소비자 정보보호
정보보호 거버넌스
정보보호 추진 조직
코웨이는 임원급으로 구성된 정보보호위원회를 운영 중입니다. 위원장에는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」이 규정한 ‘정보보호 또는 정보 기술 분야 10년 이상 경력자’ 자격을 갖춘 정보보호 최고책임자(CISO, Chief Information Security Officer)가 선임되어 있습니다. 각 관련 부서의 책임자들이 위원으로 참여하는 본 위원회는 CISO 주도하에 정보보호 관련 정책과 실행 방향에 대한 심의를 진행합니다. 정보보호 업무를 총괄하는 정책보안팀과 기술보안팀에서는 정보보안 계획의 수립·시행·개선, 정보보호 감사, 교육 및 인식 제고 활동, 모의훈련, 시스템 보안관리 등을 수행하고 있습니다. 또한 유관 부서와의 긴밀한 협력, 주기적인 모니터링, 리스크 관리를 바탕으로 정보보호 체계를 견고히 하고 개인정보 보호 수준을 강화하고 있습니다.
정보보호 조직도
주요 조직 및 역할
정보보호위원회
코웨이 정보보호위원회는 정기적으로 운영되고 있으며, 개인정보보호법과 정보통신망법을 비롯한 관계 법령의 개정 내용을 지속적으로 점검합니다. 이를 통해 변경된 법령 사항을 사내 정책 및 프로세스에 신속히 적용하는 체계를 갖추고 있습니다. 2025년에는 정보보호 위반 행위 기준을 강화하고 보안 점검 및 모니터링 체계를 고도화하여 법적 준거성을 한층 강화하였으며, 이를 통해 비즈니스의 안정성과 고객 신뢰를 더욱 제고했습니다.
2025년 정보보호위원회 주요 활동 및 성과
| 구분 | 주요 활동 및 성과 | 평가지표 | 측정 결과 |
|---|---|---|---|
| Compliance 준수 |
|
법 준수 의무 활동 실시율 | 100% |
| 관리체계 운영 |
|
보안 표준 내재화 적용률 | 100% |
| 보안시스템 운영 |
|
개선 계획 실행률 | 100% |
| 정보보호 예방 |
|
위험 탐지 대응률 | 100% |
| 인식 제고 |
|
인식 제고 계획 실행률 | 100% |
| 교육 강화 |
|
교육 대상자 수료율 | 100% |
| 위험 관리 |
|
보안 취약점 제거율 | 100% |
| 내부 감사 |
|
관리 수준 진단 실시율 | 100% |
정보보호 추진 정책
코웨이는 고객 개인정보 보호를 최우선 가치로 삼아, 체계적인 정보보호 관리체계를 운영하고 있으며, 관련 규정을 정책과 지침 체계로 구분하여 실무 현장에서 일관되게 적용될 수 있도록 관리하고 있습니다. 급변하는 정보보호 환경과 사업 요구사항에 대응하기 위해 관련 규정을 주기적으로 검토하고 필요 시 제·개정하고 있습니다. 2026년에는 정보보호 거버넌스 강화를 위해 정보보호위원회를 재구성하고, 전사 보안 점검 및 상시 모니터링을 강화하였으며, 위반 사항에 대한 징계 절차를 인사위원회와 연계하여 운영함으로써 책임성과 실행력을 제고하였습니다. 아울러 최신 법령과 업무 환경 변화를 반영하여 정보보호 지침 14종을 개정하고 가이드 1종을 신규 제정하는 등 관련 체계를 정비하였으며, 내부 조직뿐 아니라 영업조직, 수탁자 및 협력사까지 동일한 기준을 적용하여 전사적 수준의 정보보호 체계를 지속적으로 강화하고 있습니다.
정보보호 추진 전략
정보보호 추진 체계
정보보호 중장기 로드맵
코웨이는 국내외 고객으로부터의 신뢰 확보를 핵심 목표로 설정하고, 내부 운영 리스크는 물론 외부에서 유입되는 다양한 보안 위협에 선제적으로 대응하는 체계를 갖추고 있습니다. 이를 위해 글로벌 수준에 부합하는 정보보호 및 개인정보 관리체계 구축을 목표로 중장기 정보보호 로드맵을 수립하고, 이행 현황을 지속적으로 점검·관리하고 있습니다.
