ESG2021

IR 바로가기

개인정보 및 프라이버시 보호

#정보보안 관리 시스템 #정보보호 체계 #개인정보보호 교육

국내 최대의 1인 미디어 플랫폼 서비스를 제공하는 아프리카티비는 서비스 이용자의 개인정보를 안전하게 보호하기 위해 최선을 다하고 있습니다. 개인정보보호법 관련 법규를 준수하기 위해 개인정보 및 프라이버시를 보호하기 위한 정책을 수립하고 서비스 기획부터 종료 단계까지 서비스의 전 생애 주기에 걸쳐 이용자의 개인정보를 수집/이용할 때 미칠 수 있는 영향도를 분석하고 그에 따른 예방 활동과 사후 통제 조치를 진행하여 이용자가 안심하고 아프리카티비에 개인정보를 맡기고 서비스를 이용할 수 있도록 최선을 다하고 있습니다.

개인정보보호 시스템

예방 활동으로는 아프리카티비가 제공하고 있거나 제공 예정인 모든 서비스에서 수집/이용하는 개인 정보의 민감도를 사전에 점검하여 개인정보 보호법령 및 내부 관리 규정을 준수하고 있는지의 여부, 보호조치 및 관리가 잘 이루어지고 있는지의 여부를 확인하고 사전에 조치하는 개인정보 영향도 평가를 상시 진행하고 있습니다. 또한, 이용자의 개인정보를 취급/처리하는 개인정보 취급자의 권한과 이용 현황을 통합적으로 관리하는 관리 시스템을 운영하고 있습니다.

사후 통제 조치로는 '서비스 개인정보보호'를 위해 개인정보의 수집, 이용, 제공, 보호 조치, 파기, 이용자의 권리 등의 절차를 준수하고 있는지 자체적으로 점검/조치하는 개인정보 실태 점검을 매년 수행하고 있으며, '이용자 결제 서비스'의 개인정보보호 실태를 점검하기 위해 개인정보 수탁사(아프리카TV의 개인정보를 위탁받아 처리하는 모든 업체)에 관한 개인정보보호 현황 점검을 매년 실시하여 개인정보보호 리스크를 최소화하기 위해 노력하고 있습니다. 수탁사 개인정보 현황 점검을 위해 개인정보보호법령 등에 따라 아프리카티비 개인정보 수집 현황에 근거한 50개의 개인정보 자체 점검 리스트를 마련하였으며 점검 결과에 따라 업체별 점수를 부여하고 위반/미흡 확인 시 개선을 요청하며, 지속적으로 개선되지 않거나 개인정보보호 수준이 낮은 경우 재 현장 점검을 실시하여 개선 및 조치가 빠르게 이루어질 수 있도록 프로세스를 마련하였습니다.

위와 같은 사후 통제 조치의 전반적인 과정과 조치 결과는 아프리카티비의 CPO가 확인하고 미비된 사항에 대해 추가 개선될 수 있도록 지속 관여하고 있으며 이용자의 개인정보가 안전하게 보호될 수 있도록 개인정보보호의 수준 유지와 유출 방지를 위해 꾸준한 노력을 하고 있습니다.

개인정보 영향도 평가 Cycle

개인정보처리시스템의 안전한 관리

아프리카티비는 이용자에게 제공하는 다양한 서비스와 관련된 개인정보를 취급하는 업무 시스템, 데이터베이스 시스템, 관리 시스템 등은 '개인정보 처리시스템'으로 지정하고 접근, 메뉴, 조회, 수정, 추출 등 개인정보 처리시스템과 관련된 행위들에 대해 체계적인 권한부여 기준과 운영 절차를 정의하여 이용자의 개인정보가 안전하게 처리될 수 있도록 통제하고 있습니다. 접근 시에는 제3자는 인증할 수 없도록 회사에서 권고한 안전한 인증 방법을 사용하고 있으며 접근 경로의 암호화를 통하여 외부 위협에 대응하고 있습니다. 또한 시스템의 메뉴마다 다양한 권한 그룹을 생성하여 필요한 메뉴에 필요한 개인정보처리자만 접근하고 조회할 수 있도록 권한 관리를 진행하고 있습니다.

