정보보안 및 개인정보보호 체계

정보보호 정책

코웨이는 고객의 소중한 개인정보보호를 위해 정보보호 정책 및 지침을 수립하여 원칙에 기반한 정보보호 체계를 운영하고 있습니다. 코웨이는 정보보호 규정을 정보보호 기본 원칙에 대한 정책과 정보보호 세부 실천 영역별 지침으로 나누어 실무에 적용하기 쉽도록 구성하였습니다. 정보보호 정책 및 지침은 사업환경의 변화에 따라 광범위해지는 정보보호 영역을 반영하기 위해 정기적인 검토 과정을 거쳐 제·개정됩니다. 2023년에는 최근 개인정보보호법 2차 개정에 따라 정보주체의 열람 요구, 고정형/이동형 영상정보처리기기 조항 분리 및 신설 등 기존 정보보호 지침 총 16종에 대해 개인정보보호 관련 법률 준수 사항 반영과 현행 업무 반영 내용을 개정하였습니다. 코웨이는 내부 비즈니스 영역뿐만 아니라 영업조직을 비롯한 수탁자 및 협력사에도 개인정보 관련 지침 및 방침을 모두 적용함으로써 철저한 정보보호를 추진하고 있습니다.

정보주체 개인정보 권리 보장

코웨이는 정보주체의 권리 보장을 위하여 정보주체가 삭제를 요청한 개인정보나, *e프라이버시 클린서비스를 통해 접수되는 사항에 대해서 신속하게 대응하고 있습니다.

* e프라이버시 클린서비스: 개인정보보호위원회에서 운영하는 정보주체 권리행사 서비스로 본인 인증 기록을 통해 이전에 가입한 웹사이트를 조회하고, 불필요한 웹사이트의 탈퇴를 지원해 주는 서비스

정보보안 관리체계

다양한 IoT 제품 및 서비스의 증가와 신기술, 비즈니스, 환경 변화에 따라 정보보호 및 개인정보보호에 대한 기업의 책임이 점차 증가하고 있습니다. 코웨이는 이를 깊이 인식하고 정보보호 관리체계를 수립하고 운영하며 정보보호 및 개인정보보호 조직을 기반으로 정보보호 활동 전반에 경영진의 참여가 이루어질 수 있도록 정보보호위원회를 중심으로 주요 안건 논의 및 의사결정을 진행하고 있습니다. 전사 차원의 정보보호 거버넌스를 수립하여 고객들이 안심하고 이용할 수 있는 서비스를 제공하기 위해 노력하고 있습니다.

정보보호 및 개인정보보호 전담조직

정보보호위원회는 임원급 위원회로, 정보통신망 이용촉진 및 정보보호 등에 관한 법률에서 의거한 정보보호 최고 책임자 요건인 ‘정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력’을 보유한 정보보호 최고책임자(CISO : Chief Information Security Officer)가 위원장을 맡고 있으며, 유관부서의 장으로 구성된 위원들이 정보보호 위원으로 참여하고 있습니다. 정보보호 감사, 정보보호 교육, 정보보호 인식제고 활동, 모의훈련 등의 정보보호 활동은 주관부서인 정보보안팀을 중심으로 운영되며, 유관부서와 긴밀한 협업과 주기적 모니터링, 리스크 관리를 통해 철저한 정보보호 체계 구축 및 개인정보 보호를 위해 노력하고 있습니다.

정보보호 및 개인정보보호 조직도

정보보호위원회 구성

정보보호위원회 2023년 주요활동

2023년 9월 개인정보보호법 2차 개정으로, 정보주체의 권리 보장을 중심으로 온라인, 오프라인 영역 개인정보 규제가 강화되며 개인정보 관리의 중요성이 더욱 대두되었습니다. 정보보호위원회에서는 개정된 개인정보보호 관련 법률 준수 사항 반 영과 현행 업무 반영한 정보보호 정책/지침을 전면 개정하여, 정보주체인 고객의 권리를 적극적으로 보호하고 디지털 환경에 맞춰 온라인, 오프라인 영역에서의 정보보호 관리체계가 더욱 실질적이고 체계적으로 운영될 수 있도록 하였습니다.

