 활용, 파기의 전 과정에서 정보를 안전하게 관리하기 위해 개인정보보호 라이프사이클 관리를 추진합니다. 또한, 라이프사이클 전반에서 더욱 강화된 정보보호를 위해 관리영역, 물리영역 및 기술영역에서 정보보호대책을 실행합니다. 관리 영역에서 정보 자산 분류에 따른 정보 핸들링과 함께 정보보호 교육을 통한 인적 보안을 추진하며, 물리적인 관리 한계를 넘어 전체 시스템 통제 및 회복력 확보를 위해 기술영역에서 IT 시스템 기반의 진단, 통제 및 사고 복구를 진행하고 있습니다.
고객의 개인정보를 수집하고 정보수집 동의를 구하는 과정에서 법규를 준수하고, 내용에 대한 명확한 설명을 제공함으로써 오해를 방지하기 위해 최선의 노력을 기울이고 있습니다. 특히 지난 2018년부터는 기존 개인정보수집 및 동의 프로세스에서 고객이 이해한 내용과 동의 내용이 정확하게 일치하는지 여부를 확인하는 절차를 보강하는 등 더욱 엄격한 수집 절차를 적용하였습니다. 또한, 개인정보수집 동의 전 별도의 문자를 발송하여 고객이 동의할 정보 수집에 대한 내용을 사전 인지할 수 있도록 절차를 추가하였습니다.
개인정보 침해사고 발생시 신속한 초기 대응을 통해 피해를 최소화하고 추가적 피해가 없도록 사고 대응 체계를 구축하여 관련 부서에 정기적으로 배포 및 교육하고 있습니다. 우선 사고인지 즉시 정보보호 전담부서(인프라보안팀) 및 정보보호 책임자에 보안사고 의심 내역을 신고하고, 사고대응팀을 구성합니다. 다음으로 1차 초동조치, 2차 원인분석, 3차 문제해결, 4차 사후조치로 이루어지는 4단계 사고대응 프로세스를 추진하며, 관련 신고 기관에 현황을 보고합니다. 마지막으로 재발방지 대책을 수립 및 적용 후 모니터링하며 사후 관리를 진행합니다.
단계 | 프로세스 | Action Plan |
사고인지 | 보안사고 발생통지 | ① 사고발생 인지부서 : 정보보호관리자에게 보안사고 의심내용 신고 ② 정보보호부서(인프라보안팀) : 보안사고 원인 파악 |
사고대응팀 구성 | ① 정보보호관리자 : CISO에게 최초 보고 ② 관련부서 : 사고대응팀 인원 비상 배치 ③ 사고대응팀 : 사고대응 준비 | |
사고대응팀 대응 (정보보호부서 각 담당자 수행) | ||
사고신고 | 침해사고 대응기관 신고 | ① 정보보호 부서: 보안사고 경중을 파악하여 '한국정보보호진흥원 인터넷 침해사고 대응지원센터' 118 또는 '국가 사이버안전센터' 111로 연락하여 신고 |
사후관리 | 재발방지 대책수립 | ① 사고대응팀 : 사고 원인별로 재발방지 대책과 대책에 따른 적용계획을 수립 |
대책적용 모니터링 | ① 사고대응팀 : 재발방지 대책 이행여부 집중 모니터링 및 주기적으로 보고 |
코웨이는 개인정보보호의 신뢰성 확보를 위해 국내외 정보보호관리체계 인증을 취득하고 있습니다. 디지털 트랜스포메이션 추진에 따라 신뢰할 수 있는 사이버 생태계 기반 마련을 위해 국내외 보안 표준 인증을 유지하고 있습니다. 국제표준화기구(ISO) 및 국제전기기술위원회(IEC)에서 제정한 정보보호관리체계의 국제표준인 '정보보호경영시스템인증(ISO 27001: 2013)을 획득하여 정보보호 정책, 물리적 보안, 접근 통제, 고객 관리시스템 등 모든 통제 항목에 대해 글로벌 표준 보안을 준수하고 있습니다. 이를 통해 모든 임직원의 자발적인 정보보호 실천 문화를 조성하고 정보보호 중요성에 대한 인식 확산을 위해 노력하고 있습니다.
