사회
정보보호
하나투어는 고객의 소중한 개인정보 및 고객의 비밀 보호를 목적으로, 관련 법률에 따른 의무를 이행하고, 내외부의 위협으로부터 회사의 정보자산이 안전하게 보호하는 것을 목적으로 합니다. 2004년부터 제정하여 현재까지 15차 개정을 거친 정보보호 규정을 기반으로, 인적, 물리적, 시스템적 보안관리체계를 구성하여 발전시키고 있습니다.
정보보호 규정 및 지침을 기반으로 접근 제어 절차를 수립 및 적용하여 데이터에 대한 접근을 통제하고 그 이력을 관리 및 24시간 보안관제를 적용하여 모니터링 합니다. 또한 정기적인 진단 평가, 미비점 도출 및 개선 활동과 공개를 통해 정보보호 정책의 준수여부 확인 및 임직원 의식을 제고하여 운영을 개선하고 있습니다.
정보보호 업무를 총괄하는 정보보호 최고책임자(CISO)와 개인정보보호 업무를 총괄하는 개인정보 보호책임자(CPO)를 분리하여 전문성 및 효율성을 보장하고 정보보호팀에서 정보보호업무 및 개인정보보호업무를 관할하고 있습니다.
또한 정보보호위원회’ 및 ‘정보보호실무위원회’를 거쳐 보안 운영 관련 중요사항을 심의, 결정하고 보안 리스크에 대한 식별과 대응 방안을 협의하여 정책을 개선하고 있습니다. 위원회는 최소 연 1회는 정기적으로 운영하며, 안건 발생 시 상시적으로 운영합니다.
전담 조직
정보 보호 관리 체계
- 하나투어는 정보보호관리체계를 기반으로 정보자산 및 고객 개인정보를 보호하기 위해 관리/물리/기술적 보호조치를 포함한 절차를 수립하고, 이를 지속적으로 운영 및 관리함으로써 그 체계를 개선하고 강화하고 있습니다.
- 정보보호 관리체계에 대한 기준으로 정보보호규정 및 지침을 수립하여 관리하고 있으며, 개인정보보호위원회 및 실무위원회를 구성하여 조직 전반의 정보보호 관련 주요 사항을 검토 및 의결하고 있습니다.
정보 보호 관리 및 업무 조직
정보 보호 운영 방안
- 고객의 개인정보를 안전하게 관리하기 위해 내부관리계획을 수립, 시행하여 체계적이고 전사적으로 보호조치를 하고 있으며, 정보보호관련 정책과 지침을 마련하고 공표함으로써 임직원별 업무 특성에 따라 필요한 원칙과 기준 등을 안내하여 개인정보보호법 등 국내외 법규 준수와 더불어 안전한 보호조치를 할 수 있도록 하고 있습니다.
- 하나투어는 고객의 '개인정보 자기통제권'을 존중하며 이를 보장하기 위해 개인정보 이용내역 및 관련 보호조치를 고객에게 주기적으로 제공하고, 개인정보처리와 관련한 절차, 기준 등을 수립해 홈페이지 개인정보처리방침에 지속적으로 공개하고 있으며 이를 통해 고객이 개인정보 보유 및 처리현황을 인식할 수 있으며, 원할 경우 처리정지, 삭제 등을 요구할 수 있도록 권리와 그 행사방법을 안내하고 있습니다.
- 개인정보 처리절차는 수집->이용, 제공->보관->파기의 단계로 구분하여 자사 서비스 이용 시 최소한의 정보 수집원칙을 준수하며, 동의 받은 목적 내 사용만을 원칙으로 합니다. 이용 및 보관과정에서의 개인정보 유,노출을 막기 위한 기술적 보호조치를 수행하고 있으며, 이용목적이 달성된 고객정보는 지체없이 파기를 원칙으로 하고 있습니다.
- 하나투어는 접근 제어 강화 및 개인정보 유출을 차단하기 위해 서버접근통제, DB접근통제, 정보유출방지, 개인정보처리시스템 접속기록관리 솔루션 등을 운영함으로써 고객개인정보 접근 및 오남용에 대한 모니터링을 실시하고 있습니다. 또한 고객정보 유출을 차단하기 위해 운영 및 개인정보처리시스템 환경을 망분리하여 운영하고 있습니다.
