ENG 메뉴 열기
닫기
Company
Investor Relations
Sustainability
News & Media
News & Media

Sustainability

구성원 인권
구성원 가치
안전보건경영
상생경영
사회공헌
정보보호

정보보호

SK스퀘어는 기업 내부 정보 및 고객 정보를 보호하기 위해 정보보호 원칙 수립 및 확산, 정보보호 조직 운영, 정보보호 교육 등을 추진하고 있습니다.

정보보호 정책

SK스퀘어는 사업 추진과정에서 수집된 비즈니스 정보 및 고객 정보를 보호하기 위해 정보보호 규정을 수립하여 공유하고 있습니다. 정보보호 규정은 전 구성원에 적용되며 내부 정보 관리 및 사이버 보안 준수 원칙 등을 포함하고 있으며, 정보 자산의 체계적인 관리를 위한 정보보호 관리체계 운영 기준을 명시하고 있습니다.

정보보호 규정

  • 정보자산 정보보호 관리체계 운영 기준 등
정보보호 규정

정보보안경영시스템(ISO27001)

Download
정보보호 규정
  • 정보자산 정보보호 관리체계 운영 기준 등
정보보호 규정
정보보안경영시스템(ISO27001)
Download

주요 자회사 정보보호 정책 수립 현황

정보보호 정책 수립 자회사 비율
단위 %
2024년 1001)
구분 단위 2024
정보보호 정책 수립 자회사 비율 % 1001)

1) 연결대상 주요 종속자회사 7개사 기준(11번가, 원스토어, SK플래닛, 드림어스컴퍼니, 티맵모빌리티, FSK L&S, 인크로스)

정보보호 조직

SK스퀘어는 임원급 정보보호최고책임자를 선임하여 정보보호 정책 수립, 정보보호위원회의 구성 및 운영, 정보보안 취약점 점검·위험평가 및 예방 활동, 보안 위협의 상시 모니터링, 보안사고 대응 및 복구 등 회사의 정보보호에 관한 업무를 총괄·관리하고 있습니다.

[대표이사] [정보보호위원회(정보보호담당(임원),HR담당(임원),법무담당(임원),윤리경영팀장,정보보호/IT담당자)] [정보보호(전담조직) 정보보호최고책임자(임원)] [
  • IT담당자(PL)
  • 정보보호담당자(PL)
  • 물리보안담당자(PL)
]

주요 역할

구분 주요 역할
정보보호위원회 정보보호 정책 심의·의결, 위험평가 결과 검토, 보안투자 승인
정보보호최고책임자 취약점 진단 및 위험평가 총괄, 보안 감사 관리, 사고 대응 및 복구 총괄
전담 조직
(IT, 정보보호, 물리보호)		 상시 모니터링 및 위협 탐지, 취약점 분석, 보안 교육, 사고 대응
구분 주요 역할
정보보호위원회 정보보호 정책 심의·의결, 위험평가 결과 검토, 보안투자 승인
정보보호최고책임자 취약점 진단 및 위험평가 총괄, 보안 감사 관리, 사고 대응 및 복구 총괄
전담 조직
(IT, 정보보호, 물리보호)		 상시 모니터링 및 위협 탐지, 취약점 분석, 보안 교육, 사고 대응

정보보호
사고대응 체계

SK스퀘어는 외부의 위협으로부터 정보를 보호하고 내부 정보 유출을 방지하기 위해 강력한 정보보안 리스크 관리 체계를 구축하여 운영하고 있습니다. 급변하는 보안 위협 환경에 선제적으로 대응하기 위해 엔드포인트보안, 관제보안, 네트워크보안, 데이터보안, 시스템보안 등 다층적 보안 솔루션을 도입하여 24시간 실시간 모니터링 체계를 운영하고 있습니다. 체계적인 정보보안 사고 예방 및 대응을 위해 다양한 솔루션을 활용하여 위협을 조기에 탐지하고 대응하고 있으며, 단계별 대응 체계를 통해 사고 인지부터 사고 대응까지 신속하고 효율적인 프로세스를 확립했습니다. 또한, 사고 발생 시 정보보호담당부서는 사고 영향도 및 심각도 수준을 평가하고, 심각도 수준에 따라 대응 방안을 수립하여 신속히 조치하고 있습니다. 이러한 종합적인 정보보안 리스크 관리 체계 운영을 통해 SK스퀘어는 고객과 회사의 중요 정보자산을 안전하게 보호하고 지속가능한 비즈니스 환경을 구축하는데 기여하고 있습니다.

