GS칼텍스는 디지털 보안을 강화하기 위해 Digital 보안 위원회를 설립하여 현안과 주요 이슈를 논의하고 있습니다. 이 위원회는 최고 의사결정 기구로 디지털 보안 전문성을 고려하여 CISO를 임명하여 운영하고 있습니다. 정보보안, 개인정보보호, ICT/IoT 보안 분야의 전문 인력으로 구성된 디지털 보안팀을 조직하여 활동하고 있습니다. 이하에서는 GS칼텍스의 디지털관리체계와 운영 디지털보안관리등에 대해 살펴봅니다.
운영디지털 보안 이슈 관리 체계
운영디지털 보안을 핵심으로 하는 GS칼텍스는 현재 'Digital Security Committee'를 운영하여 디지털 보안에 대한 주요 이슈 및 현안을 논의하고 있습니다. 이를 위해 CISO를 임명하고, 정보보안, 개인정보보호, ICT/IoT 보안 분야의 전문가로 구성된 디지털 보안팀을 조직하였습니다. 회사는 고객 및 임직원의 개인정보를 포함한 중요 데이터 및 IT/OT 분야의 보안 리스크를 철저히 관리하기 위해 노력하고 있습니다. 이를 위해 체계적인 디지털 보안 정책을 수립하고, 디지털 보안 관리체계를 효율적으로 운영하기 위해 프로세스를 디지털화하고 있습니다. 국내외 법규 및 비즈니스 목적을 고려하여 보안 통제를 설계하고 있으며, 새로운 보안 위협에 대응하기 위해 제로 트러스트 보안 모델을 도입하고 있습니다. 보안 위협에 대한 적시 탐지와 대응을 위해 적발 통제 절차를 운영하고 있으며 이상 징후에 대한 정의와 기준을 수립하여 이를 디지털화된 프로세스로 관리하고 있습니다. 특히, 개인정보 침해 및 OT 시스템에 대한 이상 징후를 신속하게 대응하여 피해를 최소화하고 있습니다. 정기적인 보안 수준 검증을 통해 보안 조치 이행 여부를 확인하고 있으며 최신 보안 트렌드와 사고 사례를 분석하여 보안 관리체계에 반영하는 등 선제적인 보안 활동을 수행하고 있습니다.
개인정보의 안전한 관리 PIMS
GS칼텍스는 개인정보를 안전하게 관리하기 위해 지속적으로 노력하고 있습니다. 2013년에는 업계 최초로 정부가 지정한 개인정보보호 관리체계(PIMS) 인증을 획득했습니다. 이후 2020년에는 강화된 통합인증제도인 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득하고, 매년 엄격한 심사를 거쳐 인증을 유지하고 있습니다. 고객정보의 안전성을 확보하기 위해 중요한 정보를 저장 및 전송할 때 암호화 조치를 시행하고 있습니다. 업무를 수행하는 인원을 최소화하기 위해 별도의 시스템을 도입 및 제한하고 있습니다. 개인정보 취급자의 처리이력을 관리하고 있으며, 개인정보 접근통제시스템을 통하여 이상 유무를 감시하고 있습니다. 국내 개인정보법 및 EU GDPR을 엄격히 준수하고 있으며, 개인정보 처리 현황을 최소 연 1회 고객에게 투명하게 알려줌으로써 고객 자기결정권을 보장하고 있습니다. 개인정보 처리 담당부서 및 위탁업체를 대상으로 개인정보의 불필요한 처리 및 오용을 방지하기 위해 매년 정기적, 비정기적 진단 활동을 실시하고 있습니다. 이를 통해 개인정보 보호 역량을 지속적으로 강화하고 있습니다.
디지털 보안 위험관리 GS칼텍스
새로운 디지털 환경에서 발생하는 다양한 디지털 보안 위험에 대응하기 위해 정보보호 전문가로 구성된 전담 조직을 운영하고 있습니다. 이 조직은 국내외 보안 이슈를 검토하고 각종 보안 솔루션을 활용하여 네트워크 이상 징후를 모니터링하고 로그를 분석하여 인가 받지 않은 접근 시도 등을 탐지합니다. 불시 보안점검과 사업장 침투 테스트 등을 통해 디지털 보안에 대한 위험관리 및 통제 수준을 상시 점검하여 물리적 보안 체계를 강화하고 있습니다. GS칼텍스는 보안 위험을 사전에 식별하여 예방하기 위해 자체 위험평가 방법론을 활용하고 있습니다. 이를 통해 취약점 진단 및 모의 해킹 등의 기술적 보안 강화 활동을 계속적으로 실시하고 있습니다. 특히 2022년 여수공장이 주요 정보통신 기반 시설로 지정되면서 법적 요건 준수 및 OT환경에 대한 보안 관리체계 수립과 운영 등의 활동을 강화하고 있습니다. 이를 통해 실제 OT보안 리스크를 완화하기 위한 다양한 보안조치를 적용하고 있습니다.
모든 임직원의 정보보호 교육 활동
GS칼텍스는 모든 임직원의 정보보호 인식을 높이고 역량을 강화하기 위해 매년 정보보호 및 개인정보보호 교육을 실시하고 있습니다. 임직원의 교육 이수율은 100%로 악성 메일 훈련을 비롯한 최신 동향을 반영한 시나리오 기반의 모의훈련, 보안 캠페인, 세미나 등 다양한 보안 교육 및 홍보 활동을 진행하고 있습니다. 특별히 고객 개인정보 담당자와 개인정보를 취급하는 임직원 및 외부 인력에게는 별도의 개인정보보호 교육을 제공하고 있습니다. 자회사에 대한 정보보안 감사를 통해 전사 전반의 보안 수준을 향상시키고 있습니다. GS칼텍스 여수공장은 출입관리시스템을 통해 모든 출입 인원 및 차량을 철저히 관리하고 있습니다. 공장 내부는 통제구역, 제한구역, 제한지역으로 구분되어 있어 임직원을 포함한 모든 출입 인원이 승인된 장소만 출입할 수 있습니다. 방문 시에는 방문예약시스템을 통해 임직원의 승인을 받은 후 출입할 수 있습니다.