정보보호 중장기 로드맵
정보보호 리스크 관리
정보보호 리스크 관리 프로세스
코웨이는 정보보호 리스크를 보안사고와 IT 재해로 구분하여 관리하고 있습니다. 보안사고는 정보 유출, 시스템 침해 등 보안 정책 위반 사고를, IT 재해는 자연재해, 화재 등으로 인한 서비스 중단을 의미합니다. 보안사고는 사전 예방과 사고 대응 절차로 관리하며, IT 재해는 비상대책반 가동을 통해 신속히 복구하여 업무 연속성을 확보하고 있습니다.
정보보호 리스크 사전 예방
보안성 검토
코웨이는 보안 사고를 사전에 방지하기 위해 전사 차원의 위험 관리 체계를 기반으로 위험 평가, 보호 대책 수립, 정보보호 교육 등 예방 활동을 수행하고 있습니다. 특히 시스템 기획 단계부터 보안을 고려하는 보안성 검토 프로세스를 운영하여, 신규 시스템 구축 및 서비스 오픈 이전에 정보보호 요구 사항을 사전에 반영하고 있습니다. 이와 같은 사전 예방 활동을 통해 개인정보 처리 적정성, 시스템 취약점, 보안 정책 준수 여부 등을 사전에 점검하고 개선함으로써 잠재적 리스크를 최소화하고 있습니다.
보안성 검토 프로세스
정보보호 정기 위험 모니터링
코웨이는 정보보안 및 개인정보보호 수준을 실질적으로 높이기 위해 다양한 유형의 정기 모니터링 활동을 연중 운영하고 있습니다. 악성메일 대응훈련, 클린데스크 캠페인, 수탁사 보안 점검 등 현장 밀착형 활동을 통해 내부 임직원은 물론 협력업체에 이르기까지 정보보호 취약점을 선제적으로 발굴하고 개선하고 있습니다. 단순한 점검에 그치지 않고 활동 유형별 맞춤 교육을 병행함으로써, 보안 사고 예방과 조직 전반의 정보보호 인식 향상을 동시에 도모하고 있습니다.
2025년 주요 활동 및 성과
| 유형 | 활동 내용 | 대상 | 활동 결과 |
|---|---|---|---|
| 악성메일 대응훈련 | 지능형 악성메일에 대한 사내 모의훈련으로 개인정보 탈취 시나리오 등 임직원 경각심 고취와 대응 역량 강화 | 전사 임직원 | 연 2회 시행 |
| 클린데스크 | 임직원 보안 인식 제고와 클린데스크 활동으로 보안 사고 예방, 정보 관리 취약점 제거 |
본사(담당부서 점검), 코웨이 R&D센터, 공장(자가점검) 영업 현장 |
연 1회 시행 |
| 수탁사 점검 | 수탁 업체 대상 체크리스트 기반 점검 및 개인정보보호 교육 실시 | 협력업체 | 332개 참여 |
| 정보보호 시스템 개선 | 정보보호 시스템을 개선하여 전사 IT자산에 대한 접근통제 및 위협 대응 모니터링 강화 |
전사 시스템 | 3개 시스템 개선 |
정보보호 리스크 사후 관리
개인정보 사고 발생시 대응 프로세스
코웨이는 개인정보 침해 또는 정보 유출 사고가 발생하는 즉시 피해 확산을 차단하고 2차 피해로 이어지지 않도록, 사고 유형에 따른 단계별 대응 체계를 갖추고 있습니다. 개인정보 관련 사고는 침해사고와 유출사고(개인정보 유출·내부정보 유출)로 유형을 구분하고, 각각에 적합한 대응 방안을 사전에 수립하여 운영합니다. 상시 보안 관제 및 모니터링 시스템을 통해 이상 징후가 감지될 시 담당자에게 보안사고 의심 내역이 보고되는 구조를 갖추고 있으며, 이와 동시에 대응팀을 구성해 신속한 초동 조치에 나섭니다. 이후 사실관계 확인, 증거 수집·보존, 유출 경로 및 원인 정밀 분석을 순차적으로 진행하며, 서비스의 조속한 정상화와 함께 재발 방지 대책을 수립하고 이행합니다. 사고 대응 과정과 결과는 CEO 및 CISO에게 보고되어 경영진의 의사결정을 지원합니다. 대응 전 과정은 문서화하여 조직 내 공유 자산으로 축적하고 있으며, 사고 경로와 대응 교훈을 관련 부서에 정기적으로 전달·교육하여 조직 전체의 대응 역량을 지속적으로 강화하고 있습니다.