단계별 대응 체계

사전 예방
Action Plan
위협 탐지
  • 24시간 실시간 모니터링 체계 운영
  • 다층적 보안 솔루션 운영(엔드포인트, 네트워크, 데이터 보안 등)
  • 정기적인 취약점 스캔 및 평가 수행
예방 조치
  • 보안 정책 및 가이드라인 전파
  • 직원 대상 정기적인 훈련 및 교육 실시
사고 대응
Action Plan
사고 인지
  • 보안 이벤트 모니터링 및 알림 확인
  • 사고 발생 시 관련 부서 및 책임자에게 즉시 보고
사고 대응
  • 피해 시스템 격리 및 추가 피해 방지 조치
  • 사고 원인 및 영향 범위 파악
  • 심각도에 따른 대응 방안 수립 및 실행
사후 관리
  • 사고 분석 보고서 작성 및 경영진 보고
  • 재발 방지 대책 수립 및 이행
  • 보안 시스템 및 정책 개선
단계 Action Plan
사전 예방 위험 탐지
  • 24시간 실시간 모니터링 체계 운영
  • 다층적 보안 솔루션 운영(엔드포인트, 네트워크, 데이터 보안 등)
  • 정기적인 취약점 스캔 및 평가 수행
예방 조치
  • 보안 정책 및 가이드라인 전파
  • 직원 대상 정기적인 훈련 및 교육 실시
사고 대응 사고 인지
  • 보안 이벤트 모니터링 및 알림 확인
  • 사고 발생 시 관련 부서 및 책임자에게 즉시 보고
사고 대응
  • 피해 시스템 격리 및 추가 피해 방지 조치
  • 사고 원인 및 영향 범위 파악
  • 심각도에 따른 대응 방안 수립 및 실행
사후 관리
  • 사고 분석 보고서 작성 및 경영진 보고
  • 재발 방지 대책 수립 및 이행
  • 보안 시스템 및 정책 개선

정보보호 유출 피해 현황

데이터 유출 및 침해 건 수
단위
2022년 0
2023년 0
2024년 0
구분 단위 2022년 2023년 2024년
데이터 유출 및 침해 건 수 0 0 0

정보보호사고 대응 체계 고도화 로드맵

2023~2024 정보보호 체계 정착 정보보호 체계 구축 정보보안 인증 획득 2025~2026 정보보호 체계 강화 구성원 정보보안 인식 개선 정보 유출 사고 제로화 지속 달성 2027~ Global 수준의 보안관리 체계 확보

정보보호경영시스템 구축

SK스퀘어는 사업 전반에서 정보보호를 핵심 과제로 설정하고 있으며, 고객을 포함한 다양한 이해관계자의 정보 보안을 강화하여 기업 신뢰도를 높이고 있습니다. 당사는 정보보호관리체계(ISMS)를 기반으로 국제 정보보안 인증인 ISO 27001을 취득하였으며, 인증 범위는 SK스퀘어의 핵심 사업인 투자활동 및 포트폴리오 관리 업무 전체를 포괄(인증 매출 커버리지 100%)하고 있습니다. 또한, 14개 관리 영역과 144개 세부 항목을 기준으로 연 1회 사후 심사와 3년 주기의 갱신 심사를 통해 보안 체계를 점검하며, 이를 통해 글로벌 보안 기준에 부합하는 운영 체계를 유지하고 있습니다. 주요 포트폴리오사에 대해서도 정보보호경영시스템 인증 취득을 권고하고 있으며, 현재 연결 매출 기준 87.5% 이상의 포트폴리오사가 ISO 27001 또는 ISMS-P 인증을 보유하고 있습니다. 또한, 당사는 SUPEX추구협의회를 통해 그룹 차원의 보안 진단을 매년 실시하고 있으며, 2024년에는 보안관리 수준에서 '양호' 평가를 받았습니다.

