정보보호 체계

코웨이는 많은 고객의 개인정보를 수집하는 렌탈 비즈니스 특성을 고려하여 정보보호 체계를 강화하고 있습니다. 개인정보보호 책임자(CPO) 및 ICT 전략실 중심의 정보보호 조직을 운영하고 있으며, ICT 전략실을 통해 제품정보와 진단서비스를 유기적으로 결합하여 서비스 품질을 향상시키는 한편, 정보영역의 통합 관리체계를 구축하여 정보보호 및 관리의 효율성을 더하고 있습니다. 또한 정보보호 위원회를 운영하여 중요한 정보보호 관련 사항을 검토하고 의결하고 있습니다. 2017년에는 총 1회 위원회를 개최하였으며, 법 최신화에 따른 정보보호 정책 및 지침 개정 등에 대해 논의하였습니다.

정보보호 조직

정보보호 활동

• 

  계약 시

  계약 시 본인인증 절차 강화

  마케팅 활용 목적의 수집 시 선택 동의

• 

  정보보관 및 활용

  DB 내 개인정보 암호화 보관

  임직원 PC 내 중요문서 암호화 보관

• 

  고객정보 파기

  외부 전문업체를 통한 문서 파기 프로세스 실행

  협력사 제공 시, 목적 달성 후 파기 확인서 징구

정보보호 관리 체계 강화

코웨이는 고객의 정보자산을 안전하게 보호하기 위해 국내 인증제도인 정보보호 관리체계(ISMS) 인증을 갱신하고 국제 정보보호 관리체계 인증표준인 ISO 27001 인증을 획득하였습니다. 또한 IDC¹⁾로 전체 시스템의 로그를 집산해 관리하는 통합보안관제 체계를 구축해 분산된 고객 개인정보를 보다 안전하게 처리하고, 효율적으로 모니터링하고 있습니다. 아울러 DB 암호화 수준 향상 및 문서보안 시스템(DRM) 구축을 통해 보안시스템 기능 향상은 물론 중요 데이터의 외부유출을 원천적으로 차단하고 있습니다.

개인정보 프로세스 재정비

코웨이는 고객 개인정보 처리자 및 협력사에 VDI²⁾를 구축하고 모든 작업이 VDI를 통해 진행되도록 함으로써 고객 개인정보 유출 방지에 힘쓰고 있습니다. 또한 웹과 모바일 앱 등 영업정보시스템에 대한 취약점 점검을 통해 개인정보 노출을 최소화하고 불필요한 정보를 제거하고 있습니다. 아울러 연 1회 침해사고 대응 훈련 및 IT재해복구 훈련을 실시하여 정보보호 및 관리 프로세스의 보안 역량을 점검하고 개선을 통해 침해사고 대응력을 강화하고 있습니다.

• 1)IDC(Internet Data Center): 인터넷 데이터 센터
• 2)VDI(Virtual Desktop Infrastructure): 데스크톱 가상화
  중앙에서 가상으로 작동하는 서버의 자원을 활용해 사용자 별로 가상의 데스크톱과 데이터 저장공간을
  제공하는 솔루션. 특히 해킹의 위험으로부터 안전하며 데이터 유출의 원천 봉쇄가 가능함

임직원 보안의식 고취

정보보호 교육

코웨이는 전직원을 대상으로 정보보호 교육을 실시하여 임직원의 정보보호 의식을 제고하고 정보보안을 강화하고 있습니다. 특히 정보보호 교육을 직무별로 세분화하고 온라인과 오프라인으로 동시에 실시하여 효과성을 제고하고 있습니다. 2017년에는 회사의 정보보호 규정, 문서/개인정보보호 기반의 생활 속 사례 중심 교육, 정보보호 동향을 반영한 사고 사례 및 대응 방안 등에 대해 교육하였으며, 전 임직원이 100% 수료하였습니다.

정보보호 교육정보로, 구분, 대상, 이수자, 이수율, 비고로 구성되어 있습니다.

구분	대상	이수자	이수율	비고
온라인 교육	사원~부장	4,100명	100%	영업직, 생산직군 포함
	위수탁 상주자	104명	100%	-
오프라인 교육	임원	22명	100%	부문장 이상
	신입	38명	100%	인재육성팀 교육과정 내 보안교육 진행
	경력직	49명	100%
	신입 코디 팀장	369명	100%	교육팀 교육과정 내 보안교육 진행
	신입 Staff	90명	100%
	신입 BB* 팀장	16명	100%

• *BB(Blue Bird): 젊은 비즈니스 전문가 조직

정보보호 진단

정보보호 진단을 상시, 정기, 시스템 진단으로 세분화하여 실시하고 있으며, PC 내 개인정보 보유 현황과 개인정보처리 시스템 접속기록을 정기적으로 모니터링하고 있습니다. 2017년에는 본사 내 71개 팀 대상으로 개인 및 공용사무공간 정보보호 진단을 실시하였으며, 도출된 취약점에 대해 현장에서 즉시 조치 완료하였습니다. 2018년에는 진단 대상을 연구소, 영업점, 공장 등으로 확대하여 코웨이의 정보보호 규정 및 프로세스 준수 여부를 파악하고, 수탁업체는 업무내용 및 규모에 따라 서면 진단 또는 실사를 진행할 예정입니다. 서버 및 네트워크 등 시스템의 경우 연 1회 진단을 통해 취약점을 개선하여 정보보호 통제를 강화할 계획입니다.

주요 정보보호 활동 현황

주요 정보보호 활동 현황정보로, 구분, 내용, 2017년 주요 활동 및 성과로 구성되어 있습니다.

구분	내용	2017년 주요 활동 및 성과
정보보호 관리체계 운영	정보보호 관리체계 운영	정보보호 관리체계 통제 활동 지속 ISMS 인증 갱신 취득, ISO27001 인증 최초 획득
IDC	모의해킹(연 2회), 취약점 진단(연 1회) 침해사고 대응 훈련(연1회)	모의해킹 대상(앱/웹) 확대 전체 시스템 취약점 진단 수행 침해사고 대응 훈련 확대 시행
개인정보, DB	개인정보 암호화 DB내 데이터 통제 관리	DB 암호화 재구축을 통한 암호화 수준(알고리즘) 개선 및 성능 향상 SAP 데이터 정비(개인정보)
PC, 문서보안	PC 보안 시스템 운영	DRM(문서 암호화) 솔루션 도입 전자문서 암호화 및 출력물 워터마크 강화로 중요문서 유출 통제 강화
임직원	정보보호 교육 및 훈련 수행	집체(오프라인) 교육 대상 확대 악성메일 모의훈련을 통한 보안의식 강화