개인정보보호 및 보안

정보보호 체계

정보보호 정책

코웨이는 고객의 개인정보를 보호하고 전 사업 영역에서의 정보보호 실천을 위해 정보보호 정책 및 지침을 수립하여 원칙에 기반한 정보보호 체계를 운영하고 있습니다. 코웨이는 정보보호 규정을 정보보호 기본 원칙에 대한 정책과 정보보호 세부 실천 영역별 지침으로 나누어 실무에 적용하기 쉽도록 구성하였습니다. 정보보호 정책 및 지침은 사업환경의 변화에 따라 광범위해지는 정보보호 영역을 반영하기 위해 정기적 검토 과정을 거쳐 제·개정됩니다.

2022년에는 사내 클라우드 시스템 사용 활성화와 위치정보를 활용한 서비스 증가 등 최신 정보보호 이슈를 반영하기 위해 기존 정책 1종, 지침 3종으로 운영되던 규정을 정책 1종, 지침 17종으로 세분화하여 제·개정하였습니다. 코웨이는 내부 비즈니스 영역뿐만 아니라 영업조직을 비롯한 수탁자 및 협력사에도 개인정보 관련 지침 및 방침을 모두 적용함으로써 철저한 정보보호를 추진하고 있습니다.

정보보호 조직

코웨이의 정보보호 활동은 개인정보보호 및 정보보호 조직을 기반으로 운영되며, 정보보호위원회를 중심으로 주요 안건 논의 및 의사결정을 진행하고 있습니다. 정보보호위원회는 임원급 위원회로, 정보보호 최고책임자가 위원장을 맡고 있으며, 유관부서의 장으로 구성된 위원들이 정보보호 위원으로 참여하고 있습니다. 정보보호위원회는 정보보호 및 개인정보 보호 영역의 통합 관리체계를 구축하여 정보보호 관리의 효율성을 높이고 있습니다. 전체 개인정보보호 및 정보보호 조직은 주관부서인 정보보안팀을 중심으로 운영되며, 유관부서와 긴밀한 협업을 통해 철저한 정보보호 체계 구축 및 개인정보 보호를 위해 노력하고 있습니다.

정보보호위원회 2021년 주요 활동

고객이 인근 지역의 제품 상담 전문가(코디)를 찾아 상담할 수 있는 실시간 코디 매칭 서비스, 서비스매니저 업무용 앱(App) 등 위치정보를 활용하는 서비스를 제공함에 따라 위치정보의 수집과 활용에 대한 실질적 관리 필요성이 증가하였습니다. 2021년 정보보호위원회에서는 위치정보 관리 책임자를 지정하고, 위치정보보호 지침을 승인함에 따라, 위치정보에 대한 관리적/기술적 보호조치 체계가 실질적으로 운영될 수 있는 기반을 마련하였습니다.

정보보호 활동

개인정보보호 관리 체계 및 정보보호대책

코웨이는 개인정보의 수집, 보관 및 활용, 파기 전 단계에서 고객의 정보를 더욱 안전하게 관리하기 위해 개인정보보호 라이프사이클 관리 체계를 추진합니다. 또한 라이프사이클 전반에서 더욱 강화된 보호 체계를 유지하기 위해 관리영역, 물리영역, 기술영역으로 나누어 정보보호 대책을 실행하고 있습니다. 관리 영역에서는 정보 자산을 분류하고 정보보호 교육을 통한 정보보호를 추진하며, 물리 영역에서는 출입 통제, CCTV, 클린데스크 등의 영역을 담당하며, 기술 영역에서는 시스템 통제 및 침해사고 관리, IT 시스템 기반의 진단, 재해 복구를 진행하고 있습니다.

개인정보 수집 및 동의

코웨이는 고객의 개인정보를 수집하고 정보 이용에 대한 동의를 구하는 과정에서 법규를 준수하고 있으며 내용에 대한 명확한 설명을 제공하기 위해 최선을 다하고 있습니다. 2018년 개인정보 수집 및 동의 프로세스를 보강한 것에 이어, 2021년에는 고객 본인이 직접 개인정보를 입력하고 수집 및 이용하는 개인정보의 항목, 목적, 보유기간 등을 확인할 수 있도록 전자 계약을 도입하였습니다. 코웨이는 정보의 주체가 고지 내용을 명확히 인지하고 정보를 제공하며, 수집된 정보는 엄격한 프로세스를 통해 활용될 수 있도록 철저한 관리를 지속하고 있습니다.

개인정보 침해사고 발생시 대응 체계

개인정보 침해사고 및 정보유출 사건 발생 시 신속한 초기 대응을 통해 피해를 최소화하고 2차적인 피해를 방지할 수 있도록 사고 대응 체계를 운영하고 있습니다. 코웨이는 개인정보 관련 사고를 침해사고와 유출사고(개인정보 유출, 내부정보 유출)로 구분하여 유형별 대응 방안을 마련하였습니다.

