Social

정보보호 체계

정보보호 정책

코웨이는 소중한 고객 개인정보를 보호하기 위해 체계적인 정보보호 관리체계를 운영하고 있습니다. 정보보호 관련 규정을 정책과 지침으로 구분하여 실무에 효과적으로 적용할 수 있도록 구성하였으며, 광범위해지는 정보보호 요구사항과 사업 환경 변화에 대응하기 위해 정보보호 규정을 정기적으로 검토 및 제·개정하고 있습니다. 2025년 자동화된 결정1) 에 대한 개인정보처리자의 조치 기준 등 개인정보보호 관련 법률 준수 사항과 현행 업무 내용을 반영하여 총 16종의 정보보호 지침을 개정하였습니다. 또한 내부 비즈니스 영역은 물론 영업조직, 수탁자 및 협력사까지 동일한 개인정보보호 방침을 적용함으로써, 전사적 수준에서 철저한 정보보호를 실천하고 있습니다.

  • 1) 자동화된 처리에만 의존하여 개인에게 법적 효과를 미치거나 유사한 중대 영향을 미치는 결정
정보주체 개인정보 권리 보장

코웨이는 정보주체의 권리 보장을 위해 개인정보 삭제 요청 및 관련 민원에 신속하게 대응하고 있습니다. 특히, 개인정보보호위원회가 운영하는 ‘e프라이버시 클린서비스’를 통해 접수된 요청 사항에 대해서도 적극적으로 대응하고 있습니다. 해당 서비스는 본인 인증 기록을 바탕으로 과거 가입한 웹사이트를 조회하고, 불필요한 사이트의 탈퇴를 지원함으로써 정보주체가 개인정보를 보다 쉽게 관리할 수 있도록 돕는 제도입니다. 코웨이는 이러한 외부 연계 채널을 포함한 다양한 창구를 통해 정보주체의 권리를 실질적으로 보장하기 위한 관리 체계를 지속적으로 강화하고 있습니다.

정보보안 관리체계

코웨이는 국내외 고객의 신뢰성 강화를 최우선 목표로 삼아 대내외 보안 위협에 선제적으로 대응하고 있습니다. 이에 글로벌 수준의 정보보호 및 개인정보 관리체계를 구축하기 위해 정보보안 중장기 로드맵을 수립하여 지속적으로 관리하고 있습니다.

정보보안 중장기 로드맵

  • 단기
  • 중기
  • 장기
글로벌 표준 보안 관리체계 기반 마련
글로벌 표준 체계 내재화
글로벌 통합 보안 관리체계 운영 및 관리
  • 글로벌 법 준거성 확보
  • 글로벌 표준 보안 관리
    프레임워크 정립
  • 전사 정보보호 및 개인정보 관리
    프로세스 고도화
  • 글로벌 표준 보안관리체계
    해외 사업장 확대 적용
  • 해외 사업장별 정보보호
    관리체계 운영 및 관리
  • 본사 글로벌 모니터링 체계 구축
정보보호 추진조직

코웨이는 정보보호위원회를 임원급 조직으로 운영하고 있으며, 위원장은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따라 ‘정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력’의 정보보호 최고책임자(CISO, Chief Information Security Officer)가 맡고 있습니다. 위원회는 CISO를 중심으로 관련 부서 책임자들이 위원으로 참여하여, 정보보호 정책 및 실행 방향을 심의합니다. 정보보호 주관 부서인 정보보안팀은 정보보호 감사, 교육, 인식 제고 활동, 모의훈련 등을 운영하며, 유관 부서와의 긴밀한 협업, 주기적 모니터링 및 리스크 관리를 통해 철저한 정보보호 체계와 개인정보 보호 수준을 강화해나가고 있습니다.

