정보보호

정책

SK에코플랜트는 고객의 소중한 개인정보 및 자사와 고객의 영업비밀 보호를 정보보호의 최우선 목표로 설정하고, 이를 위해 인적·물리적·시스템적 보안관리체계를 전 보안영역에 걸쳐 촘촘히 구성 및 발전시켜 나가고 있습니다. 또한 신규 편입되고 있는 자회사의 보안수준을 당사와 같은 수준으로 강화하기 위한 활동을 지속해서 진행하고 있습니다. 접근통제 3원칙*에 기반한 중요 데이터 접근통제를 실시하고 있으며, 데이터를 빈틈없이 보호하는 24시간 감시체계를 가동하고 이를 지속해서 강화하고 있습니다. 그 뿐만 아니라, 정기적인 진단·검사·감사를 실시하여 정보보호 정책의 준수여부 및 보호대책의 정상적인 운영 여부를 지속해서 개선해 나가고 있습니다.
정보보호 최고책임자(Chief Information Security Officer, CISO) 및 개인정보보호 최고책임자(Chief Privacy Officer, CPO)를 지정하여 기업 및 고객 데이터를 관리하는 책임을 부여하고 있습니다. 또한 정보보호협의회를 연 2회 정기적으로 운영하여 개인정보 관리와 보안 리스크에 대한 식별 및 대응 방안을 협의하고 관련 정책을 제·개정하고 있습니다. 2021년에는 IT재해복구, 클라우드 보안, 재택근무 보안 지침 세 가지를 신규 제정하였습니다.

① 알 필요성 (Need to know)
② 최소권한 (Least privilege policy)
③ 직무분리 (Separation of duties)

전담 보안조직

전담 보안조직 1 에 관한 이미지 입니다. 자세한 설명은 하단 내용을 참고하세요.
Mission - 우리는 회사의 보안 위험을 관리하여 회사의 안정적 운영과 경영목표 달성에 기여합니다.
Vision 2025 - Security Leader for Global Environmental Company (Security Framework)
  • 1 보안 Governance
  • 2 보안정책
  • 3 보안 인식교육, 홍보, 변화관리
  • 4 자산 분류 및 위험분석
  • 5 인사 보안
  • 6 내부 정보 보호
  • 7 IT 보안
  • 8 물리 보안
  • 9 보안 진단, 점검, 감사
  • 10 보안사고 조사 및 처리
  • 11 보안위기관리
전담 보안조직 2 에 관한 이미지 입니다. 자세한 설명은 하단 내용을 참고하세요.
CISO (Chief Information Security Officer)
정보보호팀 - 전사 정보보호 총괄, 전사 보안 목표, 비전 수립

기획·감사 파트

  • 전사 보안 기획
  • 보안 감사
  • 그룹 Comm.
  • 개인정보보호
  • 그룹 보안관리체계
  • 인증 (ISMS-P 외)
  • 보안정책 관리
  • 보안 리스크 사전 검토
  • 보안 솔루션 도입