우선 보안 관제 및 상시 모니터링을 통해 사고 발생 즉시 정보보호 담당자에게 보안사고 의심내역을 신고하고 대응팀을 구성합니다. 사고대응을 위해 초동조치 후 사실확인 및 증거 수집·보존 과정을 거쳐 정보의 유출 경로 등에 대한 정밀 분석을 실시합니다. 이후 사후조치 과정에서 재발방지 대책을 수립 및 조치하며 서비스 정상화를 위해 노력합니다. 코웨이는 이러한 대응 체계를 갖춤으로써 유사한 사고가 재발하지 않도록 사고 경로, 대응책 등을 정리하여 관련 부서에 정기적으로 배포 및 교육하고 있습니다.

정보보호 교육 및 내재화

코웨이는 매년 임직원 및 수탁사를 대상으로 개인정보보호 의식 수준 함양을 위한 교육을 시행하고 있습니다. 2013년부터 전 임직원을 대상으로 정보보호 이러닝 과정을 진행하고 있으며, 2021년에는 전 임직원 및 파트너와 위/수탁사를 대상으로 교육을 진행하였습니다.

정보보호 교육 참여 현황¹⁾

구분	단위	2019	2020	2021
임직원 참여 직원 수	명	4,888	4,729	6,172
파트너 참여율	%³⁾	100	100	100
위, 수탁사 참여율²⁾	%³⁾	100	100	100

온‧오프라인 고객 정보보호 교육 포괄
위/수탁사 자체 교육 시행
교육 대상자 중 참여자 수의 비율

Case정보보호 프로그램

코웨이는 2021년 개인정보 보호 및 정보보호 인식 향상을 위해 다양한 정보보호 프로그램을 실시하였습니다. 우선 정보보호 관리체계를 강화하여 국내 개인정보보호관리체계 기준에 따라 코웨이 닷컴 등 대내외 10여개 서비스의 보안성을 검토했습니다. 또한 그룹웨어 내 보안게시판을 신설하고 매월 정보보안 캠페인을 시행함으로써 임직원의 정보보호 인식 제고 활동을 강화했습니다. 이 외에도 약 15,000명의 판매인 중 95%에게 “정보보호 실천 10대 수칙” 알림톡을 고지하며 위임계약자 교육을 시행하였고, 내 PC 지키미 보안 점검 및 보안 솔루션 교체 등을 통해 안전한 PC 사용 환경을 제공했습니다.

2021 사내 정보보호 활동

구분	내용	2021년 주요 활동 및 성과
정보보호 관리체계 강화	시스템 구축 및 변경시 사전 보안성 검토	코웨이 닷컴 등 대/내외 10여개 서비스에 대한 국내 개인정보보호관리체계 기준의 보안성 검토 완료
정보보호 인식 제고 활동 강화	그룹웨어 내 보안게시판 신설 매월 정보보안 캠페인 시행 랜섬웨어 등 주의 사항 고지	매월 주요 내용 고지 및 건물 내 영상 고지
위임계약자 교육	매월 “정보보호 실천 10대 실천 수칙” 알림톡 고지	약 15,000명의 판매인 중 95%에게 알림톡 발송하여 정보보호 의식 고취
PC 사용 환경 강화	내 PC 지키미 보안 점검 보안 솔루션 교체	안전한 PC 사용환경 제공 및 PC 보안 정책 반영

정보보호 인증

코웨이는 개인정보보호의 신뢰성 확보를 위해 국내외 정보보호관리체계 인증을 취득 및 유지하고 있습니다. 국내 표준 ‘정보보호관리체계인증(ISMS)’을 취득하여 정보보호 위험 관리를 통한 사업 안정성을 제고하고 있습니다. 또한 국제 표준 ‘정보보호 경영 시스템 인증(ISO 27001:2013)’을 취득하여 정보보호 정책, 고객 관리시스템 등 모든 통제 항목에 대한 글로벌 정보보호 표준을 준수하고 있습니다. 이를 통해 전 임직원의 자발적인 정보보호 실천 문화를 조성하며 정보보호 중요성에 대한 인식을 제고하고 있습니다.