정보보호 조직도

정보보호 조직도
정보보호 조직도: 최상위: 대표이사 중앙 핵심 조직: - DX 센터 임원 (CISO, CPO 겸직) (진한 파란색) - IT운영실 (파란색) 좌측 정보보호위원회 (점선 박스): - 경영지원본부장 - IT서비스기획실장 - 법무정책실장 - IT개발실장 - 정보전략실장 우측 정보보호 유관부서: - IT서비스기획실 - 정보전략실 - IT개발실 - 인프라기술팀 - IT계약운영팀 - 총무팀 - 인사팀 - 법무팀 - 1사업본부 하단 조직: - 정보보호 주관부서 (하늘색) - 정보보안팀 (하늘색) 최하단 2개 파트: - 정책/기획 파트 - 개인정보 파트
정보보호위원회 운영

코웨이 정보보호위원회는 정기적으로 운영되며, 개인정보보호법 및 정보통신망법 등 관련 법령의 개정 사항을 지속적으로 검토하고, 이를 사내 정책과 프로세스에 신속하게 반영하고 있습니다. 2024년에는 정보주체의 동의 철회 절차 마련, 국외 이전 거부 방법 및 그에 따른 효과 안내, 광고성 정보 수신 동의 절차의 분리 등 법적 준거성을 강화함으로써 비즈니스의 안정성과 고객 신뢰를 높였습니다.

2024년 정보보호위원회 주요 활동 및 성과

구분
주요 활동 및 성과
평가지표
측정 결과
Compliance 준수
  • 개인정보 접속기록/파기실태 점검
  • 정보주체 이용내역 통지, 불만/분쟁 해결
법 준수 의무 활동 실시율
100%
관리체계 운영
  • ISO27001 인증 갱신 및 ISO27701 인증 유지
  • ISMP-P 인증 유지
보안 표준 내재화 적용률
100%
보안시스템 운영
  • 보안 시스템 운영 체계 개선
  • 보안 시스템 접근권한 및 불필요 정책 점검
개선 계획 실행률
100%
정보보호 예방
  • PC보안 취약점 및 정보유출 위협 탐지/대응
  • 주요 사업장 및 영업현장 보안점검 및 교육
위험 탐지 대응률
100%
인식 제고
  • 정보보안 캠페인 및 사례 전파 활동
  • 영업 현장 맞춤형 교육 영상 배포
인식 제고 계획 실행률
100%
교육 강화
  • 연 1회 장애상황 관련 재해복구 모의 훈련(IDC 모의 훈련) 시행
  • 연 1회 개인정보 유출 모의 훈련 시행
교육 대상자 수료율
100%
위험 관리
  • 보안성 검토 및 전사적 위험 조치/제거
  • END-POINT 보안위험 탐지 강화 및 보안 사각지대 최소화
보안 취약점 제거율
100%
내부 감사
  • 정보보호 관리체계 실태 점검
  • 협력사 및 수탁사 보안 관리 실태 점검
관리 수준 진단 실시율
100%

정보보호 인증

코웨이는 공신력 있는 국내외 제3자 기관으로부터 정보보안 및 개인정보보호 관련 인증을 취득하여 정보보호 관리체계를 공식적으로 인정받고 있습니다. 또한 매년 사후심사(1년 주기)와 갱신심사(3년 주기)를 통해 정보보호 수준을 지속적으로 점검, 강화하고 있습니다.

정보보호 인증현황

보유 인증
ISMS-P
ISO/IEC 27001:2022 & ISO/IEC 27701:2019
표준
국내
국제
유효기간
2022. 6. 15 ~ 2025. 6. 14
2023. 12. 21 ~ 2026. 12. 20
인증기관
한국인터넷진흥원(KISA)
DNV
인증범위
  • 코웨이 온라인 서비스 (코웨이닷컴)
  • 코웨이 온라인 서비스: 코웨이닷컴, 기업사이트 등 총 11개 서비스
  • 업무용 앱: 코디앱, 홈케어닥터앱, 스마트세일즈앱, 서비스매니저 앱 등 총 5개 서비스
인증 효과
  • 정보보호 위험관리로 비즈니스 안정성 제고
  • 윤리 및 투명 경영을 위한 정보보호 관련 법률 준수
  • 침해사고, 집단소송 등에 따른 사회/경제적 피해 최소화
  • 국제규격에 부합한 정보보호 및 개인정보보호 관련 법률 준수
  • 정보보호 위협으로부터 체계적 위험 관리 환경 제공
  • 정보 유출 예방 효과 인증 취득 시 대외 신뢰도 향상
사업기여 영향도 (대외적)
인증 유지를 통해 체계적 예방 및 개선 활동을 지속하여 해킹, 내부자 위협 등으로부터 개인정보 침해사고를 예방하는 것뿐만 아니라 이와 연결되는 법규 위반, 재무(과태료 등) 및 평판 리스크까지 방어할 수 있어 코웨이의 비즈니스 안전성에 기여할 것으로 예상
정보보호 인증서 바로가기