SK스퀘어 정보보호경영시스템 인증 현황

SK스퀘어
인증 종류 ISO 27001
인증 내용 투자활동 및 포트폴리오 관리와 관련된 정보 보안 및 관리 시스템
인증 범위(커버리지) 100%
구분 인증 종류 인증 내용 인증 범위(커버리지)
SK스퀘어 ISO 27001 투자활동 및 포트폴리오 관리와 관련된 정보 보안 및 관리 시스템 100%

포트폴리오사 정보보호경영시스템 인증 현황

인증 종류1) 인증 내용
11번가
ISO 27001 11번가 서비스 운영
ISMS-P
인증 범위(커버리지)2)
87.5%(연결 매출 기준)
원스토어
ISMS-P 앱마켓 서비스 운영
인증 범위(커버리지)2)
87.5%(연결 매출 기준)
SK플래닛
ISMS T컬러링, T아카데미 등 대외서비스
ISMS-P OK캐쉬백, Syrup
인증 범위(커버리지)2)
87.5%(연결 매출 기준)
드림어스컴퍼니
ISMS-P FLO 및 iRIVER 서비스 운영
인증 범위(커버리지)2)
87.5%(연결 매출 기준)
티맵모빌리티
ISMS 대리운전, 결제서비스, 대중교통 등
ISMS-P 티맵모빌리티 전체 서비스 운영
인증 범위(커버리지)2)
87.5%(연결 매출 기준)
인크로스
ISMS 온라인광고 서비스 운영(Dawin, i-cast, cm)
인증 범위(커버리지)2)
87.5%(연결 매출 기준)
구분 인증 종류1) 인증 내용 인증 범위(커버리지)2)
11번가 ISO 27001 11번가 서비스 운영 87.5%
(연결 매출 기준)
ISMS-P
원스토어 ISMS-P 앱마켓 서비스 운영
SK플래닛 ISMS T컬러링, T아카데미 등 대외서비스
ISMS-P OK캐쉬백, Syrup
드림어스컴퍼니 ISMS-P FLO 및 iRIVER 서비스 운영
티맵모빌리티 ISMS 대리운전, 결제서비스, 대중교통 등
ISMS-P 티맵모빌리티 전체 서비스 운영
인크로스 ISMS 온라인광고 서비스 운영(Dawin, i-cast, cm)

1) ISMS-P는 정보보호 및 개인정보보호를 위한 일련의 조치 및 활동이 인증기준에 적합함을 한국인터넷진흥원이 증명하는 제도로 ISO 27001 인증항목을 포함

2) 물류 BPO 서비스를 제공하는 FSK L&S 미포함

외부 전문가 검증 및 감사

SK스퀘어는 정보보호 및 정보보안의 체계적 관리를 위해 정보보호 정책과 사이버 보안 전반에 대한 외부 전문가의 정기적 검증 및 감사를 실시하고 있습니다. 당사는 정보보호경영시스템 ISO 27001 인증 갱신 과정에서 외부 전문기관의 심사를 통해 정보보호 정책 및 관리체계의 적정성을 점검받고 있으며, 정보보안 취약점 분석 및 평가 역시 외부 전문가와 협력하여 주기적으로 수행함으로써 보안 위협에 선제적으로 대응하고 있습니다. SK스퀘어는 앞으로도 외부 전문가와의 긴밀한 협업을 바탕으로 정보보호 및 정보보안 관리체계를 지속적으로 고도화해 나가겠습니다.