주요 활동 및 성과

구분 주요 활동 및 성과 평가지표 측정결과
Compliance 준수

개인정보 접속기록/파기실태 점검

정보주체 이용내역 통지,불만/분쟁 해결

법준수 의무 활동 실시율 100%
관리체계 운영

ISO27001 인증 갱신 및 ISO27701 인증 획득

ISMP-P 인증 획득

보안 표준 내재화 적용률 100%
보안시스템 운영

보안 시스템 운영 체계 개선

보안 시스템 접근권한 및 불필요 정책 점검

개선 계획 실행률 100%
정보보호 예방

PC보안 취약점 및 정보유출 위협 탐지/대응

주요 사업장 및 영업현장 보안점검 및 교육

위험 탐지 대응률 100%
인식 제고

정보보안 캠페인 및 사례전파 활동

영업 현장 정보보안 맞춤형 가이드 배포

인식 제고 계획 실행률 100%
교육 강화

IDC 모의 훈련 시행

연1회 1등급 장애상황에 대한 재해복구 모의 훈련 시행

연1회 개인정보 유출을 가정한 모의 훈련 시행

교육 대상자 수료율 100%
위험 관리

보안성 검토 및 전사적 위험 조치/제거

END-POINT 보안 위험 탐지 강화 및 보안 사각지대 최소화

보안 취약점 조치-제거율 100%
내부 감사

정보보호 관리체계 실태 점검

협력사 및 수탁사 보안 관리 실태 점검

관리 수준 진단 실시율 100%

정보보호 인증

코웨이는 개인정보보안 및 개인정보보호에 대한 국내외 인증을 획득함으로써 공신력 있는 제3자 기관에서 정보보호 인증을 취득하였으며, 사후심사(1년 단위)와 갱신심사(3년 단위) 진행을 통해 매년 정보보호 수준을 강화하고 있습니다.

정보보호인증현황

보유 인증 ISMS-P ISO/IEC 27001:2022 & ISO/IEC 27701:2019
표준

국내

국제

유효기간

2022.06.15 ~ 2025.06.14

2023.12.21 ~ 2026.12.20

인증기관

한국인터넷진흥원(KISA)

DNV

인증범위

코웨이 온라인 서비스(코웨이닷컴, 코스메틱)

코웨이 온라인 서비스 : 코웨이닷컴, 코스메틱 온라인 서비스, 기업사이트 등 총 11개 서비스

업무용 앱 : 코디앱, 홈케어닥터앱, 스마트세일즈앱, 서비스매니저 앱 등 총 5개 서비스

인증효과

정보보호 위험관리를 통한 비즈니스 안정성 제고

윤리 및 투명 경영을 위한 정보보호 관련 법률 준수

침해사고, 집단소송 등에 따른 사회/경제적 피해 최소화

국제규격에 부합한 정보보호 및 개인정보보호 관련 법률 준수

정보보호 위협으로부터 체계적인 위험 관리 환경 제공

정보 유출에 대한 예방 효과 인증 취득 시 대외 신뢰도 향상

사업기여 영향도
(대외적)
인증 유지를 통해 체계적인 예방 및 개선 활동을 지속적으로 유지하여 해킹, 내부자 위협 등으로부터 개인정보 침해사고를 예방하는 것뿐만 아니라 이와 연결되는 법규 위반, 재무(과태료 등) 및 평판 리스크까지 방어할 수 있어 회사의 비즈니스 안전성에 기여할 것으로 예상됩니다.

정보보안 및 개인정보보호 전략

정보보호 위험 모니터링

2023년 코웨이는 이상징후 시스템을 기반으로 개인정보 대량 조회 및 반출, 근무시간 외 활동 등 위험 요소를 선별하여 월 1회 점검을 수행하고 있으며, 보안정책 위배 의심 사례가 확인되면 이를 개선하는 업무를 수행하고 있습니다. 또한 새로운 보안 위협에 대응하기 위해 노후된 보안시스템을 교체하여 운영 안정성 및 모니터링을 강화하였으며, 전사 직원 및 협력사, 파트너를 대상으로 악성메일 모의 대응 훈련을 실시하였습니다. 또한 인프라 취약점 진단, 보안성 검토 및 재해복구 절차 유효성 검증 등의 과정을 통해 정보보호 체계의 지속성을 점검하였습니다.

보안사고 사후 조치

보안사고 대응 지침 및 안내서를 통해 사고 발생 시, 신속하게 대응하여 피해 확산을 방지합니다. 보안사고의 심각도 및 유형, 피해 범위에 따라 위협 경보 4단계 기준을 수립하고, 사고 발생 시 컨트롤타워인 보안사고대응팀을 구성하여 전사 대응체계를 구축했습니다.

보안성 검토 프로세스

01

보안성 검토요청

02

보안성 검토 계획 수립

03

보안성 검토 실시

04

사후 관리

개인정보보호 침해사고 대응체계

개인정보 침해사고 및 정보유출 사건 발생 시 신속한 초기 대응을 통해 피해를 최소화하고 2차적인 피해를 방지할 수 있도록 사고 대응 체계를 운영하고 있습니다. 코웨이는 개인정보 관련 사고를 침해사고와 유출사고(개인정보 유출, 내부정보 유출)로 구분하여 유형별 대응 방안을 마련하였습니다. 우선 보안 관제 및 상시 모니터링 시스템을 운영하여 사고 발생 즉시 정보보호 담당자에게 보안사고 의심내역을 신고하고 대응팀을 구성하도록 하고 있습니다. 사고 대응을 위해 초동조치 후 사실 확인 및 증거 수집·보존 과정을 거쳐 정보의 유출 경로 등에 대한 정밀 분석을 실시합니다. 이후 사후조치 과정에서 재발방지 대책을 수립하고 이에 따라 조치하며 서비스 정상화를 위해 노력합니다. 코웨이는 이러한 대응 체계를 갖춤으로써 유사한 사고가 재발하지 않도록 사고 경로, 대응책 등을 정리하여 관련 부서에 정기적으로 배포 및 교육하고 있습니다.

