개인정보보호 및 정보보안

위기관리위원회를 중심으로 재무적 · 비재무적 리스크를 통합 관리하며, 전략적 대응을 추진합니다.

정보보호 및 보안 정책

정보보호 정책

코웨이는 많은 고객의 개인정보를 수집하는 렌탈 비즈니스의 특성을 고려하여 전 사업 영역에서의 정보보호를 위해 정보보안 및 개인정보보호 원칙을 수립 및 공유하고 있습니다. 코웨이는 정보보호 정책을 실무에 적용하기 쉽도록 정보보호 원칙과 지침으로 구성하였습니다. 정보보호 원칙은 전 임직원에 적용되며 내부 데이터 관리 및 사이버 보안 준수 원칙, 정보위반 관련 사건 발생시 대처 방안 및 보고 체계, 원칙 위반시 발생 사항 등을 포함하고 있습니다. 개인정보보호 원칙은 최소한의 개인정보 수집 및 활용, 안전한 관리 및 법규 준수에 대한 가이드로 구성되어 있습니다. 코웨이는 내부 비즈니스 영역뿐만 아니라 영업조직을 비롯한 수탁자 및 협력사에 개인정보 관련 지침 및 방침을 모두 적용하며 철저한 정보보호 및 관리를 추진하고 있습니다.

정보보호 관리체계

정보보호 조직

코웨이는 정보보호 조직을 중심으로 정보보호위원회를 운영하고 있습니다. 정보보호위원회는 DX 센터장을 중심으로 운영되는 임원급 위원회로, 위원회 안건에 따라 각 사업부문별 부문장이 정보보호 위원으로 참여합니다. 정보보호위원회는 정보보안 및 개인정보 보호 영역의 통합 관리체계를 구축하여 관리의 효율성을 높이고 있습니다. 정보보호 실무는 인프라보안팀을 중심으로 추진하고 있으며, 조직 내 개인정보보호 관리자를 두어 명확한 업무 분담 하에 전 임직원이 자율적이고 능동적으로 정보보호체계에 참여할 수 있도록 노력하고 있습니다.

정보보호위원회 2020년 활동

2020년에는 업무시스템 개선에 따른 보안 환경 변경 사항, 자원 통합관리 체계 구축, 정보보안 및 인프라 환경 및 정책 개선 등에 대한 보고 및 승인이 진행되었습니다. 2021년에는 위험도 평가 기준 재정립, 신규 서비스 런칭에 따른 정보보호 대상 확대, 사내 정보보안 관리 강화에 대한 논의를 진행할 계획입니다.

개인정보보호 라이프사이클 관리

코웨이는 개인정보 수집, 보관 및 활용, 파기의 전 과정에서 정보를 안전하게 관리하기 위해 개인정보보호 라이프사이클 관리를 추진합니다. 또한, 라이프사이클 전반에서 더욱 강화된 정보보호를 위해 관리영역, 물리영역 및 기술영역에서 정보보호대책을 실행합니다. 관리 영역에서 정보 자산 분류에 따른 정보 핸들링과 함께 정보보호 교육을 통한 인적 보안을 추진하며, 물리적인 관리 한계를 넘어 전체 시스템 통제 및 회복력 확보를 위해 기술영역에서 IT 시스템 기반의 진단, 통제 및 사고 복구를 진행하고 있습니다.

개인정보보호 라이프사이클 관리 체계

개인정보 수집

본인인증 절차 강화
마케팅 활용 목적의 개인정보 수집시 동의 여부 선택

개인정보
보관 및 활용

데이터베이스 내 개인정보 암호화 보관
임직원 PC 내 중요 문서 암호화 보관

개인정보 파기

전문 업체를 통한 문서파기 프로세스 진행
협력업체 제공시, 목적 달성 후 파기 확인

정보보호대책 상세 항목

관리영역

외부자산 보안

정보보호 교육

정보자산 분류

인적보안

물리영역

물리적 보안

기술영역

시스템 개발 보안

접근통제

침해사고 관리

암호통제

운영보안

IT 재해복구

개인정보 수집 및 동의

고객의 개인정보를 수집하고 정보수집 동의를 구하는 과정에서 법규를 준수하고, 내용에 대한 명확한 설명을 제공함으로써 오해를 방지하기 위해 최선의 노력을 기울이고 있습니다. 특히 지난 2018년부터는 기존 개인정보수집 및 동의 프로세스에서 고객이 이해한 내용과 동의 내용이 정확하게 일치하는지 여부를 확인하는 절차를 보강하는 등 더욱 엄격한 수집 절차를 적용하였습니다. 또한, 개인정보수집 동의 전 별도의 문자를 발송하여 고객이 동의할 정보 수집에 대한 내용을 사전 인지할 수 있도록 절차를 추가하였습니다.

