정보보안

글로벌 기준을 충족하는 정보보안 관리체계를 운영하고 있습니다.

MANAGEMENT

  • 정보보안 관리체계
    • 정보보호담당 임원을 CISO(Chief Information Security Officer)로 지정하여 정보보호 업무 총괄 지휘·감독

      정보보호 전담조직(정보보호팀)을 통해 정보유출 방지 및 보안 Compliance 이슈 대응

      전사 유관조직과의 보안 이슈 공유 및 전사 보안 정책 등 주요 안건 논의를 위한 보안협의체 운영

      중대 정보보안 사안 발생 시 ESG위원회 및 이사회에 보고하여 리스크 관리 수행

      이사회에 매년 정기적으로 정보보안 안건을 포함한 준법 지원 활동 및 현황 보고

    • 정보보안 인증

      SK주식회사의 정보보안 관리체계는 국내외 권위있는 정보보안 인증을 통해 대외적으로 인정받음

      매년 심사를 통해 인증을 유지함으로써 정보보안 관리체계가 지속적으로 관리되고 안정적으로 운영되고 있음을 입증함

    • 정보보안 인증 현황
      인증 주관 인증 내용
      정보보호 관리체계(ISMS) 과학기술정보통신부

      정보통신망법에 따른 국내 정보보호 관리체계 인증

      2013년에 최초 인증 취득

      2023년에 인증 갱신 및 사후 심사 통과(~2026년)

      국제표준 정보보호 관리 체계
      (ISO 27001)
      ISO/IEC

      국제표준 정보보호 관리체계 인증

      2006년 최초 인증 취득

      2022년 인증 갱신(~2025년)

      2023년 사후 심사 통과

      국제표준 클라우드(Cloud)
      정보보호 및 개인정보보호
      관리체계
      (ISO 27017, ISO 27018)
      ISO/IEC

      국제표준 클라우드(Cloud) 정보보호 및 개인정보보호 관리체계 인증

      2022년 최초 인증 취득(~2025년)

      2023년 사후 심사 통과

    • 정보보호 공시

      2023년 6월 SK주식회사 통합 정보보호 공시 이행

      정보보호 인증 및 전문인력 육성 현황, 정보보호 투자 활동 등의 노력으로 2년 연속 과학기술정보통신부 주관 ‘정보보호 투자 우수기업’에 선정

  • 정보보안 방침
    • 전 구성원들이 준수해야 하는 정보보호 방침 및 제반 규정을 수립하고, 인트라넷(HiSK)에 구성원 누구나 열람할 수 있도록 공개

      개인정보 보호법에 따라 수집하는 개인정보에 대한 처리방침을 작성 및 공개하고 있으며, 변경된 내용도 지속적으로 공개

    • 정보보안 규정 및 지침

    • 개인정보 처리방침 공개

PERFORMANCE

  • 보안 점검 활동
    • 데이터 보호

      IT보안관리 지침 및 절차 준수 여부에 대한 주기적 점검을 통해 시스템의 보안성과 안정성 유지

      데이터 저장•전송 시 암호화, 백업 등 보안조치를 통한 개인정보 및 주요정보 보호

      시스템 보안 취약점 대응방안 전파 및 사전 조치를 통해 해킹 공격에 선제적 대응

    • 보안 진단 및 예방 활동

      신규 서비스 오픈 전 모의해킹 및 인프라 취약점 점검 수행

      매년 IT 취약점 점검 및 취약점 제거 이행수준 관리(인프라 취약점 점검, 소스코드 진단, 모의해킹)

      개인정보처리시스템 실태점검 및 개선사항 이행점검

      전사 보안관리 영역에 대한 정기 및 수시 감사

    • 제3자 정보보안 검증 및 점검 활동
      검증 주관 인증 내용
      주요 정보통신 기반시설 수검 과학기술정보통신부 사이버 침해 방지, 주요 정보통신 기반 시설 보호대책 이행점검 수검 및 보호대책 추진과제
      100% 이행 점검(2023년 11월)
      집적 정보통신 시설 수검 과학기술정보통신부 시설 안전 및 물리 보안, 집적 정보통신 시설 보호조치 이행(2023년 7월)
      대덕·판교 Data Center 책임보험 가입
  • 보안 모니터링
    • 고도화되는 사이버 위협 대응을 위해 국내외 최신 공격정보를 제공하는 위협 인텔리전스(Threat Intelligence)로부터 신종 위협 요소의 모니터링 수행