- 실시간 침해 대응을 위해 365*24 보안관제를 운영하고 있으며, 정보보호관리체계를 기반으로 한 관리/물리/기술적 보호조치에도 불구하고 개인정보가 유출될 경우를 대비하여 ‘침해사고대응지침’을 마련하고 대응조직구성/모니터링/접수/대응/분석/재발방지 등의 프로세스에 따라 사고 발생 시 대응 및 사후관리를 대비하고 있습니다
- 하나투어는 개인정보 및 정보보호에 대한 인식강화를 위해 매달 "개인정보보호&정보보호의 날" 캠페인을 진행하고 있으며, 매년 정보보호서약서를 갱신절차를 통해 임직원이 보안에 대한 경각심을 갖도록 유도하고 있습니다. 또한 전사 임직원을 대상으로 연 1회 개인정보보호 교육을 시행하고, 신규입사자들을 대상으로 한 정보보안교육도 진행하고 있습니다. 마지막으로 부서장급 이상의 임직원들에게 매주 보안뉴스레터를 발행하여 관리자급 임직원 스스로가 조직내에 보안인식제고를 전파시킬 수 있도록 유용한 정보를 제공하고 있습니다.
- 정보보호 인증과 관련하여, 현재는 e-Privacy (개인정보 우수사이트 인증), PCI-DSS (지불카드 보안표준)를 통한 개인정보 및 고객카드정보 보호관련 인증을 유지하고 있으며, ISMS(정보보호관리체계)는 2023년 인증을 목표로 준비하고 있습니다.
정보 보호 목표
정보 보호 목표
| 구분 |
2023년 |
2024년 |
2025년 |
| 내부 정보 유출 통제 |
단말 보안관리 강화 |
모니터링 고도화 |
내부정보유출 대응체계
고도화 |
| 정보 보호 인증 취득 |
E-privacy 인증 유지
ISMS 인증 취득
PCI-DSS 인증 유지 |
E-privacy 인증 유지
ISMS 인증 취득
PCI-DSS 인증 유지 |
E-privacy 인증 유지
ISMS 인증 취득
PCI-DSS 인증 유지 |
| 원격 근무 환경 보안 |
보안 점검활동 강화 |
정보보호 교육활동 강화 |
보안점검, 정보보호교육 개선 |
| 정보 보호 유출 발생 |
0건 |
0건 |
0건 |
운영 성과
관리/물리 취약점 점검
하나투어의 정보보호관리체계 현황을 분석하고 법률 준거성 진단을 통해 개선과제를 도출하였으며 이에 대한 조치계획 수립 및 조치를 적용하였습니다.
관리/물리 취약점 점
| 기술적 취약점 점검 |
연 1회 이상 인프라 및 웹앱 서비스에 대한 취약점 점검을 진행하였으며, 식별된 취약점에 대한 조치 계획을 수립하고 조치를 적용하였습니다. 이를 통해 전년 대비 보안지수가 약 9.1% 상승하였습니다. |
| 사무실 보안점검 |
분기별 업무 환경에 대한 실사를 통해 보안 점검을 실시하여, 개선 사항 적발 및 개선을 요청하여 정보보안에 대한 리스크를 제거하였습니다. 이를 통해 22년 대 보안 준수율이 연초 대비 약 4.6% 개선되었습니다. |
사내 보안 활동
사내 보안 활동
| 보안레터 발송 |
주1회 관리자급 이상 임직원 대상 국내외 최신 보안 이슈 및 특이사항이 반영된 보안레터를 정기적으로 발송하였습니다. 이를 통해 총 34회의 레터를 발송하여 임직원들의 보안 인식을 제고하였습니다. |
| 정보보호 캠페인 활동 진행 |
연 6회 수요일 정보보호의 날을 지정 및 운영하여 보안 관련 이슈 및 보안 권고사항 등을 안내하였습니다. |