운영·모니터링 파트

  • 보안 솔루션 운영 관리
  • IT 보안 취약점 진단
  • 사이버 모의훈련
  • 보안점검(문서·생활)
  • 보안교육(전사·신규)
  • 정보 유출 모니터링
  • 각종 예외 검토·승인
  • 개인자료 반출
  • 1 보안 Governance 보안 총괄조직(기획, 감사), 운영조직, 협업조직, 부문별 관리 조직, 부서 내 보안 담당자를 지정하여 전사 보안 조직체계 구성
  • 2 보안 정책 전사보안의 기준이 되는 보안정책(규정, 규칙, 운영원칙 및 절차, 메뉴얼 등) 제정 및 주기적 검토, 개정
  • 3 보안 인식 교육, 홍보, 변화관리 구성원의 보안의식을 제고하고 향상 시킬 수 있는 교육, 홍보 프로그램 및 회사보안 정착을 위한 변화관리 활동 기획·운영
  • 4 자산 분류 및 위험분석 회사의 주요 자산을 식별, 분류하고 자산 별 보안 위험을 분석하여 대응방안을 마련함으로써 위험 관리
  • 5 인사 보안 내부 구성원 및 외부인에 대한 보안 관리
  • 6 내부 정보 보호 내부정보(영업비밀, 개인정보 등) 유출 예방, 탐지·모니터링, 대응체계 수립 및 운영
  • 7 IT 보안 IT 인프라 및 정보시스템의 보안 취약점 관리 및 외부공격 예방, 탐지·모니터링, 대응체계 수립 및 운영
  • 8 물리 보안 사옥 등 주요 시설물 출입통제 및 유형자산에 대한 물리적 보호체계 수립·운영
  • 9 보안 진단, 점검, 감사 전사 보안관리 수준 적절성 및 보안정책, 현행법 준수 여부를 확인할 수 있는 보안 진단, 점검, 감사 체계 수립 및 운영
  • 10 보안사고 조사 및 처리 보안사고를 조사 및 손실·손해 최소화 방안 수립 및 운영
  • 11 보안위기관리 회사에 유·무형의 손실을 줄 수 있는 재난, 재해, 침입 등의 위급·긴급상황에 대한 대응 및 복구 절차 수립

목표

SK에코플랜트는 정보 유출 및 위반 건수 Zero를 목표로 정보보호 체계를 운영 및 개선하고 있습니다. 이에 따라 보안 거버넌스, 사이버 위협관리, 시스템보안, 유출통제, 물리보안 등 핵심 관리 영역별로 세분화하여 중장기 로드맵을 수립하고 관리하고 있습니다. 2022년에는 내부정보 유출 모니터링 시스템을 안정화하고 사외 메일 발송 시 사전 승인 시스템 도입 및 안전한 원격접속 환경 구축 등 구체적인 개선책을 추진할 예정입니다.

정보보호 목표 테이블 (구분, 2022, 2023, 2024)
구분 2022 2023 2024
내부정보 유출 통제
  • 1. 내부정보 유출 모니터링 영역 확대
    • 신규 보안 시스템 연동 및 시나리오 개발 (MFA 등)
    • 대내비 자료 공유 행위 모니터링
    • 경력 입사자 전직장 자료 유입행위 모니터링
  • 2. 사외 메일 발송 사전 승인 시스템 구축
    • 사내 외부 발송 메일의 사전 승인을 통한 정보유출 방지
  • 1. 내부정보 유출 모니터링 고도화
    • 머신러닝·AI 기반 분석방식 적용을 통해, 사전 정의된 시나리오 외 이상행위 탐지
정보보호 인증 취득
  • 1. ISMS-P 재심사
  • 2. ISO 27001 사후심사
  • 3. ISO 27701 사후심사
  • 1. ISMS-P 사후심사
  • 2. ISO 27001 사후심사
  • 3. ISO 27701 사후심사
  • 1. ISMS-P 사후심사
  • 2. ISO 27001 갱신심사
  • 3. ISO 27701 갱신심사
구성원 개인정보 관리 구성원 개인정보 처리 시스템 보호조치
(41개 시스템)
구성원 개인정보 처리 시스템 보호조치
(27개 시스템)
구성원 개인정보 처리 시스템 보호조치
(30개 시스템)
원격 근무환경 보안
  • 1. 원격 근무환경 보안강화
    • 사용자 인증 강화 (MFA 적용)
    • IT·보안 운영인력용 안전한 원격접속 환경 구축
자회사 보안관리
  • 1. 신규 편입 자회사 보안 강화(8개)
    • 자회사 보안관리체계 진단
    • Quick-win 과제 수행
    • 보안 목표수준 수립·개선
  • 2. 기존 자회사 보안수준 관리(1개)
    • 보안수준 개선 이행 진단
  • 1. 신규 편입 자회사 보안 강화(발생 시)
    • 자회사 보안관리체계 진단
    • Quick-win 과제 수행
    • 보안 목표수준 수립·개선
  • 2. 기존 자회사 보안수준 관리(9개)
    • 보안수준 개선 이행 진단
(반복수행)
Cloud 보안
  • 1. 클라우드 Architecture 설계
  • 2. 1단계 클라우드 보안 적용
  • 3. 클라우드 보안 점검 (반복 수행)
    • 1단계 : Cloud 이관 완료 일부 시스템
  • 1. 클라우드 보안 점검(반복 수행)
  • 1. 2단계 클라우드 보안 적용
  • 2. 클라우드 보안 점검 (반복 수행)
    • 2단계 : Cloud 이관 완료 전체 시스템