검증 및 감사 내용 검증 및 감사 주기 검증 및 감사 커버리지
정보보호경영시스템
ISO 27001 인증 갱신 과정을 통한 정보보호 정책 등 관리체계의 적정성 검증 매년 100%
(투자 사업 등 주요사업 활동 포함)
사이버 보안
외부 전문가와의 협력을 통한 취약점 분석 및 평가 과정을 통한 정보보호 수준 검증 매년 100%
(투자 사업 등 주요사업 활동 포함)
구분 검증 및 감사 내용 검증 및 감사 주기 검증 및 감사 커버리지
정보보호경영시스템 ISO 27001 인증 갱신 과정을 통한 정보보호 정책 등 관리체계의 적정성 검증 매년 100%
(투자 사업 등 주요사업 활동 포함)
사이버 보안 외부 전문가와의 협력을 통한 취약점 분석 및 평가 과정을 통한 정보보호 수준 검증

정보보호 모니터링

SK스퀘어는 정보보호 정책과 프로세스 준수 및 정보보호활동 이행 여부 점검을 위한 정보보호 모니터링 활동을 추진하고 있습니다.

정보보호 모니터링 활동

[진단・감사]
보안 정책 및 프로세스 이행 진단 (연 1회)
정보시스템 보안 진단 (연 1회)
그룹 내 감사 조직(SUPEX추구협의회) 주관의 정보보호 정책/시스템 대상 감사 활동 시행 (연 1회)
[훈련.점검]
DDOS 모의 훈련 등 사고 대응 훈련 (연 1회)
악성 메일, 악성 코드 유입 등 이벤트 탐지 (상시)
메일 보안, 파일 반입/반출, 출력물 보안 점검(월 1회)
PC 보안 점검 (수시)

정보보호 사고 대응 훈련 및 모니터링 현황

정보보호 자체 훈련 건수
단위
2022년 1
2023년 1
2024년 1
정보보호 자체 모니터링/점검 건수
탐지 이벤트 수 이슈 조치 건수
단위
2022년 752 7
2023년 585 9
2024년 4,275* 11
구분 단위 2022년 2023년 2024년
정보보호 자체 훈련 건수 1 1 1
정보보호 자체 모니터링/점검 건수 탐지 이벤트 수 752 585 4,275*
이슈 조치 건수 7 9 11

* 2022년, 2023년 대비 집계 대상 솔루션이 증가함에 따라 탐지 이벤트 수가 증가하였음

개인정보 관리체계

SK스퀘어는 개인정보 수집이 필요한 경우를 대비하여 이를 관리할 수 있는 방침 및 세부지침을 제정, 체계적으로 관리하고 있습니다. 또한, 개인정보를 수집하는 경우에는 수집 목적을 명확히 고지하여 동의를 얻으며, 수집된 개인정보는 보유기간이 경과하거나 목적 달성 즉시 안전하게 파기하여 불필요한 개인정보 보유로 인해 발생할 수 있는 리스크를 최소화하고 있습니다. 자세한 개인정보처리방침은 회사 홈페이지(www.sksquare.com) 하단에서 확인할 수 있습니다. 더불어 SK스퀘어가 투자한 투자기업에 대해서도 개인정보보호 등을 포함한 보안수준 진단을 실시하여 개인정보 리스크를 사전에 식별하고 대응할 수 있도록 관리 범위를 지속적으로 확대해 나가고 있습니다.

