SK D&D는 플랫폼 사업 선두주자로 도약하기 위한 IT인프라 솔루션 구축을 목표로 데이터 거버넌스를 수립하고 있으며, 이를 위해 정보보호 정책 및 체계를 수립하여 이행하고 있습니다. 국제 정보보안 표준과 윤리규범을 준수하여 사이버 보안 위험을 완화하고, 정보보안에 대한 대외 이해관계자와의 신뢰 수준을 향상함으로써 리스크를 관리해 나가고자 합니다.

2023년에는 정보보호 체계화를 위해 정보보호 규정을 개정하였으며, 정보보안 규정 제4조에 따라 정보보안 최고책임자(CISO)의 승인을 획득하여 공개하고 있습니다. 주요 개정 사항으로는, 정보보호 관리체계(ISMS)의 관리·기술적 통제항목 필수 요구사항 적용과 정보보호 실무협의체 운영관리에 변경이 있었습니다. 또한, 전사 업무 시스템의 아마존웹서비스(AWS) 클라우드 전환에 따른 클라우드 관리 지침서를 제정하였습니다. 정보보호 정책과 관련 규정은 그룹웨어 사규 게시판에 게시하여 전 구성원이 인지하고 열람할 수 있도록 제공하고 있습니다.

SK D&D는 내부 정책 및 체계 고도화와 더불어 정보보안 수준을 강화하기 위해, 2023년 11월 당사 홈페이지와 에피소드 브랜드 홈페이지 등에 대한 ISMS(정보보호 관리체계) 인증*을 획득하였습니다. 자발적으로 인증을 취득함으로써 보다 더 안전한 고객 서비스 환경을 조성하였으며, 앞으로도 정보보안 신뢰 향상을 위해 지속적으로 노력할 것입니다.

정보보호 정책

SK D&D는 정보보호 관리활동을 체계적으로 이행하기 위하여 최고 정보보호 의결기구로서 정보보호위원회를 운영하고 있으며, 이를 통해 연 1회 이상 회사의 정보보호 정책 및 통제 절차 수립, 기업비밀 보안업무의 운영과 관련된 주요 현안을 검토하고 의사결정을 수행합니다. 정보보호위원회는 IT/정보보호 전문가로 구성되며, 위원장은 정보보호 최고책임자(CISO)로 선임합니다. CISO는 CEO로부터 정책 검토 및 승인 권한을 위임받은 조직의 C-level 임원으로서, 정보보안 전략 수립과 신속한 대응을 책임지고 정보보호위원회 심의·의결 사항을 CEO에게 보고합니다.

정보보호위원회의 효율적인 정보보호 업무 수행을 위하여 정보보호 실무협의회를 분기 1회 운영하고 있으며, 정보보호 관리자를 협의회 의장으로 하고 정보보호, 개인정보보호, 인력/물리보안 담당자 등 실무자들이 참여하여 전사적 정보보안 체계를 강화해 나가고 있습니다. 정보보호 담당 조직인 플랫폼 Infra Part에서는 연간 정보보호 추진계획을 이행하고 보안사고 예방을 위한 점검 및 사후 관리를 실시하며, 필요시 준법, Biz 등 유관부서과 함께 협업하여 사내 정보보호 활동을 추진하고 있습니다.

SK D&D는 정보보호 정책이 요구하는 정보보호 수준을 유지하여 보안 침해사고 발생을 사전에 예방할 수 있도록 정기적으로 정보보안 점검을 실시하고 있습니다. 2023년에는 ISMS 인증기준에 따라 전사 보안체계에 걸쳐 정보보호 위험 및 취약점을 분석하여 위험도를 평가하였습니다. 평가 결과 총 12개 부문 및 82개 항목에 대한 결함을 확인하였으며, 부문별 결함 사항에 대해 완화조치 이행을 완료하였습니다. 더불어, 운영현황에 대한 효과성 평가 결과 86.4점(정보보호 수준 : 우수)으로 전년 대비 향상됨을 확인하였습니다.