대응체계 프로세스

구분 침해사고 개인정보유출 내부정보유출 비고
관제/모니터링

원격보안관제

악성코드 감염(웜·바이러스)

해킹 공격(홈페이지 위·변조, 경유지악용)

DDoS 공격 등

원격보안관제

개인정보 유출

내부정보 유출

원격보안관제

사고발생 인지부서:

정보보호 담당자에게

보안사고 의심내역을 신고

사고인지/신고

Ⅱ. 침해사고 발생 대응

내부보고

국가기관신고

보안사고대응팀구성

Ⅲ. 개인정보 유출 대응

사고발생신고 및 고객통지

사고대응팀 구성 및 비상임원회의 소집

Ⅳ. 내부정보 유출 대응

내부보고
국가기관신고(필요시)

보안사고대응팀구성

CEO 보고

CISO 보고

사고대응 초동조치

F/W차단, ACL 정책 적용, NMS모니터링, 백신

유출 피해 최소화

정보 추가유출 금지

정밀분석 사실확인
조회

시스템 로그 수집 및 분석(변조유무 등)

최근 변경파일, 프로그래밍 및 서비스 확인

숨겨진 또는 비정상 프로세스 확인

비정상 포트 및 외부 연결 확인 등

유출경로 파악

고객 민원 대응

피해 구제

인터뷰

증거수집 보존

포렌직

관련증거 수집

CISO 보고

사후조치(재발방지)

서비스 정상화

보완조치 및 재발방지 조치

대책적용 모니터링

재발방지 대책 수립

징계조치 및 민·형사상 고소

재발방지 대책 수립

CEO 보고

CISO 보고

정보보안 및 개인정보보호 활동 및 목표

정보보안 및 개인정보보호 인식제고

코웨이는 임직원의 정보보호 인식 제고를 위해 매년 전 임직원을 대상으로 연 2회 정보보안 교육을 실시하고 있으며 주기적인 정보보안 캠페인을 통해 정보보안 실천력을 제고하고 보안 역량 강화를 도모하고 있습니다.

임직원 정보보안 교육

구분 일정 교육대상 교육내용
정보보안 방문점검 및 교육 2월, 11월(연2회) 종/지국(24개) 개인정보 관리 현황 점검 및 교육
대리점 및 지사(7개), 수탁사(24개) 개인정보 관리 현황 점검

정보보안 캠페인

구분 일정 교육대상 교육내용
악성메일 모의 대응 훈련 4월, 8월, 12월(연3회) 전사 임직원 악성메일 유입에 따른 악성코드 감염 및
정보유출 예방을 위한 인식제고 활동
클린데스크 4월, 10월(연2회) 본사, 연구소, 공장(담당부서 점검) 클린데스크 활동을 통한 업무환경에서 발생할 수 있는 보안 사고 예방
현장(자가점검)
CASE

코웨이 악성 메일 대응 훈련

코웨이는 악성메일 대응에 대한 임직원의 인식제고 향상을 위해 주기적인 대응 훈련을 시행하고 있습니다. 훈련대상은 코웨이 이메일(@coway.com) 계정을 사용하는 임직원 약 6,072명(2023년 기준) 대상으로 여러 의심포인트를 이메일에 심어 발송하게 됩니다. 의심포인트로는 불분명한 발신메일 주소, 서비스명 오류, 알 수 없는 첨부파일, 개인정보 입력 요구 등으로 악성 메일을 통한 정보유출 사고를 임직원 스스로가 예방할 수 있도록 훈련하고 있습니다.

정보보호 투자

코웨이는 정보보호 내역 공시 의무 대상자로 2022년부터 「정보보호산업의 진흥에 관한 법률」에 따라 기업의 정보보호 투자, 인력, 인증, 활동 등의 현황을 공시하고 있습니다. 본 제도는 이용자의 안전한 인터넷 이용 및 기업이 정보보호를 기업경영의 중요 요소로 포함하도록 하여 자발적인 정보보호 투자를 유도하고 활성화하는 것을 목적으로 두고 있습니다. 당사의 2023년 말 기준 정보보호 부문 투자액은 총 36억 원으로 IT 예산 중 4.7%를 차지하고 있으며, 지속적으로 정보보호 투자에 관심을 두고 투자액을 늘려가고 있습니다.

정보보호 투자 현황

구분 2021 2022 2023
정보보호 투자액 22.5억 31.3억 36억

정보보안 목표

코웨이는 대내외 보안 위험을 최소화하고 글로벌 수준의 보완관리 체계를 구축하기 위하여 중장기 로드맵을 수립하여 관리하고 있습니다.

정보보안 중장기 로드맵