개인정보 사고 대응 프로세스
사후 관리 및 재발 방지 체계
개인정보 사고가 발생한 경우, 사고 처리 과정에서 도출된 원인 분석 결과는 재발 방지 대책으로 구체화되어 전사에 공유되며, 개별 사고가 조직 차원의 학습과 관리 역량 강화로 이어지도록 체계적으로 관리되고 있습니다. 아울러 코웨이는 사고 이후에도 상시 보안 점검과 인프라 취약점 진단을 통해 보안 상태를 지속적으로 점검하고, 서비스 운영 단계에서 내부 감사 및 정책 준거성 점검을 실시함으로써 내부 보안 기준과 대외적 요구 수준의 충족 여부를 엄격히 검토하고 있습니다.
특히 사전 조치로 식별되지 않은 잠재적 리스크에 대해서도 정기적인 보완 활동을 수행하며, 보안 사고 및 IT 재해 발생 시에는 전사 차원의 위기 관리 프로세스를 가동하여 피해를 최소화하고 비즈니스 연속성을 확보함으로써 고객 정보와 핵심 자산을 보호하고 있습니다. 이러한 사후 관리 활동은 개인정보보호 관련 법령과 내부 기준에 따라 체계적으로 운영되고 있습니다.
정보보호 활동
정보보호 인증
코웨이는 국내외 공인 기관으로부터 정보보안 및 개인정보보호 분야의 인증을 취득하여, 자사 정보보호 관리체계의 수준을 대외적으로 검증받고 있습니다. 인증 취득에 그치지 않고 매년 사후심사(1년 주기)와 정기 갱신심사(3년 주기)를 통해 관리체계의 적정성을 꾸준히 점검하고, 변화하는 보안 환경에 맞춰 지속적으로 개선해 나가고 있습니다.
정보보호 인증현황
| 보유 인증 | ISMS-P | ISO/IEC27001:2022 & ISO/IEC27701:2019 |
|---|---|---|
| 표준 | 국내 | 국제 |
| 유효기간 | 2025. 6. 15 ~ 2028. 6. 14 | 2023. 12. 21 ~ 2026. 12. 20 |
| 인증기관 | 한국인터넷진흥원(KISA) | DNV |
| 인증 범위 |
|
|
| 인증 효과 |
|
|
| 사업기여 영향도 (대외적) |
인증 유지를 통해 체계적 예방 및 개선 활동을 지속하여 해킹, 내부자 위협 등으로부터 개인정보 침해사고를 예방하는 것뿐만 아니라 이와 연결되는 법규 위반, 재무(과태료 등) 및 평판 리스크까지 방어할 수 있어 코웨이의 비즈니스 안전성에 기여할 것으로 예상 | |
정보보호 교육
코웨이는 전 임직원의 정보보호 인식과 보안 역량을 높이기 위해 매년 전사 대상 정보보안 교육을 시행하고 있습니다. 2025년에는 영상 교육 프로그램뿐만 아니라, 수탁사를 대상으로 현장 방문 점검 및 교육을 실시하여 영업 현장의 보안 관리 수준을 높이고, 업무 전반에서의 정보보호 수준을 향상시키고 있습니다.
최근 생성형 AI 서비스 사용이 증가함에 따라, 정보보호실에서는 회사 정보의 외부 유출 및 보안 리스크를 예방하기 위한 상시 점검 및 모니터링을 실시하고 있습니다. 또한 임직원들의 AI 윤리에 대한 이해도를 높이고 안전한 AI 활용에 대한 인식 제고를 위해 ‘생성형 AI 사용 안내 가이드’를 수립하여 전사에 배포하였습니다. 해당 가이드는 AI 서비스 이용 시 내부 기밀 및 개인정보 입력 금지, 생성물의 저작권 및 신뢰성 검증 등 임직원이 준수해야 할 주요 보안 수칙을 포함하고 있습니다.