SK D&D는 구성원의 보안 의식을 높이기 위해 생활보안을 정기적으로 점검하고 있으며, 발생한 취약점 및 침해사고를 공지하고 있습니다. 분기별로 생활보안 및 정보보호 실천 수칙을 배포하여 보안 문화를 확립하고 있으며, 사내 업무환경에 대한 생활보안 점검 결과를 구성원들과 공유합니다. 또한, 스팸 메일 유입이나 Office 관련 취약점 발생 시, 적절한 대응이 이뤄질 수 있도록 신속하게 구성원들에게 상황을 공지함으로써 중대한 정보보안 사고의 발생을 예방하고 있습니다.

SK D&D는 IT/데이터 기반 솔루션 및 플랫폼 사업을 추진하는 만큼 정보기술 부문 투자를 확대함과 더불어, 전사 차원의 정보보안 체계를 강화하기 위해 정보보호 투자를 매년 이행하고 있습니다. 2023년 SK D&D의 전체 정보기술부문 투자액 대비 정보보호 투자 금액의 비율은 4.7%에 달합니다. 앞으로도 꾸준한 정보보호 투자를 통해 고객과 기업의 정보 보호에 최선을 다하고자 합니다.

또한, SK D&D는 구성원이 정보보안의 중요성과 책임의식을 이해하고 보안 역량을 강화할 수 있도록 매년 정보보안 교육을 실시하고 있습니다. 2023년에는 전 구성원을 대상으로 온라인 정보보호 교육을 진행하였으며, 총 231시간의 교육을 제공하였습니다. 아울러 정보보호 규정에 따라 모든 구성원이 연1회 정보보호서약서를 작성함으로써 정보보호 관련 법규와 사내 규정을 준수하고, 정보보호에 대한 실천 의지를 다지고 있습니다.

SK D&D는 보안사고 예방 및 정보보호 강화 활동으로 스팸메일 모의훈련, 모의해킹훈련 등 보안사고 예방 훈련을 매년 진행하고 있습니다. 스팸메일 모의훈련은 스팸메일이나 랜섬웨어 유입으로 회사 자료가 유출되거나 업무가 중단되는 등의 사고를 방지하고 구성원 보안의식을 고취하기 위해 전 구성원을 대상으로 실시합니다. 모의해킹훈련은 구성원이 사용하는 전사 시스템, 어플리케이션, 사업과 관련된 IT Infra를 대상으로 실시하며, 보안사고 피해를 예방하고 보안인식을 향상시키기 위해 노력하고 있습니다.

또한, IT 헬프데스크 채널 운영을 통해 구성원들의 IT/보안 이슈 사항을 수시로 접수받고 피드백을 신속하게 제공하고 있으며, 정보보안 사고를 예방하고 신속히 대응하기 위해 업무 연속성 계획 대응 절차를 운영하고 있습니다. 더불어 IT 업무 연속성 모의 훈련 및 위기 대응 교육 등을 연 1회 이상 실시하여 보안 이슈 대응 절차의 효과성을 정기적으로 점검하고 있습니다.

SK D&D는 개인정보보호법 제30조에 따라 개인정보처리방침을 수립하여 공개하고 있으며, 정보주체의 권리와 의무, 당사의 개인정보보호 책임자 및 담당자 등의 정보를 상세히 제시하고 있습니다. 법령 정책 또는 보안기술 등의 변경에 따라 개인정보처리방침을 지속적으로 검토 및 개정하고 있으며, 개정 방침의 시행 시기와 변경 내용을 정보주체가 확인할 수 있도록 모든 버전의 개인정보처리방침을 회사 홈페이지와 ‘에피소드’ 홈페이지에 아카이브 형식으로 제시하고 있습니다.

SK D&D 홈페이지

에피소드 홈페이지

SK D&D는 개인정보보호 담당 조직인 플랫폼 Infra Part를 통해 개인정보 보호와 정보 유출사고 예방을 위한 개인정보 의무 교육을 실시하고 있으며, 매년 구성원의 개인정보처리 동의서를 수령하여 구성원의 개인정보보호를 위해 노력하고 있습니다. 더불어, SK그룹 보안가이드라인 기반의 정기 시스템 점검을 실시하여 발견된 취약점을 해결하고, 개인정보 마스킹과 암호화에 투자하여 개인정보 유출 방지에 힘쓰고 있습니다. 또한, 에피소드 임대주택 사업 진행에 따른 고객정보 유출에 대비하고자 개인정보보호 배상책임보험에 가입하여 매년 갱신하고 있습니다.