이 권한은 권한신청 절차와 개인정보보호 담당자, 정보보호담당자 등의 승인이 필요 하며 적정성 검토를 통해 권한을 부여하고 있습니다. 권한 부여/접근/생성/변경/삭제 등 개인정보처리자가 개인정보처리시스템에 접근했거나 접근 후 이루어진 모든 행위의 로그는 일정 기간 보관하며 주기적으로 권한의 적정성 검토를 통해 불필요한 계정의 권한은 회수하고 있습니다.

개인정보 내부관리 계획 및 원칙

아프리카티비는 개인정보를 체계적으로 관리하고 보호활동과 사후조치를 진행할 수 있도록 매년 개인정보 내부관리계획을 수립/개정하여 운영하고 있습니다.

매년 개정된 개인정보 내부관리 계획을 전 임직원에게 공표하여 개인정보 관리 담당자의 임무, 이용자의 개인정보를 처리하는 임직원의 의무와 책임을 재각인 시키고 모든 직원이 아프리카티비 이용자의 개인정보를 안전하게 수집/처리할 수 있도록 관리적 보호 조치를 시행하고 있습니다. 또한 철저히 개인정보의 예방/사후 통제 조치의 노력을 했음에도 불구하고 발생할 수 있는 이용자의 개인정보 유출사고를 대비하기 위하여 관련 법령에 따라 개인/기관에 해당 사실을 알리고 유출 원인 파악 및 조치, 개선사항 반영까지 모든 대응 단계를 프로세스화하고 단계별 대응팀을 지정하여 사고 대상자를 구제하고 피해를 최소화하기 위해 노력하고 있습니다.

개인정보보호관리 원칙

01
아프리카티비는 개인정보보호에 관한 모든 법령과 국제 기준을 준수합니다.
02
아프리카티비는 회원 개인정보의 처리를 항상 투명하게 공개합니다.
03
아프리카티비는 이용자의 ‘개인정보 자기결정권’ 행사를 존중합니다.
04
아프리카티비는 개인정보를 목적에 맞게 최소 수집하며, 책임 있게 관리합니다.
05
아프리카티비는 이용자의 프라이버시 보호를 최우선으로 고려합니다.

보안 교육 활동

아프리카티비는 임직원의 정보 보안 인식 제고를 위해 매년 전 임직원을 대상으로 정보보호 교육을 진행하고 있습니다. 특히, 신규 입사자 대상 보안 교육 이수를 의무화하여 정보 보안 규정을 준수하도록 하고 있습니다. 또한, 임직원 대상으로 E-Clean Day 행사를 정기적으로 진행하여 피싱 사례, 최신 보안 트렌드 등 보안 관련 사항에 대해 지속적으로 안내하고 있습니다. 최근까지 COVID-19 상황으로 인해 원격근무가 지속되고 있어 이에 따른 재택 업무 환경에 대한 보안 수칙과 실제 사고 사례 등을 주제로 교육을 진행하였습니다.

정보보호 체계

아프리카티비는 고객 정보 유출 위험을 방지하고, 비즈니스 안정성을 확보하고자 정보보호 위원회를 설치하고 정보보호 시스템과 보안 관제 등의 관리체계를 수립 · 운영하고 있습니다. 정보보호 위원회에서 정보보호 관리체계 업무를 총괄하고 있으며, 위원회 내 정보보호 최고 책임자(CISO)와 개인정보보호 최고 책임자(CPO), 최고 기술 경영자(CTO)가 정보보호 전반을 관리합니다. 정보보호 관련 이슈 및 중요 사안에 대해 심의, 검토, 의결을 진행하여 전사적 차원의 정보보호 리스크 관리를 운용하고 있습니다. 2021년 12월, 조직의 정보보호 활동을 체계적으로 이행 가능한 정보보호 전담조직을 정보보호 최고 책임자 직속 산하에 구성하여 정보자산을 보호하고 있습니다.

정보보안 조직 체계

정보보안 조직 체계 이미지

개인정보보호 교육 활동

아프리카티비는 개인정보 취급 및 처리자의 개인정보보호에 대한 인식을 강화하기 위해 다양한 활동을 실시하고 있습니다. 모든 임직원을 대상으로 정보보호 서약 절차를 진행하며, 연 2회 정기적으로 개인정보보호 교육을 실시합니다. 정기 교육 이외에서 아프리카티비에서 자체 운영중인 교육 수강 시스템을 통해 개인정보보호 교육을 수강하는 비정기 교육을 실시하기도 합니다. 올해에도 개인정보 처리자를 대상으로 100%의 수강률을 달성할 만큼 모든 임직원이 개인정보 보호를 위한 교육 활동에 적극적으로 임하고 있습니다.

