개인정보 및 프라이버시 보호
국내 최대의 1인 미디어 플랫폼 서비스를 제공하는 아프리카티비는 서비스 이용자의 개인정보를 안전하게 보호하기 위해 최선을 다하고 있습니다. 개인정보보호법 관련 법규를 준수하기 위해 개인정보 및 프라이버시를 보호하기 위한 정책을 수립하고 서비스 기획부터 종료 단계까지 서비스의 전 생애주기에 걸쳐 이용자의 개인정보를 수집/이용할 때 미칠 수 있는 영향도를 분석합니다. 그리고 그에 따른 예방 활동과 사후 통제 조치를 진행하여 이용자가 안심하고 아프리카티비에 개인정보를 맡기고 서비스를 이용할 수 있도록 최선을 다하고 있습니다.
정보보호 체계
아프리카티비는 고객의 개인정보 유출을 방지하고 안정적인 비즈니스 환경을 조성하기 위해 정보보호위원회를 설립하여 정보보호 시스템과 보안관제 체계를 운영하고 있습니다. 정보보호위원회는 정보보호 관리체계를 총괄하며, 정보보호 최고책임자(CISO), 개인정보보호 최고책임자(CPO), 최고 기술경영자(CTO)가 정보보호 전반을 책임지고 있습니다. 정보보호 관련 이슈와 중요 사안은 위원회에서 심의, 검토, 의결을 거쳐 전사적 차원에서 관리하고 있습니다. 2021년 12월 이후 체계적인 정보보호 활동을 수행할 수 있는 정보보호 전담 조직을 최고 책임자의 산하에 구성하여 조직의 정보자산을 보호하고 있습니다.
정보보안 조직 체계
개인정보 관리 원칙
아프리카티비는 이용자들의 개인정보 보호와 안전에 대한 책임을 다하고 있습니다. 이를 위해 매년 개인정보 내부관리 계획을 수립하여 전 임직원에게 공개하고, 모든 직원들이 개인정보 보호와 관련된 책임과 의무를 인식하도록 노력하고 있습니다. 또한 아프리카티비는 개인정보 유출사고 대비를 위한 철저한 대책을 마련하고, 대응 프로세스를 확립하여 유출사고 발생 시 적극적으로 대처하고 있습니다. 이를 위해 관련 법령에 따라 개인/기관에 해당 사실을 알리고 유출 원인 파악 및 조치, 개선사항 반영까지 모든 대응 단계를 프로세스화하고 단계 별 대응팀을 지정하여 사고대상자를 구제하고 피해를 최소화하기 위해 노력하고 있습니다. 이러한 지속가능한 노력을 통해 아프리카티비는 이용자들의 개인정보 보호와 안전에 대한 책임을 다하고 있습니다.
개인정보보호관리 원칙
- 01
- 아프리카티비는 개인정보보호에 관한 모든 법령과 국제 기준을 준수합니다.
- 02
- 아프리카티비는 회원 개인정보의 처리를 항상 투명하게 공개합니다.
- 03
- 아프리카티비는 이용자의 ‘개인정보 자기결정권’ 행사를 존중합니다.
- 04
- 아프리카티비는 개인정보를 목적에 맞게 최소 수집하며, 책임 있게 관리합니다.
- 05
- 아프리카티비는 이용자의 프라이버시 보호를 최우선으로 고려합니다.
개인정보보호시스템
아프리카티비는 모든 서비스에서 수집/이용하는 개인정보의 민감도를 사전에 점검하여 개인정보 보호법령 및 내부 관리 규정을 준수하고 개인정보 영향도 평가를 상시 진행하며, 이용자의 개인정보를 취급/처리하는 개인정보 취급자의 권한 및 이용 현황을 통합적으로 관리 하는 관리 시스템을 운영합니다. 개인정보 실태 점검을 매년 수행하여 개인정보의 수집, 이용, 제공, 보호조치, 파기, 이용자의 권리 등의 절차를 준수하여 개인정보보호 리스크를 최소화하고, 개인정보 수탁사(아프리카티비의 개인정보를 위탁 처리하는 모든 업체)에 관한 개인정보보호 현황 점검을 매년 실시하여 개인정보보호 수준을 유지하고 있습니다. 또한 업체 별 개인정보 자체 점검 리스트를 마련하고 위반/미흡 확인 시 개선을 요청하며, 지속적으로 개선되지 않거나 개인정보보호 수준이 낮은 경우 현장 점검을 실시하여 개선 및 조치가 빠르게 이루어질 수 있도록 프로세스를 마련하고 있습니다. 이러한 사후 통제 조치는 아프리카티비의 CPO가 확인하고 미비된 사항에 대해 추가 개선될 수 있도록 지속적으로 관리함으로써, 개인정보 보호의 수준 유지와 유출 방지를 위해 꾸준한 노력을 하고 있습니다.