개인정보보호 관리체계

개인정보 수집 및 사용
  • 개인정보 처리방침 제1조 제1항에 수집 항목, 목적, 처리 및 보유 기간 명시
  • 목적 외 이용 제한
  • 이용 목적 변경 시 동의 필요(개인정보보호법 제18조)
  • 법령 및 동의 받은 보유·이용기간 준수
  • 만 14세 미만 아동: 법정대리인 동의 필요
개인정보 관리
(삭제, 수정, 보완, 변경 요청 등)
  • 개인정보 처리방침 제9조 제3항에 개인정보 열람 청구 보장
  • 개인정보 처리방침 제10조 제2항에서 정보주체의 개인정보자기결정권 보장
개인정보 접근 통제
  • 업무 관련 정보는 가상 Desktop에서 관리하여 구성원 이외 접근 통제
  • 문서 암호 설정, 서버 접근 통제 등을 통해 데이터 접근 제한
개인정보 관련 우려 제기 메커니즘
  • 회사 서비스 이용 중 발생한 개인정보보호 관련 문의, 불만처리, 피해구제 등에 대해 개인정보보호 책임자 및 담당 부서에 문의할 수 있는 채널 운영
  • 개인정보 처리방침 제9조 제1항에 개인정보보호 책임자 및 연락처(전화번호, 이메일) 명시
개인정보의 제3자 제공
  • 개인정보 처리방침 제2조 제1항에 정보주체의 동의, 법률의 특별한 규정 등에 해당하지 않는 경우 개인정보 제3자 제공 금지 명시
개인정보의 파기
  • 개인정보 처리방침 제1조 제1항에 처리 및 보유기간을 2년으로 명시
  • 개인정보 처리방침 제4조 제1항, 제3항에 정해진 시간이 지난 후 개인정보 파기의 절차 및 방법 명시
구분 설명
개인정보 수집 및 사용
  • 개인정보 처리방침 제1조 제1항에 수집 항목, 목적, 처리 및 보유 기간 명시
  • 목적 외 이용 제한
  • 이용 목적 변경 시 동의 필요(개인정보보호법 제18조)
  • 법령 및 동의 받은 보유·이용기간 준수
  • 만 14세 미만 아동: 법정대리인 동의 필요
개인정보 관리
(삭제, 수정, 보완, 변경 요청 등)
  • 개인정보 처리방침 제9조 제3항에 개인정보 열람 청구 보장
  • 개인정보 처리방침 제10조 제2항에서 정보주체의 개인정보자기결정권 보장
개인정보 접근 통제
  • 업무 관련 정보는 가상 Desktop에서 관리하여 구성원 이외 접근 통제
  • 문서 암호 설정, 서버 접근 통제 등을 통해 데이터 접근 제한
개인정보 관련 우려 제기 메커니즘
  • 회사 서비스 이용 중 발생한 개인정보보호 관련 문의, 불만처리, 피해구제 등에 대해 개인정보보호 책임자 및 담당 부서에 문의할 수 있는 채널 운영
  • 개인정보 처리방침 제9조 제1항에 개인정보보호 책임자 및 연락처(전화번호, 이메일) 명시
개인정보의 제3자 제공
  • 개인정보 처리방침 제2조 제1항에 정보주체의 동의, 법률의 특별한 규정 등에 해당하지 않는 경우 개인정보 제3자 제공 금지 명시
개인정보의 파기
  • 개인정보 처리방침 제1조 제1항에 처리 및 보유기간을 2년으로 명시
  • 개인정보 처리방침 제4조 제1항, 제3항에 정해진 시간이 지난 후 개인정보 파기의 절차 및 방법 명시

투자 자회사 보안 수준진단

SK스퀘어는 투자사들의 보안관리 수준 제고 및 보안 사고 리스크 관리를 위해 매년 개인정보보호 및 IT보안 영역의 보안 수준을 진단하고 있습니다. 이를 통해 정보보안 관련 취약점을 식별하고 개선 권고 및 이행 점검 활동을 수행하고 있습니다. 2023년에는 개정법을 반영하여 진단 기준을 강화하였고, 11번가, 원스토어, 드림어스컴퍼니, SK플래닛, 티맵모빌리티, 콘텐츠웨이브, 인크로스, FSK L&S 총 8개 투자사에 대해 보안 진단을 시행하였습니다. 2024년에는 그룹의 보안관리체계를 반영한 심층 진단을 시행할 계획입니다.