개인정보 침해사고 발생시 대응 체계

개인정보 침해사고 발생시 신속한 초기 대응을 통해 피해를 최소화하고 추가적 피해가 없도록 사고 대응 체계를 구축하여 관련 부서에 정기적으로 배포 및 교육하고 있습니다. 우선 사고인지 즉시 정보보호 전담부서(인프라보안팀) 및 정보보호 책임자에 보안사고 의심 내역을 신고하고, 사고대응팀을 구성합니다. 다음으로 1차 초동조치, 2차 원인분석, 3차 문제해결, 4차 사후조치로 이루어지는 4단계 사고대응 프로세스를 추진하며, 관련 신고 기관에 현황을 보고합니다. 마지막으로 재발방지 대책을 수립 및 적용 후 모니터링하며 사후 관리를 진행합니다.

단계	프로세스	Action Plan
사고인지	보안사고 발생통지	① 사고발생 인지부서 : 정보보호관리자에게 보안사고 의심내용 신고 ② 정보보호부서(인프라보안팀) : 보안사고 원인 파악
사고인지	사고대응팀 구성	① 정보보호관리자 : CISO에게 최초 보고 ② 관련부서 : 사고대응팀 인원 비상 배치 ③ 사고대응팀 : 사고대응 준비
사고대응팀 대응 (정보보호부서 각 담당자 수행)
사고신고	침해사고 대응기관 신고	① 정보보호 부서: 보안사고 경중을 파악하여 '한국정보보호진흥원 인터넷 침해사고 대응지원센터' 118 또는 '국가 사이버안전센터' 111로 연락하여 신고
사후관리	재발방지 대책수립	① 사고대응팀 : 사고 원인별로 재발방지 대책과 대책에 따른 적용계획을 수립
사후관리	대책적용 모니터링	① 사고대응팀 : 재발방지 대책 이행여부 집중 모니터링 및 주기적으로 보고

글로벌 정보보호 규제 대응

코웨이는 개인정보보호의 신뢰성 확보를 위해 국내외 정보보호관리체계 인증을 취득하고 있습니다. 디지털 트랜스포메이션 추진에 따라 신뢰할 수 있는 사이버 생태계 기반 마련을 위해 국내외 보안 표준 인증을 유지하고 있습니다. 국제표준화기구(ISO) 및 국제전기기술위원회(IEC)에서 제정한 정보보호관리체계의 국제표준인 '정보보호경영시스템인증(ISO 27001: 2013)을 획득하여 정보보호 정책, 물리적 보안, 접근 통제, 고객 관리시스템 등 모든 통제 항목에 대해 글로벌 표준 보안을 준수하고 있습니다. 이를 통해 모든 임직원의 자발적인 정보보호 실천 문화를 조성하고 정보보호 중요성에 대한 인식 확산을 위해 노력하고 있습니다.

Case.정보보호 인증 현황

보유 인증	ISMS	ISO 27001: 2013
표준	국내	국제
유효 기간	2021.04.22 ~ 2024.04.21	2020.12.20 ~ 2023.12.20
인증 범위	코웨이 온라인 고객 서비스에 대한 관리/기술/물리적 정보보호관리체계	코웨이 인터넷 쇼핑몰 서비스(코웨이, Re-nk)
인증 효과	정보보호 위험관리를 통한 비즈니스 안정성 제고, 윤리 및 투명 경영을 위한 정보보호 관련 법률 준수, 침해사고, 집단소송 등에 따른 사회/경제적 피해 최소화	국제규격에 부합한 정보보호 관련 법률 준수. 보안 위협으로부터 체계적인 위험 관리 환경 제공. 정보 유출에 대한 예방 효과 인증 취득시 대외 신뢰도 향상
사업 기여 영향도	(대내적) 코로나19 영향으로 대면 비즈니스의 변화가 촉구되는 상황에서 코웨이는 디지털 트랜스포메이션을 추진하고 있으므로 정보보호의 중요성도 계속 대두되고 있음. 국내외 보안 표준 인증을 통해 발견되는 보안 리스크를 지속적으로 관리하여 회사의 비즈니스 연속성에 기여할 것으로 예상됨. (대외적) 인증 유지를 통해 체계적인 예방 및 개선 활동을 지속적으로 유지하여 해킹, 내부자 위협으로부터 개인정보 침해사고를 예방하는 것뿐만 아니라 이와 연결되는 법규 위반, 재무(과태료 등) 및 평판 리스크까지 방어할 수 있어 회사 비즈니스 안전성에 기여할 것으로 예상됨.

교육을 통한 정보보호 내재화

코웨이는 임직원 및 수탁사를 대상으로 정보보호 교육을 실시하여 정보보호 의식을 고취하며 역량을 강화하고 있습니다. 2013년부터 매년 전 임직원을 대상으로 필수 과정인 정보보안 이러닝 과정을 진행하고 있습니다. 2020년에는 전체 임직원을 대상으로 온라인 정보보호 교육은 물론 파트너와 수탁자의 정보보호 인식을 제고하는 교육을 진행하였습니다.