정보보호 인증 현황

보유 인증	ISMS	ISO27001: 2013
표준	국내	국제
유효기간	2021.04.22 ~ 2024.02.21	2020.12.20 ~ 2023.12.20
인증 범위	코웨이 인터넷 쇼핑몰 서비스 (코웨이, Re-nk)	코웨이 IT 활동에 대한 관리/기술/물리적 정보보호관리체계
인증 효과	정보보호 위험관리를 통한 비즈니스 안정성 제고 윤리 및 투명 경영을 위한 정보보호 관련 법률 준수 침해사고, 집단소송 등에 따른 사회/경제적 피해 최소화	국제규격에 부합한 정보보호 관련 법률 준수 정보보호 위협으로부터 체계적인 위험 관리 환경 제공 정보 유출에 대한 예방 효과 인증 취득 시 대외 신뢰도 향상
사업 기여 영향도	(대내적) 코로나19의 영향으로 대면 비즈니스의 변화가 촉구되는 오늘날 코웨이는 DX(디지털 트랜스포메이션)의 추진으로 정보보호의 중요도가 높아지고 있습니다. 국내외 정보보호 표준 인증을 통해 정보보호 리스크를 지속적으로 관리하며 회사의 비즈니스 연속성에 기여할 것으로 예상됩니다. (대외적) 인증 유지를 통해 체계적인 예방 및 개선 활동을 지속적으로 유지하여 해킹, 내부자 위협 등으로부터 개인정보 침해사고를 예방하는 것뿐만 아니라 이와 연결되는 법규 위반, 재무(과태료 등) 및 평판 리스크까지 방어할 수 있어 회사의 비즈니스 안전성에 기여할 것으로 예상됩니다.

정보보호 주요활동 및 실사

코웨이는 정보보호 관리 체계를 기반으로 정기적인 데이터 보안 및 개인정보보호 모니터링을 진행합니다. 내부 데이터의 안전한 관리를 위해 개인정보 이상징후 탐지 시스템을 기반으로 위험 요소를 파악하는 한편, 외부로부터의 사이버 공격에 대응하기 위해 연간 모의해킹 훈련을 수행하는 등 다각적 위험 진단 및 예방 활동을 진행하고 있습니다. 이러한 과정에서 고위험으로 도출된 영역에 대해서는 실사를 통해 구체적인 리스크를 파악하고, 개선 조치를 이행하여 위험을 완화하고 있습니다.

정보보호 위험 모니터링

2021년 코웨이는 개인정보 이상징후 탐지시스템을 기반으로 근무시간 외 개인정보 조회 및 반출 등 위험 이슈를 선별하여 원격 점검을 시행하였으며, 정보보호 위배 의심 사례를 확인하여 위험 요소를 개선하였습니다. 또한 코로나19로 인한 재택근무 과정에서의 잠재적 정보보호 위험을 방지하기 위해 정보보호 인식 제고 활동을 강화하였으며, 전사 직원 및 협력사, 파트너를 대상으로 악성메일 모의 대응 훈련을 실시하였습니다. 또한 인프라 취약점 진단, 보안성 검토 및 재해복구 절차 유효성 검증 등의 과정을 통해 정보보호 체계의 지속성을 점검하였습니다.

시스템 기반 위험 점검 및 실사

2021 정보보호 주요활동 및 성과

구분	내용	주요 활동 및 성과
정보보호 관리체계 운영	정보보호 관리체계 강화	정보보호 규정 제·개정 대/내외 서비스에 대한 보안성 검토 진행 분기별 정보보호 활동 보고 ISO27001 인증 갱신
정보보호 인식 제고 활동 강화	정보보호 캠페인 강화	그룹웨어 내 보안게시판 신설 매월 정보보안 캠페인 시행 주요정보 유출 및 랜섬웨어 등에 관한 주의 사항 고지
클린데스크 점검	본사 클린데스크 점검	사무공간 내 정보보호를 위한 클린데스크 인식제고 캠페인 진행 (본사 임직원 931명 및 상주 협력사 직원 141명 대상)
침해사고 대응 훈련	웹 서버에 침해사고를 가정하여 대응 절차 검증	연 1회 악성메일 모의 훈련 시행 (전사 임직원 6,533명 대상) IDC(인터넷 데이터 센터, Internet Data Center) 내 서버 타겟의 서비스 거부 공격(DDOS) 모의 훈련 시행
정보보호 교육	임직원 및 상주 협력사 정보보호 교육 시행 위임계약자 정보보호 알림톡 발송	정보보호 실천수칙 고지 (전사 임직원 및 협력사, 코디 등 대상)
재해복구 대응 훈련	IT 서비스에 대한 백업 및 복구 절차를 점검하고 개선하여 IT 업무의 연속성 확보	연 1회 도상훈련을 통해 1등급 장애상황에 대한 재해복구 절차 및 비상연락망의 유효성 검증
End-Point 보안	새로운 End-Point 보안 체계 적용	End-Point 보안 위협 탐지 강화 및 보안 사각지대 최소화
취약점 점검	IT 산업 대상 모의해킹 및 인프라 취약점 진단	연1회 모의해킹, 인프라취약점 진단 완료 (클라우드 환경 포함)

정보보호 관련 법/규제 위반 사례

구분	단위	2018	2019	2020	2021
정보보호 및 사이버보안 관련 위반 사건 발생 건수	건	0	0	0	0
고객 개인 정보 관련 위반 사건 발생 건수	건	0	0	0	0
데이터 위반으로 인해 피해를 입은 고객의 수	명	0	0	0	0
정보보호 및 사이버보안 관련 위반 사건으로 인해 발행한 총 벌금/과징금/범칙금 등의 액수	원	0	0	0	0