구성원 의식 제고

SK스퀘어는 모든 정규직 및 계약직 직원을 대상으로 연 1회 이상 정보보호 및 개인정보보호 관련 교육을 정기적으로 시행하고 있습니다. 특히, 당사는 구성원의 직무와 업무 환경을 고려한 맞춤형 교육을 통해 보안 역량 강화를 지원하고 있습니다. 교육 효과를 높이기 위해 구성원의 피드백을 반영하여 교육 프로그램을 지속 개선하고 있으며, 2025년 4월부터 5월 까지 약 3주간 집중 교육을 실시하였습니다. 또한, 모든 정규직 및 계약직 직원을 대상으로 매년 1회 정보보호 서약을 시행하여 책임 의식을 제고하고 보안 규정 준수를 독려하고 있습니다. 더불어 최근에는 정보보안과 관련된 업무를 수행하는 비즈니스 파트너를 대상으로도 정보보안 교육을 이수하도록 요구하고 있으며, 이를 정기적으로 점검하고 있습니다. 앞으로도 구성원 및 비즈니스 파트너의 보안 인식을 지속적으로 높이고, 안전한 정보 보호 환경 조성에 힘쓸 계획입니다.

정보보호 교육 대상 및 주기

구분 교육 주기 교육대상
정보보호 교육 연 1회 이상 정규직/계약직, 비즈니스 파트너
악성메일 모의훈련 수시 정규직/계약직
DDOS 모의 훈련 등 사고 대응 훈련 연 1회 정규직/계약직
구분 교육 주기 교육대상
정보보호 교육 연 1회 이상 정규직/계약직, 비즈니스 파트너
악성메일 모의훈련 수시 정규직/계약직
DDOS 모의 훈련 등 사고 대응 훈련 연 1회 정규직/계약직

정보보호 교육 실적

정보보호 교육 참여율
정규직 및 계약직 비즈니스 파트너
단위 % %
2023년 93 -
2024년 92 -
2025년 100 100
구분 단위 2023년 2024년 2025년
정보보호 교육 참여율 정규직 및 계약직 % 93 92 100
비즈니스 파트너 - - 100

비즈니스 파트너 정보보호 역량 강화

SK스퀘어는 비즈니스 파트너가 취급하는 정보의 보안을 강화하기 위해 체계적인 관리체계를 운영하고 있습니다. 당사와 협력하는 모든 비즈니스 파트너는 정보보호 서약서에 서명하도록 하고 있습니다. 또한, 협력사 ESG 행동강령에 정보보호 관련 준수 사항을 명시하고 이에 대한 서명을 요구하고 있으며, 행동강령 준수 여부에 대해 정기적으로 점검을 실시하고 있습니다. 더불어 사내에서 근무하는 비즈니스 파트너에 대해서는 정보보안 교육 이수를 의무화하고 있습니다. SK스퀘어는 이러한 관리 체계를 통해 비즈니스 파트너의 정보보호 역량을 지속적으로 강화하고, 정보보안 리스크를 선제적으로 관리해 나가고 있습니다.

비즈니스 파트너 정보보호 관리 현황

주요 내용 이행 실적 점검 방식
정보보호 서약
비즈니스 파트너 대상 정보보호 서약서 서명 100% 계약 시 서명 확인
ESG 행동강령 준수
행동강령 내 정보보호 준수 사항 명시 및 서명 100% 정기 점검
정보보안 교육
사내 근무 비즈니스 파트너 대상 교육 이수 의무화 100% 이수 현황 점검
구분 주요 내용 이행 실적 점검 방식
정보보호 서약 비즈니스 파트너 대상 정보보호 서약서 서명 100% 계약 시 서명 확인
ESG 행동강령 준수 행동강령 내 정보보호 준수 사항 명시 및 서명 100% 정기 점검
정보보안 교육 사내 근무 비즈니스 파트너 대상 교육 이수 의무화 100% 이수 현황 점검