개인정보 영향도 평가
개인정보처리시스템 관리
아프리카티비는 이용자에게 제공하는 다양한 서비스와 관련된 개인정보를 취급하는 업무 시스템, 데이터베이스 시스템, 관리 시스템 등은 '개인정보 처리시스템'으로 지정하고 접근, 메뉴, 조회, 수정, 추출 등 개인정보 처리시스템과 관련된 행위들에 대해 체계적인 권한 부여 기준과 운영 절차를 정의하여 이용자의 개인정보가 안전하게 처리될 수 있도록 통제하고 있습니다. 접근 시에는 제3자는 인증할 수 없도록 회사에서 권고한 안전한 인증 방법을 사용하고 있으며 접근 경로의 암호화를 통하여 외부 위협에 대응하고 있습니다. 또한 시스템의 메뉴마다 다양한 권한 그룹을 생성하여 필요한 메뉴에 필요한 개인정보처리자만 접근하고 조회할 수 있도록 권한 관리를 진행하고 있습니다. 이 권한은 권한신청 절차와 개인정보보호 담당자, 정보보호담당자 등의 승인이 필요하며 적정성 검토를 통해 권한을 부여하고 있습니다. 권한 부여/접근/생성/변경/삭제 등 개인정보 처리자가 개인정보처리시스템에 접근했거나 접근 후 이루어진 모든 행위의 로그는 일정 기간 보관하며, 주기적으로 권한의 적정성 검토를 통해 불필요한 계정의 권한은 회수하고 있습니다.
보안 관리 시스템
아프리카티비는 정보보호관리체계의 대상이 되는 자산을 서비스의 중요도 순으로 분류하여 중요도 평가를 실시하며 정기 및 비정기적으로 위험 분석을 진행하고 있습니다. 중요도 평가와 위험 분석은 정보보호관리체계에서 사전 정의된 항목과 자체적으로 정의한 기준에 따라 실시하며, 결과에 따라 위험 등급을 산정하여 개선 및 조치과정의 우선 순위와 조치방안을 검토한 후 계획을 수립하여 개선합니다. 이와 같이 아프리카티비의 모든 자산은 연간 주기적인 위험 분석 및 개선을 통해 취약점을 점검하여 이용자가 안전한 환경에서 안심하고 서비스를 이용할 수 있도록 노력하고 있습니다. 정보보안시스템은 관련된 담당자 혹은 승인 절차를 통해 사전에 권한을 부여받은 임직원만 접근할 수 있도록 철저한 통제를 진행하고 있습니다. 임직원의 업무범위에 따라 적정성 검토를 통해 필요한 권한만을 명확하게 판단하여 부여하고, 접근 이력/설정 변경 등 모든 행위와 비인가 사용자의 접근 시도 등은 모두 모니터링 하고 있습니다. 또한 아프리카티비는 보안시스템 전문업체와 함께 365일 24시간 외부 해커의 공격시도나 이상징후를 탐지하고 대응하여 보안 사고를 사전에 예방할 수 있도록 노력하고 있습니다.
정보보호 기술력 강화
아프리카티비는 글로벌시장에서 다양한 서비스를 제공하고 있으며 그 특성상 다수의 DDoS(Distributed Denial of Service) 공격 가능성이 곳곳에 존재합니다. DDoS 공격은 다수의 시스템이 협력하여 하나의 표적시스템을 공격함으로써 웹사이트 혹은 네트워크 리소스 운영이 불가능하도록 하는 공격을 말합니다. 아프리카티비는 이러한 외부 공격으로부터 서비스를 보호하기 위해 정보보호 기술을 강화하고자 노력하고 있습니다. 망사업자와 협업을 통해 DDoS 공격 시도를 적극적으로 방어하고 있으며, 별도 장비를 통해 DDoS 공격을 한 번 더 차단할 수 있도록 조치하고 모니터링을 통해 고도화된 보안 관리를 수행하고 있습니다. 중요정보 암호화와 통신구간 암호화의 경우 서비스 개발단계부터 적용하여 체계적인 보안 관리 시스템을 수립하고 있습니다.
