Social

㈜효성은 대표이사가 임명한 CISO(정보보호책임자)의 감독 아래 보안 전문 인력으로 구성된 보안팀이 보안 정책 수립, 보안 개선 활동 기획, 임직원 정보보안 교육 등을 추진합니다.

보안팀은 사업장 및 부서별 보안담당자와의 협업을 통해 정보보안 활동을 효과적으로 전파하고 내재화하며, 임직원의 보안 인식을 지속적으로 제고하고 있습니다.

또한, 사업회사 내 보안담당 조직과 연계하여 정보보안협의체를 운영함으로써, 그룹 전반의 정보보안 활동에 대한 시너지를 강화하고 있습니다.

㈜효성은 개인정보 유출 등 정보보안 사고 발생 시 신속하게 대응하고 피해를 최소화하기 위해 사고 대응 체계를 수립·운영하고 있습니다.

모든 대응 결과는 정보보호최고책임자(CISO)에게 보고되며, CISO는 원인, 조치, 사후 대책 전반에 대한 관리·감독을 수행합니다.

사무실, 연구소, 공장 등 외부자의 무단 출입 제한이 필요한 곳을 보호구역으로 지정하고, 출입문에 ID 카드나 지문을 이용한 출입시스템을 설치하여 출입 이력을 관리하고 있습니다.

전산실 등 특별히 엄격한 출입관리가 필요한 곳은 통제구역으로 지정하여, 경비원을 두거나 CCTV를 설치하고 있습니다.

회사의 자산을 무단 반출하거나, 개인 소유의 PC나 저장매체를 사전 신고없이 반입하는 것을 금지하고 있습니다.

효성은 일반 사용자, 시스템 운영자별로 차별화 된 접근통제 정책을 적용하여, 비인가 접근을 차단하고 있습니다.

재택근무, 외근 등 사외에서 내부 업무시스템 접속시 VPN을 이용해 통신 구간을 암호화하여 보호하고 있으며, 개인별 OTP(One Time Password)를 이용한 이중(2-factor) 인증을 적용하여 계정 정보 유출 등으로 인한 사이버 보안사고 발생 위험을 최소화하고 있습니다.

정보시스템 서버 접근은 운영자 ID 외에 IP주소 제한, OTP 인증을 적용하고 있으며, 서버에서 수행한 명령어를 기록하여 보안사고 발생을 예방하면서, 사고 발생 경위를 신속히 파악할 수 있도록 하고 있습니다.

효성은 문서 검색 시간을 단축시키고 문서 공유와 협업 제약을 해소하며, 문서 유통과정의 정보 유출 가능성을 제거하기 위하여 2019년 문서중앙화 시스템(ECM, Enterprise Content Management)을 도입하여 선진화된 일하는 방식을 지원하고 있습니다. 이를 통해 사업장 전체에 일관된 문서 보안 정책을 마련하고, 문서 유통 과정 전반에 대한 가시성을 확보하게 되었습니다.

재택근무 시에도 문서중앙화 시스템에 접속하여 업무에 필요한 문서를 편리하게 활용할 수 있는 환경을 제공하여, 재택근무의 생산성 향상에 기여하고 있습니다.

허가 받지 않은 인원이 문서에 접근할 수 없도록 ‘Need-To-Know’ 원칙을 기본 적용하고, 추가로 세부적인 접근 권한 지정이 가능하도록 기능을 제공하고 있습니다.

문서 반출 시 사전 통제 절차를 도입하여 승인 받지 않는 문서를 임의로 반출할 수 없도록 제한하고 있습니다.

㈜효성은 정보보안 사고를 예방하고, 사내 유·무형 자산을 보호하기 위해 연 1회 리스크 평가를 수행하고 있습니다.

2024년에는 높은 IT 의존도와 외부 해킹 위협을 고려하여, 서버·DB·네트워크 등 주요 IT 인프라에 대한 위험성 평가를 실시하였으며, 홈페이지 및 그룹웨어 등 외부에 노출된 웹 시스템에 대해서도 별도 평가를 진행하였습니다.

평가 결과, 일부 시스템에서 문서화 미비 등의 취약점이 확인되었으며, 이에 따라 관련 서류 보완을 포함한 시정조치를 단계적으로 이행하였으며, 관리 계획을 수립하였습니다.

개인정보보호 관련 법령 개정 현황을 상시 모니터링 하면서 개정 내용에 따라 대응하고 있습니다.

