2022년 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 정보보호 관련 업무를 총괄 관리할 수 있는, IT경력 25년의 Meta-Space 본부 본부장으로 정보보안 최고책임자(CISO)를 선임했습니다. 정보보호 정책 및 통제 절차 수립, 기업비밀 보안업무와 운영 관련 최고 의사결정 기구인 정보보호 위원회와, 정보보호 실무를 담당하는 정보보호실무협의회를 본격적으로 운영하며 전사적 정보보안 체계를 강화해 나가고 있습니다.

2022년 정보보호 체계화를 위해 정보보호 규정 및 지침을 제·개정했습니다. 정보보호 관리체계(ISMS*)의 관리·기술적 통제항목 필수 요구사항 적용과 더불어 정보보호 실무협의체(정보보호 관리자 주관) 운영관리에 관한 개정이 이루어졌고, 전사 클라우드 운영 환경 전환에 따른 클라우드 관리 지침서를 제정했습니다. 정보보호 정책은 그룹웨어 사규 게시판에 게시하여 전 구성원이 인지하고 열람할 수 있도록 제공하고, 인사 및 회사 관련 업무 수행을 위해 매년 구성원의 개인정보처리에 관한 동의서를 작성하도록 하여 기술 보안에서 개인정보 보안까지 포괄적 정보보호 체계를 구축하여 운영하고 있습니다.

* ISMS(Personal Information & Information Security Management System): 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도

2022년 전사 보안체계에 대한 현황 분석 및 위험평가를 실시하였으며, 각 분야별 조치 계획을 수립하였습니다. 위험분석을 통해 도출된 취약점을 바탕으로 개인정보 취급 현황 위험평가를 완료하였으며, 평가 결과에 따라 즉시·단기·중기·장기 등 대응 시기별 조치 계획을 수립하였습니다.

임직원의 보안 의식을 강화하여 정보보호 관련 사고를 예방할 수 있도록 정기적으로 생활보안을 점검하고, 취약점 및 침해사고 발생 시 공지하고 있습니다. 분기별 생활보안, 정보보호 실천 수칙을 배포하고, 사내 업무환경에 대한 생활보안 점검 진행 및 결과를 구성원에게 공유하여 보안문화를 구축해 가고 있습니다. 또한 스팸메일 유입, Office 관련 취약점 발생 시 구성원이 상황을 이해하고 정확하게 조치할 수 있도록 신속하게 공지하며 임직원 보안수준을 강화해 나가고 있습니다.

보안사고 예방 및 정보보호 강화 활동으로 스팸메일 모의훈련, 모의해킹훈련 등 보안사고 예방 훈련을 진행하고 있습니다. 스팸메일 모의훈련은 스팸메일이나 랜섬웨어 유입으로 회사 자료가 유출되거나 업무가 중단되는 등의 사고를 방지하고 구성원 보안의식을 고취하기 위해 전 구성원을 대상으로 실시합니다. 더불어 구성원이 사용하는 전사 시스템, 어플리케이션, 사업과 관련된 IT Infra를 대상으로 모의 해킹을 실시했습니다. 2022년 모의해킹훈련 진행 결과 전년 대비 성과가 강화되었으며, 훈련결과에 따라 조치계획을 수립하고 해당 항목에 대한 조치를 완료하였습니다.

임직원의 정보보안 인식 제고와 역량 강화를 위해 매년 정보보안 교육을 실시하고 있습니다. 2022년에는 전 구성원을 대상으로 온라인 정보보호 교육을 진행하였으며, 총 228시간의 교육을 제공하였습니다. 아울러 모든 임직원이 정보보호서약서를 작성함으로써 정보보호의 중요성을 인지하고 정보보호 책임의식을 내재화하고 있습니다.

〈개인정보 처리방침〉을 수립하여 관련 법령을 철저히 준수하고 있으며, 모든 이해관계자가 확인할 수 있도록 홈페이지에 공개하고 있습니다. 개인정보 보호, 정보 유출사고 예방을 위해 개인정보 의무 교육을 실시하여 고객정보보호 인식개선을 위해 노력하고 있습니다. 나아가 SK그룹 보안 가이드라인 기반 정기 시스템 점검을 실시하여 발견된 취약점을 조치하고 개인정보 마스킹과 암호화에 투자하여 개인정보 유출 방지에 힘쓰고 있습니다. 또한 에피소드 임대주택 사업 진행에 따른 고객정보 유출에 대비해 개인정보보호 배상책임보험에 가입했습니다.