정보보호 교육 참여 현황¹⁾

구분	단위	2018	2019	2020
임직원 참여 직원 수	명	4,038	4,888	4,729
파트너 참여율	%	90	100	100
위, 수탁사 참여율²⁾	%	90	100	100

온‧오프라인 고객 정보보호 교육 포괄
위/수탁사 자체 교육 시행 (위/수탁사 교육 대상자 중 참여자 수의 비율)

모니터링 및 실사

정보보호 체계 실행을 위해 정기적인 데이터 보안 및 개인정보보호 모니터링을 진행합니다. 외부로부터의 사이버 공격 및 데이터 침해에 대응하기 위해 정보 암호화 및 보안 시스템을 운영할 뿐만 아니라 정기적인 연례 모의해킹 훈련을 수행합니다. 또한, 내부 데이터 관리의 안전 보장을 위해 개인정보 이상징후 탐지 시스템을 통해 리스크를 탐지하고, 고위험 영역에 대해서는 실사를 진행하여 리스크를 완화하고 있습니다.

시스템 기반 위험 점검 및 실사

2020년 이상징후 탐지 시스템을 통하여 개인정보 과다 보유, 근무시간 외 개인정보 조회, 개인정보 반출 등의 기준으로 개인정보 주요 업무수행자를 선별하여 원격 점검을 시행하였고, 정보보안에 위배 의심 사례를 확인하여 위험 요소를 제거할 수 있었습니다. 점검시에는 24개 항목의 체크리스트 기반의 점검을 실시 하였습니다. 코로나19로 인하여 내부 직원의 보안 인식 제고를 위해 온라인 교육을 강화하였으며, 개인정보 사이클에 대한 내부 공지를 강화하여 개인정보 취급에 대한 표준 정책을 공유하였습니다. 주기적으로 ‘개인정보검출솔루션’을 통한 개인정보 취급 및 관리에 대한 인식을 높이고 자가 관리에 대한 주기적인 공지를 통해 개인정보 취급에 대한 기준을 공유하고 처리 방침에 관하여 계도함으로써 개인정보 취급에 대한 위험성을 낮추고 있습니다.

정보보호 모니터링 주요활동 및 성과

구분	내용	2020년 주요 활동 및 성과
정보보호 관리체계 운영	정보보호 관리체계 운영	데이터 3법 시행에 따른 지침 및 가이드 개정 개인정보 국외 이전시 개인정보 처리 기준 정의 정부 규제에 대응하기 위한 ISO 27001 인증 갱신, ISMS 인증 갱신
인터넷 데이터 센터(IDC)¹⁾	모의해킹(연 2회) 취약점 진단(연 1회) 침해사고 대응 훈련(연 1회)	모의해킹 연 2회, 취약점 진단 연 1회 완료
개인정보 DB 모니터링	개인정보 암호화 DB 내 데이터 통제 관리	고객 개인정보 분리 보관 강화 개인정보파일 파기 모니터링
PC 및 문서보안	PC 보안 시스템 운영	통합인증시스템 유지
임직원 교육	정보보호 교육 및 훈련 수행	악성메일 모의훈련 시행 완료 (대상: 5,004명)
재해복구 대응 훈련	재해복구 시스템 및 절차 정확성 검증²⁾	연 1회 정보보호 지침 개정
침해사고 대응 훈련	웹서버에 침해사고를 가정하여 대응 절차 검증³⁾	연 1회 침해대응 훈련 완료 (대상: www.coway.co.kr)

IDC(Internet Data Center, 인터넷 데이터 센터): 전체 시스템의 로그를 집산하여 관리하는 통합보안관제 체계를 구축해 분산된 고객 개인정보를 더욱 안전하게 처리하고, 효율적으로 모니터링하고 있습니다.
훼손된 서버의 기동 체크, 서버의 파일 시스템 및 무결성 체크 등 재해복구 절차에 따라 판단에서 복구 완료까지 검증
침해사고 인지부터 대응 및 복구까지 절차대로 훈련을 진행하며, 시스템의 취약점을 점검하고 방지 대책을 수립

정보보호 관련 법/규제 위반 사례

구분	단위	2017	2018	2019	2020
정보보호 및 사이버보안 관련 위반 사건 발생 건수	건	0	0	0	0
고객 개인 정보 관련 위반 사건 발생 건수	건	0	0	0	0
데이터 위반으로 인해 피해를 입은 고객의 수	명	0	0	0	0
정보보호 및 사이버보안 관련 위반 사건으로 인해 발행한 총 벌금/과징금/범칙금 등의 액수	원	0	0	0	0

Further Website

Contacts

Social Media