성과

SK에코플랜트는 감사, 진단, 모의훈련을 통해 지속적으로 정보 보호 시스템을 개선하고 있습니다. 그룹 보안 가이드라인에 기반한 자체 진단과 그룹 감사 조직인 자율책임경영지원단이 주관하는 멤버사 보안관리체계 진단을 매년 1회 시행하며, 그 밖의 보안 운영에 대한 감사는 매년 테마를 설정하여 연 1회 진행합니다. 이는 보안 체계를 비롯하여 인적·물리적·기술적 영역 전반에 걸쳐 시행되고 감사 결과는 정보보호최고책임자(CISO) 및 경영진에 보고하여 차년도 보안 계획에 반영되고 있습니다.
또한, 모의해킹은 연중 상시 진행되고 있으며 정보보호에 대한 구성원의 인식 제고 및 역량 강화를 위한 악성 메일 대응 훈련, 시스템 복구 훈련, 암호화 키 변경 훈련, 디도스 (DDoS) 공격 대응 등 ‘사이버 위기 대응 모의훈련’을 연 1회 진행하고 있습니다. 이와 같은 관리체계에 대하여 2021년 ISMS-P 인증을 전환 취득하고 ISO 27001, ISO 27701 등 고객 개인정보 보호에 대한 인증을 취득하여 대외 신뢰도를 제고하였습니다.
이를 통해 정보 유출 및 위반 건수는 3년 연속 0건을 달성했으며 빅데이터 기반의 이상징후 모니터링 시스템 구축을 통해 불법적인 내부정보 유출 시도 및 징후에 대한 상시 대응 능력을 확보함으로써 내부유출 모니터링 고도화를 실현했습니다.
아울러, 구성원의 개인정보 관리수준 향상을 위하여 전사 시스템의 현황을 진단 후 단계적이고 합리적인 보호조치를 도출 및 적용하고 있습니다. 또한, 경영환경 변화에 따른 신규 보안 리스크에 대응하기 위하여 사옥 내 IT 인프라 강화, 원격 근무환경 취약점 진단 및 개선, 자회사의 보안 수준 진단 등 다양한 대책을 시행하고 있습니다.

자회사 보안 관리 체계
  • 그룹 보안가이드라인 교육

    그룹 보안
    가이드라인 교육

  • 수준 진단

    보안 관리체계 수준
    자체 진단 수행
    (최초진단)

  • 목표수준 도출

    보안관리체계
    목표수준 도출

  • 목표수준 이행

    긴급 개선과제 이행

  • 수준 진단

    보안 관리체계 수준
    자체 진단 수행
    (정기진단)

사이버 위기 대응 모의훈련
사이버 위기 대응 모의훈련 테이블 (모의 훈련명, 훈련내용)
모의 훈련명 훈련내용
사이버 모의훈련 악성 메일 훈련 모의훈련용 스피어 피싱 메일 발송 후 공격 성공률 측정
암호화 Key 변경 훈련 문서보안 및 DB암호화 Key 유출 가정하에 신규 암호화 Key 변경 훈련 수행
시스템 복구 훈련 서버 장애 상황 가정 하에 시스템 복구 및 서비스 재개 훈련 수행
디도스(DDos) 공격 대응 훈련 모의훈련용 DDoS 공격 수행 후 상황전파, 공격 차단율 등 DDoS 대응 수준을 점검
상단으로 이동