개인정보취급자를 대상으로 매년 1회 개인정보보호 교육을 실시하고 있습니다.

개인정보에 대한 접근 기록을 남기고, 보유기간이 경과된 개인정보가 파기되었는지 주기적으로 확인하는 등 회사가 보유한 개인정보를 안전하게 보호하기 위해 노력하고 있습니다.

㈜효성은 개인정보보호법을 비롯한 관련 법령의 개정 현황을 상시 모니터링하고, 자체 개인정보 처리 정책이 이에 부합하도록 지속적으로 점검 및 보완하고 있습니다.

고객 등 이해관계자가 개인정보 처리 방침을 보다 투명하게 이해할 수 있도록, 해당 내용을 인포그래픽 형태로 시각화하여 제공하고 있으며, 개인정보 수집 목적, 이용 방식, 파기 절차 등을 직관적으로 파악할 수 있도록 돕고 있습니다.

해킹 등 사이버 보안사고 예방을 위하여 보안팀 및 보안관제 전문업체 파견 인력을 통해 24시간 보안관제를 실시하고 있습니다.

국내외 침해사고 정보를 효성의 보안장비에 先 적용하여 동일한 침해사고를 예방하고, 실시간 모니터링을 통해 이상징후를 조속히 발견하고 있습니다.

보안사고 대응 절차를 수립하고 비상연락망을 구축하여, 보안사고 발생시 절차에 따라 조속히 대응할 수 있는 체계를 갖추고 있습니다.

㈜효성은 2024년부터 정보보호센터를 운영하여, 스피어 피싱 및 악성코드 등 정보보안 관련 이슈를 제보받고 있으며, 신고된 사례에 대해서는 추가 확산 방지 등 후속 조치를 신속히 수행하고 있습니다.

사내 보안 사고 발생 또는 사고 우려 시, 임직원은 정보보호센터를 통해 즉시 신고할 수 있으며, 회사는 공지 게시판을 통해 대표적인 피싱 사례를 공유하고, 정보보호센터 활용 방법을 함께 안내하고 있습니다.

사용자 PC에는 안티바이러스 등 보안프로그램이 설치되어 랜섬웨어 등 악성코드 공격으로부터 보호하고 있습니다.

회사 내에서는 악성 IP 및 URL로의 접속이 불가하도록 차단하고 있으며, P2P 사이트 등 업무와 관련이 없는 사이트에 대한 접근을 제한하고 있습니다.

또한, 매체제어 프로그램을 이용해 PC에 저장된 파일을 USB 등으로 무단 복사할 수 없도록 제한하고 있으며, 영업비밀 등 내부 정보 불법 유출 방지를 위하여 DLP(Data Loss Prevention) 솔루션을 이용한 모니터링도 실시하고 있습니다.

서버, 네트워크 장비, 응용프로그램 로그 및 방화벽 등 보안솔루션에서 발생하는 로그를 통합 관리하여 로그의 유실과 변경을 막고 안전하게 로그를 저장하고 있습니다.

SIEM(Security Information & Event Management) 솔루션을 이용하여, 경계값 이상의 행위가 발생하는 경우 즉시 알람(Alert)을 발생시켜 즉시 후속 대응하고 있으며, 주기적으로 SIEM 규칙(Rule)과 경계값을 조정하고 있습니다.

연 1회 전체 임직원을 대상으로 온라인 정보보안 교육을 실시하고 있으며, 부서별 보안담당자를 대상으로 별도 오프라인 교육을 연 1회 실시합니다. 전사 게시판과 그룹웨어 팝업을 통해 변경된 정보보호 정책과 보안사고 예방 수칙 등을 공지하고 있습니다.

반기 1회 악성메일 모의훈련을 실시하여 의심스러운 메일 수신 시 행동요령을 숙지하도록 하는 등 보안사고 예방을 위한 인식제고 활동을 추진하고 있습니다.

신규 채용자 및 퇴직 예정자를 대상으로 정보보호 서약서를 작성하도록 하여 정보보안에 대한 의식을 고취하고 있습니다.

정보시스템 신규 도입 및 변경시 보안성 검토 절차를 통해 리스크를 최소화 하고 있습니다.

웹서버 외부 오픈 등 네트워크 통제 정책 변경시에도 보안성 검토를 실시하여, 불법적인 접근을 최소화하고 있습니다.