2025년 정보보안 교육 실적
| 구분 | 일정 | 교육대상 | 교육내용 | 이수인원 |
|---|---|---|---|---|
| 영상 교육 | 3월~10월 | 신규 판매위임계약자 | 개인정보 수집/이용/ 파기 교육 |
1,948명 |
| 수탁사 정보보안 방문점검 및 교육 | 8월~12월 | 대리점(192개), 총판(4개) | 개인정보 관리 현황 점검 및 교육 | 198명 |
| 전사 의무 교육 | 3월 | 전사 임직원 | 개인정보보호 및 정보보안 | 6,298명 |
정보보호 캠페인
코웨이는 임직원의 보안 의식이 업무 현장에서 실제 행동으로 이어질 수 있도록 정보보안 캠페인을 연중 꾸준히 전개하고 있습니다. 2025년에는 임직원의 정보보안 생활화에 초점을 맞춰 정보보안서약서 연 1회 갱신 안내, 올바른 업무 방법 안내 등 다양한 활동을 추진했습니다.
2025년 정보보안 캠페인 실적
| 구분 | 일정 | 대상 | 교육내용 |
|---|---|---|---|
| 정보보안서약서 연 1회 갱신 안내 | 4월 | 전사 임직원 | 목적 외 사용 및 외부 반출 금지 등 정보보안 준수사항 정기 안내 |
| 보안성 검토 취약점 조치 가이드 안내 | 4월 | 전사 임직원 | 개인정보 보호, AWS 보안 설정 등 유형별 조치 가이드 안내 |
| 올바른 업무 방법 안내 | 7월 | 전사 임직원 | 회사 정보 유출 방지를 위한 외근 시 SSL-VPN 사용 등 준수사항 안내 |
| 소비쿠폰 지급 사칭 피싱 주의 안내 | 7월 | 전사 임직원, (영업 현장 포함) |
사회적 이슈 사칭 대응 방법 안내 |
| 업무용 PC 사용 시 주의 안내 | 11월 | 전사 임직원 | 타사 침해사고 사례 전파, 퇴근 시 전원 OFF 등 주의사항 안내 |
정보보호 투자
코웨이는 정보보호를 비용이 아닌 경영의 핵심 요소로 인식하고, 보호 체계 고도화와 위협 대응 역량 강화를 위한 투자를 꾸준히 확대해 나가고 있습니다. 「정보보호산업의 진흥에 관한 법률」에 따라 2022년부터 정보보호 공시 의무 대상 기업으로 지정되어, 투자 규모·인력·인증·주요 활동 등 정보보호 전반의 현황을 매년 투명하게 공개하고 있습니다. 이 제도는 이용자의 안전한 디지털 환경 조성을 지원하고, 기업 스스로 정보보호에 자발적으로 투자하도록 유도하는 것을 목적으로 합니다. 2025년 말 기준, 코웨이의 정보보호 부문 투자액은 총 33억 원으로, 전체 IT 예산 중 4.4%를 차지했습니다. 주요 투자 항목으로는 엔드포인트 위협 탐지 및 대응(EDR) 솔루션 도입을 통한 단말기 보안 강화, 보안 전문 업체를 통한 개인정보 수탁사 방문 점검 등이 포함됩니다.
정보주체 개인정보 권리 보장
코웨이는 정보주체가 자신의 개인정보에 대한 권리를 실질적으로 행사할 수 있도록, 삭제 요청 및 관련 민원에 신속히 대응하는 처리 체계를 운영하고 있습니다. 특히 개인정보보호위원회가 운영하는 ‘e프라이버시 클린서비스’를 통해 접수되는 요청에도 적극적으로 응대하고 있습니다. 이 서비스는 본인 인증 이력을 기반으로 과거 가입 웹사이트를 조회하고 불필요한 사이트 탈퇴를 간편하게 지원함으로써, 정보주체 스스로 개인정보를 효율적으로 관리할 수 있도록 돕는 제도입니다. 코웨이는 이처럼 외부 연계 채널을 포함한 다양한 접수 창구를 지속적으로 정비하고 확대하여, 정보주체의 권리 보장 수준을 높여나가고 있습니다.