사고 대응 절차
-
01 초기대응
- 타임라인 기반 사고 정황 기록
- 위험 등급 별 비상연락망 가동
-
02 원인파악
- 발생사고(공격)에 대한 원인 파악
- 자체조치 가능여부 판단불가시 상위 책임자에게 보고
-
03 사고조치
- 자체조치
- 유관부서 및 외부 협력업체를 통해 사고 조치
-
04 조치지연
- 지연시 위험등급 격상
- 최고 책임자에게 보고
-
05 조치통보
- 위험등급별 처리 및 완료통보
-
06 원인분석
- 데이터 수집 및 분석수행
- 사고경위 및 정황 세부사항 확인
- 정확한 보고서 기록 및 이해 가능성 제고
-
07 재발방지 대책 수립
- 확산 및 사고 재발 예방 방안 결정
-
08 대응완료
- 차기 유사공격 식별 및 예장 보안정책 수립
- 절차변경, 사건기록, 장기보안정책 수립, 기술 수정 계획수립
개인정보 및 프라이버시 보호 정책
아프리카티비는 이용자 개인정보보호를 위해 서비스 기획부터 종료 단계까지 서비스의 전체 생애 주기에 걸쳐 이용자의 프라이버시와 데이터를 안전하게 보호하고 있습니다. 개인정보 자체점검을 통해 아프리카티비가 제공하는 모든 서비스에 대하여 개인정보보호가 기본으로 자리 잡을 수 있도록 관련 법령 및 내부 규정 준수 여부, 이용자 프라이버시 민감도를 사전에 확인하고 리스크를 관리하고 있습니다. 개선 가능성이 없는 경우 차후 재계약을 진행하지 않는 등의 방식으로 보호수준을 유지하고 있습니다. 이 외에도 주기적인 ‘인사부서 및 재무부서 개인정보보호 현황 점검’ 및 주민번호와 같은 고유식별 정보를 처리하는 부서에 대해 ‘고유식별 정보 안전성 확보 조치 준수 현황 점검’도 별도로 실시하고 있습니다.
정보보호 투자 우수기업 선정
아프리카티비는 2023년 6월 KISA 정보보호 공시 종합 포털에 당사의 정보보호 현황을 투명하게 공시하였으며, 정보보호 투자 우수기업으로 선정되었습니다. 해당 포털에 아프리카티비의 정보보호 관련 거버 넌스 및 활동들이 공시되어 있으며, 정보보호 세부 투자 현황까지 확인 가능합니다. 2022년 12월 기준 정보기술부문 투자액은 약 485억 원, 정보보호부문 투자액은 8.6억 원이며, 네트워크 보안장비 및 보안 솔루션 도입에 활용되었습니다. 또한 개인정보 자체점검 2회 실시, 전 임직원 대상 정보보호 교육 6회 실시 등 기타 정보보호를 위한 다양한 활동들을 진행하였습니다.
정보보호 교육 실시
아프리카티비는 개인정보 취급 및 처리자의 개인정보보호에 대한 인식을 강화하기 위해 다양한 활동을 실시하고 있습니다. 모든 임직원을 대상으로 정보보호 서약 절차를 진행하며, 연 2회 정기적으로 개인 정보보호 교육을 실시합니다. 정기 교육 이외 아프리카티비에서 자체 운영중인 교육 수강 시스템을 통해 개인정보보호 교육을 수강하는 비정기 교육을 실시하기도 합니다.
정보보호 교육
| 구분 | 정보보호 교육실시 | 개인정보 유출사고(건) | |
|---|---|---|---|
| 1인당 교육시간(분) | 이수율(%) | ||
| 2020 | 60 | 100 | 0 |
| 2021 | 90 | 100 | 0 |
| 2022 | 130 | 100 | 0 |
정보보호 관리체계 ISMS 인증
아프리카티비는 한국인터넷진흥원에서 정보보호 관리체계인 ISMS(Information Security Management System) 인증을 취득하여 정보보호 안정성에 대한 대외 신뢰도를 확보하였습니다. 2014년 최초 인증 취득 후, 현재까지 인증을 유지해오고 있습니다. 이를 기반으로 관리체계 고도화를 통해 보안역량 강화를 지속적으로 추진해나갈 계획입니다.
ISMS 인증
콘텐츠 리스트
-
SUSTAINABILITY더보기ESG Management
#ESG키워드 #ESG주요활동 #ESG조직구성 -
SUSTAINABILITY더보기환경경영
#환경영향관리 #온실가스 #에너지사용 저감활동 #친환경 구매 #친환경 콘텐츠 #친환경 R&D -
SUSTAINABILITY더보기상생경영
#건전한 미디어 문화 #콘텐츠 운영정책 #AI필터링 #동반성장 #콘텐츠지원 #유저만족도 #청소년보호 -
SUSTAINABILITY더보기인권경영
#인권경영 #인권교육 #고충처리제도 -
SUSTAINABILITY더보기나눔경영
#사회공헌 콘텐츠 #지역사회공생 #재능나눔 #기부활동 #1%나눔 -
SUSTAINABILITY더보기인재경영
#평등한채용 #고용확대 #유연한 조직문화 #조직의 다양성 #e타운홀 #역량개발 #가족친화인증기업 #Work and Life Balance -
SUSTAINABILITY더보기정보보호
#개인정보 및 프라이버시 보호 #ISMS 인증 #정보보호 교육 -
SUSTAINABILITY더보기지배구조
#이사회 #감사 #주식 및 주주구성 #IR활동 #주주환원 -
SUSTAINABILITY더보기리스크
#자율규제 #리스크 식별 및 관리 -
SUSTAINABILITY더보기윤리경영
#윤리경영 체계 #윤리규범 #윤리교육 #내부자 신고제도 #고충처리 채널