정보보안 관리 시스템

정보보호관리체계의 대상이 되는 자산을 서비스의 중요도 순으로 분류하여 중요도 평가를 실시하며 정기/비정기적으로 위험 분석을 진행하고 있습니다. 중요도 평가와 위험 분석은 정보보호관리체계에서 사전 정의된 항목과 자체적으로 정의한 기준에 따라 실시하며 결과에 따라 위험 등급을 산정하여 개선 및 조치 과정의 우선순위와 조치 방안을 검토한 후 계획을 수립하여 개선합니다. 이와 같이 아프리카티비의 모든 자산은 연간 주기적인 위험 분석 및 개선을 통해 취약점을 점검하여 이용자가 안전한 환경에서 안심하고 서비스를 이용할 수 있도록 노력하고 있습니다.

정보 보안 시스템은 관련된 담당자 혹은 승인 절차를 통해 사전에 권한을 부여받은 임직원만 접근할 수 있도록 철저한 통제를 진행하고 있습니다. 임직원의 업무범위에 따라 적정성 검토를 통해 필요한 권한만을 명확하게 판단하여 부여하며 접근 이력/설정 변경 등 모든 행위나 비인가 사용자의 접근 시도 등은 모두 모니터링하고 있습니다. 또한 아프리카티비는 보안 시스템 전문 업체와 함께 365일 24시간 외부 해커의 공격 시도나 이상 징후를 탐지하고 대응하여 보안 사고를 사전에 예방할 수 있도록 노력하고 있습니다.

정보보호 기술 강화

아프리카티비는 글로벌 시장에서 다양한 서비스를 제공하고 있으며 그 특성상 다수의 DDoS(Distributed Denial of Service) 공격 가능성이 곳곳에 존재합니다. DDoS 공격은 다수의 시스템이 협력하여 하나의 표적 시스템을 공격함으로써 웹사이트 혹은 네트워크 리소스 운영이 불가능하도록 하는 공격을 말합니다. 아프리카티비는 이러한 외부 공격으로부터 서비스를 보호하기 위해 정보보호 기술을 강화하고자 노력하고 있습니다. 망 사업자와 협업을 통해 DDoS 공격 시도를 적극적으로 방어하고 있으며, 별도 장비를 통해 DDoS 공격을 한 번 더 차단할 수 있도록 조치하고, 모니터링을 통해 고도화된 보안 관리를 수행하고 있습니다. 중요 정보 암호화와 통신구간 암호화의 경우 서비스 개발 단계부터 적용하여 체계적인 보안 관리 시스템을 수립하고 있습니다.

사고 (공격) 대응 절차

사고 대응 절차 이미지
사고 대응 절차 표
N 상세내용
1 초기대응
  • - 타임라인 기반 사고 정황 기록
  • - 위험 등급별 비상 연락망 가동
2 원인 파악 및
조치 가능 여부
  • - 발생 사고(공격)에 대한 원인 파악
  • - 자체 조치 가능 여부 판단 불가 시 상위 책임자에게 보고
3 사고 조치
  • - 자체 조치
  • - 유관부서 및 외부 협력업체를 통해 사고 조치
4 조치 지연
  • - 지연 시 위험등급 격상
  • - 최고 책임자에게 보고
5 조치 완료 및 완료 통보
  • - 위험 등급 별 처리 및 완료 통보
6 원인 분석 및
조치 보고서 작성
  • - 데이터 수집 및 분석 수행
  • - 사고 경위 및 정황 세부사항 확인
  • - 정확한 보고서 기록 및 이해 가능성 제고
7 재발방지 대책 수립
  • - 확산 및 사고 재발 예방 방안 결정
8 완료
  • - 차기 유사공격 식별 및 예방 보안정책 수립
  • - 절차 변경, 사건 기록, 장기보안 정책 수립, 기술 수정 계획 수립
목록보기

콘텐츠 리스트

맨위로 이동