사회가치실현 철학

정보보안
정보보안 및 개인정보보호
역할과 책임

안랩은 정보보안 전문기업으로서 정보보호 및 개인정보보호의 중요성을 명확히 인지하고 사회적 책임을 다하고자 노력하고 있습니다. 이로써 기업의 지속가능성을 높이고 '안전해서 더욱 자유로운 세상'을 만드는 데 기여하고자 합니다.

목표

안전해서 더욱 자유로운 안랩 (by 2030)

추진 방향/계획
  • ㆍ사내보안컨설팅, ISMS&ISMS-P, ISO27001 인증심사 등을 통하여 정보보호 및 개인정보보호 관리체계 지속 고도화
  • ㆍAPT 보안 위협에 선제 대응하기 위한 보안솔루션 구축, 정책 개선, 모니터링 강화
  • ㆍ차세대 SIEM(Security Information and Event Management) 구축 및 AI를 이용한 지능화된 보안 시나리오 적용
  • ㆍPublic Cloud 보안 절차 마련, 보안 이슈에 대응하기 위한 솔루션 구축 및 모니터링
  • ㆍ대규모 장애나 재난을 대비한 IT BCP(Business Continuity Plan) 절차 개선
정보보안 관리 체계

디지털 시대에서 정보보안 및 개인정보보호의 중요성은 더욱 대두되고 있습니다. 안랩은 투명하고 체계적인 방법으로 개인정보를 수집 및 활용하고 있으며, 이 과정에서 고객에게 피해가 발생하지 않도록 정보보안 및 개인정보보호를 위한 관리 체계를 구축하고 있습니다. 또한, 안랩의 전체 IT 예산 대비 정보보호 예산 비중은 7.1%에 해당합니다. (2021년 말 예산 집행 기준)

개인정보보호 정책

안랩은 서비스를 이용하는 모든 고객의 개인정보를 개인정보처리방침에 따라 관리하며 개인정보의 수집을 최소화하고, 수집 목적 외에 정보를 이용하거나 제3자에게 제공하지 않습니다. 서비스 이용과 관련한 개인정보는 동의 일로부터 동의한 기간까지만 보유·이용되며, 보유 기간 경과, 개인정보 수집 목적 달성, 고객의 탈퇴 요청 등 개인정보가 불필요하게 되었을 때에는 지체없이 해당 개인정보를 파기하고 있습니다. 또한, 개인정보를 삭제하는 경우에는 삭제된 개인정보가 복구 또는 재생되지 않도록 조치하고 있습니다.

정보보안 및 개인정보보호 체계 점검과 외부 검증

안랩은 매년 수행하는 사내 보안컨설팅에서 정보자산에 대한 취약점을 발견한 경우, 해당 취약점에 대한 위험평가를 실시하며 위험평가 결과를 바탕으로 적정 위험수준을 정하고 관리 대상 위험을 식별하고 있습니다. 또한, 위험평가 결과 중 중요하다고 판단한 사항에 대하여 강화된 보호대책을 수립하여 위험관리를 수행하고 있습니다.

안랩은 홈페이지, 앱, 주요 업무시스템에 대해 취약성 점검을 정기 및 수시로 실시하고 있습니다. 또한 발견된 취약점에 대한 조치 계획을 수립하고 조치 완료 여부에 대한 사후 점검을 이행하고 있습니다. 이 외에도 정보보호 인증 갱신을 위해 정기적으로(연1회) 외부 전문기관으로부터 인증 심사를 받고 있습니다.

[정보보호 인증 획득 현황]

ISMS, ISMS-P, ISO27001

1) ISMS : 정보자산 보호를 위해 수립·관리·운영하는 정보보호 관리체계 및 보호대책에 대한 인증

2) ISMS-P : 정보보호 관리체계 및 보호대책, 개인정보 처리단계에 대한 인증

3) ISO27001 : 정보보호정책, 정보접근 통제 등 정보보안 관련 항목에 대한 인증

정보보호 활동 사례

안랩은 매년 DDoS 방어 모의훈련을 통해 DDoS 방어상태를 점검 및 보완하고 개인정보 침해 대응훈련을 통해 신속한 침해 대응 및 고객에게 유출통지, 기관에 유출 신고를 진행할 수 있는 역량을 확보하고 있으며, 전직원을 대상으로 정보보호 및 개인정보보호 관련 사이버 교육을 실시하여 최신 정보보안 및 개인정보보호관련 정보를 전파하고 있습니다. 그리고, 매월 APT 메일 모의훈련을 통해서 APT 공격에 대비하고 있으며 이 외에도 정보보호에 대해 각 임직원이 경각심을 가질 수 있도록 매월 팀 보안점수를 산출하여 통지 및 게시를 하고 있습니다.

안랩은 개인정보처리 수탁사 또한 기술적, 물리적, 관리적 정보보호 조치들을 준수하도록 보안관리 약정을 체결하고 있습니다. 더불어 약정 준수 여부에 대해 주기적인 점검을 실시하고 있습니다. 또한, 안랩은 협력업체(외주직원) 대상으로 정보보안 교육 자료를 제공하고 수강 확인서를 제출하도록 요청하고 있습니다.