정보보호 리스크 관리

정보보호 위험 모니터링

코웨이는 고객의 소중한 정보를 안전하게 보호하고 정보보안 및 개인정보보호 수준을 개선하기 위해 악성메일 대응훈련, 클린데스크 캠페인, 수탁사 점검, 영업현장 방문 점검, 판매 대상자 교육 등 다양한 정기 모니터링 활동을 실시하고 있습니다. 이를 통해 영업 현장과 협력업체의 정보보호 위험 요소를 식별하고 각 활동 유형별 점검 및 교육을 통해 사고 예방과 정보보호 인식 제고에 힘쓰고 있습니다.

2024년 주요 활동 및 성과

유형
활동 내용
대상
활동 결과
악성메일 대응훈련
지능형 악성메일에 대한 사내 모의훈련으로 개인정보 탈취 시나리오 등 임직원 경각심 고취와 대응 역량 강화
전사 임직원
연 3회 시행
클린데스크
임직원 보안 인식 제고와 클린데스크 활동으로 보안 사고 예방, 정보 관리 취약점 제거
본사(담당부서 점검), 연구소,
공장(자가 점검), 영업 현장
연 1회 시행
수탁사 점검
수탁 업체 대상 체크리스트 기반 점검 및 개인정보보호 교육 실시
협력업체
354개 참여
영업현장
방문 점검 및 교육
고객 관리 현장인 영업현장 실사 점검 방문과 관련 교육으로 정보보호 및 개인정보보호 취약점 개선
영업현장
100개 영업현장 시행

보안 리스크 사전관리

코웨이는 보안 사고나 시스템 장애 발생 시에도 주요 IT 서비스가 중단 없이 유지되거나 신속히 복구될 수 있도록 전사 차원의 위기 관리 프로세스를 운영하고 있습니다. 또한 개인정보보호 정책과 시스템을 통합해 리스크를 체계적으로 관리하고 있으며, 잠재적 위협을 사전에 식별하고 보안 사고나 IT 재해 발생 시 신속히 대응함으로써 피해를 최소화하고 안정적인 정보보호 체계를 유지하고 있습니다. 또한 시스템 기획 단계부터 보안을 고려한 ‘보안성 검토 프로세스’를 운영하여 지속가능한 정보보호 체계를 구축하고 있습니다. 해당 프로세스는 서비스 주관 부서와 정보보안팀의 협력을 통해 시스템 개발 단계별 보안 취약점을 사전 점검하고 개선함으로써, 보다 안전하고 신뢰할 수 있는 시스템 운영을 지원합니다.

  • 위기 관리 조직 및 역할

    • 정보보호위원회 : 정보보호 관련 중요 사항 심의 및 의결
    • CISO : 전반적인 업무 지휘 및 위기 대응 총괄
    • 정보보안팀 : 정보보호 업무 실행 및 개선
    • 비상대책반 : 재해 발생 시 비상 대응 및 복구

  • 위기 관리 범위

    • 보안 사고 : 정보 유출, 시스템 침해 등 보안 정책 위반 사고
    • IT 재해 : 자연재해, 화재 등으로 인한 IT 서비스 중단

  • 위기 관리 프로세스

    • 사전 예방 : 위험 평가, 보호 대책 수립, 정보보호 교육
    • 사고 대응 : 사고 보고, 분석, 긴급 조치, 복구 및 재발 방지
    • IT 재해 대응 : 비상대책반 가동, IT 서비스 복구, 업무 연속성 확보