      네트워크 상의 각종 패킷 및 로그, 이벤트 데이터 수집 • 분석, 시스템 및 사용자 PC 내 악성코드, 정보 유출 등 비정상 행위 탐지활동 수행

      모니터링 결과에 따라 네트워크 차단, 보안 취약점 전파, 신/변종 웜 분석 등 대응 방안 수립/적용

      구분 모니터링 내용
      WAF 웹서버 대상 웹 취약점 공격 탐지/차단
      NIDS 네트워크 기반 침해위협 행위 탐지
      DLP 내부정보 유출 탐지/차단
      ePM 악성/피싱 URL, 메일 첨부파일 내 악성파일 탐지
      EDR Endpoint 기반 APT 공격 및 대응
  • 보안 사고 대응 및 조치
    • 보안(침해)사고 대응체계

      보안(침해) 시도/사고에 대한 신속한 대응 및 보고, 전파 절차 규정하여 침해사고에 대한 영향 최소화

      사고 심각도를 4단계로 구분하고 사고 유형별 대응절차 매뉴얼화

      침해 위협 탐지를 통한 사고 발생 시 신속한 전파/보고 체계 수립

      매월 침해 예방 활동, 침입 탐지 활동, 침해 대응 활동, 기타 사항으로 구분하여 잠재적 보안 리스크 관리

    • 사고 심각도(4단계)
    • 침해사고 유형
      유형 주요 내용
      시스템 공격 웹쉘 업로드 시도, Apache 등 Web/WAS 취약점 공격, DDoS 공격, 관리자 권한 탈취 시도 등
      웜/바이러스 감염 임의의 경로를 통해 PC/서버 내에 악성코드 (바이러스, 웜, 랜섬웨어 등) 설치
      악성메일 본문 내 악성 Site URL Link 또는 첨부파일로 악성코드 설치 유도 등
    • 사고 전파/보고 체계
    • 보안 사고 보고 및 조치

      보안관제센터 상시 운영(24시간, 365일)

      구성원이 정보보안 이슈를 발견할 경우 즉시 보고할 수 있는 프로세스 구축

      구성원은 해킹 의심, 악성코드 및 랜섬웨어 감염, 보이스피싱 및 개인정보 유출, 보안 취약점 발견 등 해당 이슈 발생 시 사내 보안신고센터에 신고

      사고 발생 시 정보보호 담당조직은 CERT(Computer Emergency Response Team) 및 운영부서와 협업하여 문제상황에 대한 긴급조치 실행

      조치결과 확인 후 재발방지 대책 수립 및 전사 공지를 통한 구성원 전파

      내부자의 보안규정 위반으로 인해 발생한 문제일 경우 징계조치 시행

    • 보안 사고 대응 훈련

      악성코드 감염 및 정보유출/침해 등 보안사고 예방을 위해 구성원 대상 악성메일 대량 유포 상황 가정 ‘악성 메일 모의훈련’ 및 캠페인 수행(2023년 대응 훈련 2회 수행)

  • 정보보안 인식 제고
    • 정보보안 변화관리

      정보보안 문화 확산을 위해 구성원 정보보안 인식 성숙도를 정의하고 측정기준을 마련하여 체계적으로 관리

      최신 보안 동향 영상과 트렌드 레터 제공, 보안 이벤트 참여 우수자 대상 Recognition 등을 통한 구성원 정보보안 인식 강화

    • 정보보안 교육

      전 구성원 대상 정보보안 · 개인정보보호 교육 뿐만 아니라 업무 수행에 필수적인 보안 역량 내재화를 위한 맞춤형 교육 실시

      정보보호 자격증 취득을 위한 교육 지원

      교육명 주요 교육 내용 대상인원 이수인원 이수율
      정보보안 교육 주요 보안사고 사례 및 대응방법 3,900명 3,884명 99.60%
      개인정보보호 교육 개인정보 Life-Cycle 관리,
      국내외 개인정보보호 Compliance
      3,900명 3,884명 99.60%
      신입 · 영입 구성원 교육 전사 보안 정책, 생활 보안, 사고 대응 등
      전사 정보보안 관리체계
      189명 189명 100.00%
      프로젝트 보안 교육 PC보안, 자산관리, 계정관리, 인프라 보안,
      클라우드 보안, 점검 활동등
      1,499명 1,462명 97.50%
      개발보안 교육 시스템 분석/설계/개발/테스트 단계 등
      시스템 개발 시 보안 준수사항
      406명 341명 84.00%

      *프로젝트 보안 교육, 개발보안 교육은 협력사 구성원도 포함되나, 정직원 수만 집계

TARGET

  • 정보보호 로드맵