Case.정보보호 인증 현황
보유 인증 | ISMS | ISO 27001: 2013 |
표준 | 국내 | 국제 |
유효 기간 | 2021.04.22 ~ 2024.04.21 | 2020.12.20 ~ 2023.12.20 |
인증 범위 | 코웨이 온라인 고객 서비스에 대한 관리/기술/물리적 정보보호관리체계 | 코웨이 인터넷 쇼핑몰 서비스(코웨이, Re-nk) |
인증 효과 | 정보보호 위험관리를 통한 비즈니스 안정성 제고, 윤리 및 투명 경영을 위한 정보보호 관련 법률 준수, 침해사고, 집단소송 등에 따른 사회/경제적 피해 최소화 | 국제규격에 부합한 정보보호 관련 법률 준수. 보안 위협으로부터 체계적인 위험 관리 환경 제공. 정보 유출에 대한 예방 효과 인증 취득시 대외 신뢰도 향상 |
사업 기여 영향도 | (대내적) 코로나19 영향으로 대면 비즈니스의 변화가 촉구되는 상황에서 코웨이는 디지털 트랜스포메이션을 추진하고 있으므로 정보보호의 중요성도 계속 대두되고 있음. 국내외 보안 표준 인증을 통해 발견되는 보안 리스크를 지속적으로 관리하여 회사의 비즈니스 연속성에 기여할 것으로 예상됨. (대외적) 인증 유지를 통해 체계적인 예방 및 개선 활동을 지속적으로 유지하여 해킹, 내부자 위협으로부터 개인정보 침해사고를 예방하는 것뿐만 아니라 이와 연결되는 법규 위반, 재무(과태료 등) 및 평판 리스크까지 방어할 수 있어 회사 비즈니스 안전성에 기여할 것으로 예상됨. |
코웨이는 임직원 및 수탁사를 대상으로 정보보호 교육을 실시하여 정보보호 의식을 고취하며 역량을 강화하고 있습니다. 2013년부터 매년 전 임직원을 대상으로 필수 과정인 정보보안 이러닝 과정을 진행하고 있습니다. 2020년에는 전체 임직원을 대상으로 온라인 정보보호 교육은 물론 파트너와 수탁자의 정보보호 인식을 제고하는 교육을 진행하였습니다.
구분 | 단위 | 2018 | 2019 | 2020 |
임직원 참여 직원 수 | 명 | 4,038 | 4,888 | 4,729 |
파트너 참여율 | % | 90 | 100 | 100 |
위, 수탁사 참여율2) | 90 | 100 | 100 |
정보보호 체계 실행을 위해 정기적인 데이터 보안 및 개인정보보호 모니터링을 진행합니다. 외부로부터의 사이버 공격 및 데이터 침해에 대응하기 위해 정보 암호화 및 보안 시스템을 운영할 뿐만 아니라 정기적인 연례 모의해킹 훈련을 수행합니다. 또한, 내부 데이터 관리의 안전 보장을 위해 개인정보 이상징후 탐지 시스템을 통해 리스크를 탐지하고, 고위험 영역에 대해서는 실사를 진행하여 리스크를 완화하고 있습니다.
2020년 이상징후 탐지 시스템을 통하여 개인정보 과다 보유, 근무시간 외 개인정보 조회, 개인정보 반출 등의 기준으로 개인정보 주요 업무수행자를 선별하여 원격 점검을 시행하였고, 정보보안에 위배 의심 사례를 확인하여 위험 요소를 제거할 수 있었습니다. 점검시에는 24개 항목의 체크리스트 기반의 점검을 실시 하였습니다. 코로나19로 인하여 내부 직원의 보안 인식 제고를 위해 온라인 교육을 강화하였으며, 개인정보 사이클에 대한 내부 공지를 강화하여 개인정보 취급에 대한 표준 정책을 공유하였습니다. 주기적으로 ‘개인정보검출솔루션’을 통한 개인정보 취급 및 관리에 대한 인식을 높이고 자가 관리에 대한 주기적인 공지를 통해 개인정보 취급에 대한 기준을 공유하고 처리 방침에 관하여 계도함으로써 개인정보 취급에 대한 위험성을 낮추고 있습니다.
구분 | 내용 | 2020년 주요 활동 및 성과 |
정보보호 관리체계 운영 |
|
|
인터넷 데이터 센터(IDC)1) |
|
|
개인정보 DB 모니터링 |
|
|
PC 및 문서보안 |
|
|
임직원 교육 |
|
|
재해복구 대응 훈련 |
|
|
침해사고 대응 훈련 |
|
|
구분 | 단위 | 2017 | 2018 | 2019 | 2020 |
정보보호 및 사이버보안 관련 위반 사건 발생 건수 | 건 | 0 | 0 | 0 | 0 |
고객 개인 정보 관련 위반 사건 발생 건수 | 건 | 0 | 0 | 0 | 0 |
데이터 위반으로 인해 피해를 입은 고객의 수 | 명 | 0 | 0 | 0 | 0 |
정보보호 및 사이버보안 관련 위반 사건으로 인해 발행한 총 벌금/과징금/범칙금 등의 액수 | 원 | 0 | 0 | 0 | 0 |
COPYRIGHT COWAY CO., LTD. ALL RIGHTS RESERVED.