연간 정보보호 교육 일정
연간 정보보호 교육 일정
시기 내용 방법 대상 참여 인원(명)
2023년 2022년
연 1회 보안정책, 보안조직 책임 및 역할교육 온·오프라인 팀보안담당자 82 81
전사 (개인)정보보안교육 온라인 전 임직원 1,267 1,221
개인정보보호법 준수를 위한 인식교육 온·오프라인 주요 직무자 10 16
연 2~4회 신규입사자 정보보안교육 오프라인 신규입사자 124 150
안전·보건 경영
안전 보건 체계
안전·보건 조직
안랩 ESG 조직구성도 - 웹 이미지
안랩 ESG 조직구성도 - 모바일 이미지
사업주
산업안전보건위원회
안전보건관리책임자
  • 관리감독자
  • 관리감독자
  • 관리감독자
안전·보건경영 정책

안랩은 기업경영활동에 있어서 임직원의 안전과 보건을 최우선의 가치로 정하고, 다음과 같은 사안을 실천하겠습니다.

첫째, 안랩은 IT∙SW(소프트웨어) 기업의 특성을 감안한 안전 및 보건 영역의 잠재적인 위험을 선제적으로 파악하고 대응하겠습니다.

둘째, 안랩은 안전과 보건 상황에 대한 지속적인 모니터링-개선-관리 등의 선순환 조치로 IT∙SW(소프트웨어) 기업만의 안전보건 항상성(恒常性)*을 유지하도록 최선을 다하겠습니다.

*항상성(恒常性): 변수들을 조절하여 내부 환경을 안정적이고 상대적으로 일정하게 유지하려는 특성

셋째, 안랩은 사업장 내 중대재해 예방을 위해 지속적으로 노력하겠습니다.

넷째, 안랩은 산업안전보건법을 포함한 안전보건 관련 법규 및 관련 규정을 준수하겠습니다.

다섯째, 안랩은 안전보건문화의 자율 정착을 위해 노력하겠습니다.

2024년 5월 28일

안랩 대표이사 강석균

  • - 안전보건을 위한 임직원 실천 방안
    • ① 화재 예방
      • - 용량 이상의 문어발식 콘센트 사용 하지 않기 (서버실, 특수룸, 개인좌석 등)
      • - 개인 전열기구 사용 후, 퇴근 시 꼭 전원 끄기
      • - 사용하지 않는 PC, 노트북, 모니터 전원 끄기
    • ② 사옥 내 유리 난간에 기대는 등 위험 행동 하지 않기
    • ③ 이상징후가 있을 때 재빨리 대피하고 총무팀에 공유 ex)냄새, 연기, 진동, 소리 등
    • ④ 시설물 점검/개선이 필요할 경우 총무팀에 요청
  • - 중대재해 보고 체계 구축, 점검 일정 계획 수립 등 관리 시스템 구축 및 운영
    • ① 재해 발생시 경영지원실(총무팀, 인사팀)에 즉각 통지 및 협조 요청
    • ② 비상사태(화재, 유출, 붕괴 등)관리 및 조치 절차 수립
    • ③ 소방, 승강기, 구내 식당 등 시설 정기 안전점검 시행
    • ④ 층별 비상시 피난대피도 게시
  • - 중대재해처벌법 전사 교육 실시 (2021. 12)
  • - 산업안전보건 전사 교육 실시 (분기별 1회)
안전·보건 목표
  • 첫째, 임직원 및 종사자의 안전·보건 인식 강화를 통해 산업재해를 예방한다.
  • 둘째, 시설물에 대한 예방적 안전관리 활동을 실행하고, 위험성을 개선한다.
안전보건 활동
위험성 평가
당사는 당사 사옥의 업무공간 및 시설물의 유해·위험요인을 파악하기 위한 위험성평가를 연 1회 실시하고 있습니다. 발견된 위험성에 대해 발생 가능성과 중대성을 고려하여 우선순위를 선정한 후 위험 요인에 대한 지속적인 개선활동을 실행하고 있습니다.
도급사업 산업재해 예방조치
시설관리, 직원식당 수급업체와 협의체 회의를 실시하고 개선 필요 사항을 파악하여 개선조치를 실행할 수 있도록 수급업체와 적극 협력하고 있습니다.
산업안전보건 교육
당사는 외부 전문기관에 위탁한 자료를 활용하여 분기별 1회 직원들의 안전·보건 교육을 진행하고 있습니다.
산업재해율 & 결근율
산업재해율 & 결근율
항목 2023 2022 2021 2020
산업재해율(%)* 0 0.08 0.00 0.00
결근율(%)** 0 0.00 0.00 NA

*산업재해율=(재해자수/임금근로자수)x100

**결근율=(연간 결근일수/연간 부여 근무일수)x100