보안성 검토 프로세스

  • Step 01
    보안성 검토요청
    서비스 주관 부서는 시스템 기획 단계에서 보안성 검토 대상 여부를 정보보안팀에 문의하고, 시스템에 대한 설명회 및 흐름도를 작성
  • Step 02
    검토 및 계획 수립
    정보보안팀은 서비스 주관 부서의 요청을 검토하여 보안 요구사항을 안내하고, 검토 대상 및 범위를 확정한 후 보안성 검토 계획을 수립
  • Step 03
    보안성 검토 수행
    수립된 계획에 따라 보안성 검토를 수행하며, 주요 화면 개발 완료 후 점검 진행
  • Step 04
    사후 관리
    정보자산 목록 등록 및 지속적인 모니터링을 통한 시스템의 보안 상태 유지

개인정보보호 침해사고 대응

코웨이는 개인정보 침해 및 정보 유출 사고 발생 시 신속한 초기 대응으로 피해를 최소화하고 2차 피해를 방지하기 위한 유기적 사고 대응 체계를 운영하고 있습니다. 개인정보 관련 사고는 침해사고와 유출사고(개인정보 유출, 내부정보 유출)로 구분하여 유형별 대응 방안을 수립합니다. 보안 관제 및 상시 모니터링 시스템을 통해 사고 발생 즉시 정보보호 담당자에게 의심 내역이 보고되도록 하고, 즉각 대응팀을 구성하여 조치하고 있습니다. 초동 조치 이후 사실 확인, 증거 수집과 보존으로 정보 유출 경로와 사고 원인의 정밀 분석을 실시하고, 사후 단계에서 재발 방지 대책을 수립, 관련 조치를 이행하는 한편 서비스의 신속한 정상화를 추진합니다. 더불어 사고 대응 과정을 문서화하여 유사 사례의 재발을 방지하고, 사고 경로 및 대응책을 관련 부서에 정기적으로 공유, 교육하여 조직 전반의 정보보호 대응 역량을 강화하고 있습니다.

대응체계 프로세스

구분
침해사고
개인정보유출
내부정보유출
비고
관제/모니터링

원격보안관제

  • 악성코드 감염 (웜 · 바이러스)
  • 해킹 공격 (홈페이지 위 · 변조, 경유지악용)
  • DDoS공격 등

원격보안관제

  • 개인정보 유출
  • 내부정보 유출

원격보안관제

원격보안관제

정보보호 담당자에게 보안사고 의심 내역을 신고
사고인지/신고

I. 침해사고 발생 대응

내부보고

국가기관신고

보안사고대응팀구성

Ⅱ. 개인정보 유출 대응

사고발생신고 및 고객 통지

  • 사고대응팀 구성 및 비상임원회의 소집

Ⅲ. 내부정보 유출 대응

내부보고 국가기관신고 (필요시)

  • 보안사고대응팀구성

CEO 보고

CISO 보고
사고대응
초동조치

F/W차단, ACL 정책 적용, NMS모니터링, 백신

유출 피해 최소화

정보 추가 유출 금지
정밀
분석
사실확인
조회

시스템 로그 수집 및 분석(변조유무 등)

  • 최근 변경파일, 프로그래밍 및
    서비스 확인
  • 숨겨진 또는 비정상 프로세스 확인
  • 비정상 포트 및 외부 연결 확인 등

유출경로 파악

고객 민원 대응

피해 구제

인터뷰
증거수집
보존

포렌식

관련증거 수집

CISO 보고
사후조치
(재발방지)

서비스 정상화

보완조치 및 재발방지 조치

대책적용 모니터링

재발방지 대책 수립

징계조치 및 민 · 형사장 고소

재발방지 대책 수립

CEO 보고

CISO 보고

보안 사고 사후 조치

코웨이는 개인정보 위반 발생 시 피해 확산을 차단하고 유사 사례의 재발을 방지하기 위해 체계적인 대응 프로세스를 운영하고 있습니다. 임직원이 보안 사고를 신속히 인지하고 보고할 수 있도록 다양한 제보 채널을 마련하고 있으며, 사고 발생 시에는 정보보안팀 주도로 사실관계를 확인하고 리스크를 분석합니다. 필요 시 ER전략팀과 협업하여 공정하고 객관적인 조사를 진행하고, 위반 행위의 중대성에 따라 합당한 수준의 징계를 적용합니다. 또한 사고 원인에 대한 분석을 바탕으로 재발 방지 대책을 수립하고 이를 전사에 공유함으로써, 조직 전체의 대응 역량을 강화하고 있습니다. 개인정보보호 관련 법령 또한 철저히 준수하며, 행위자는 물론 기업도 법적 책임질 수 있다는 점을 인식하고, 정보보호 책임에 앞장서고 있습니다.

정보보호 투자

코웨이는 정보보호를 경영의 핵심 요소로 인식하고, 정보보호 체계 고도화 및 위험 대응 역량 강화를 위해 지속적인 투자를 추진하고 있습니다. 특히 「정보보호산업의 진흥에 관한 법률」에 따라 2022년부터 정보보호 내역 공시 의무 대상 기업으로 지정되어, 정보보호 투자, 인력, 인증, 활동 등의 현황을 매년 공시하고 있습니다. 해당 제도는 이용자의 안전한 인터넷 이용을 도모하고, 기업이 정보보호를 경영의 핵심 요소로 인식하여 자발적 정보보호 투자를 유도하는 것을 목적으로 합니다. 2024년 말 기준, 코웨이의 정보보호 부문 투자액은 총 33억 원으로, 전체 IT 예산 중 4.6%를 차지하였습니다. 주요 투자 항목으로는 정보보호 위험관리 체계 고도화, 로그 이상 징후 탐지 시스템 구축 등이 포함됩니다.

정보보호 문화 구축

임직원 정보보안 교육

코웨이는 임직원의 정보보호 인식 제고와 보안 역량 강화를 위해 매년 전 임직원을 대상으로 정보보안 교육을 실시하고 있습니다. 2024년에는 교육 프로그램을 확대해 운영하고 있으며, 정기적인 보안 캠페인을 통해 전사 차원의 보안 실천 문화를 내재화하고 있습니다. 또한 판매위임계약직을 대상으로 현장 사례 중심 교육을 실시하여 영업 현장의 보안 관리 수준을 높이고, 업무 전반에서의 정보보호 수준을 향상시키고 있습니다.

2024년 정보보안 교육 실적

구분
일정
교육대상
교육내용
이수인원
영상 교육
8월, 9월, 10월
판매위임계약직
개인정보 수집/이용/파기 교육
5,926명
정보보안 방문점검 및 교육
4~8월(수도권), 9~11월(지방)
총/지국(76개), 대리점(22개), 지점(2개)
개인정보 관리 현황 점검 및 교육
334명
전사 의무 교육
3월
전사 임직원
개인정보보호 및 정보보안
6,175명

정보보안 캠페인

코웨이는 안전한 업무 환경을 조성하고 임직원의 보안 의식을 높이기 위해 정보보안 캠페인을 지속적으로 전개하고 있습니다. 2024년 임직원의 실질적 보안 역량 강화에 초점을 맞춰 휴대폰 보안 수칙 캠페인, 올바른 광고성 정보 전송 캠페인 등 다양한 활동을 추진하였습니다.

2024년 정보보안 캠페인 실적

구분
일정
교육대상
교육내용
휴대폰 보안 수칙 캠페인
8월
전사 임직원
스미싱으로 인한 개인정보 유출과 피해 예방
올바른 광고성 정보 전송 캠페인
4월, 11월
전사 임직원(영업 현장 포함)
광고성 정보 전송 체크리스트 배포로 실무 보안 리스크를 예방
정보보호의 날 기념 4행시 이벤트
7월
전사 임직원
임직원의 정보보호 관심 유도

Case

온라인 회원 개인정보보호 캠페인 시행

코웨이는 2024년 10월 코웨이닷컴 온라인 회원을 대상으로 개인정보 인식 제고와 계정 도용 및 정보유출 방지를 위해 ‘온라인 개인정보보호 캠페인’을 진행하였습니다. 해당 캠페인은 약 2주간 비밀번호 변경을 유도하는 이벤트 형식으로 운영되었으며, 총 4,937명의 회원이 참여하였습니다. 이를 통해 이용자의 보안 인식을 높이고 계정 보호 강화에 기여하였습니다.

온라인 회원 개인정보보호 캠페인 시행

온라인 회원 개인정보보호 캠페인 시행