정보보호 | ESG 팩트북 | ESG 경영 | 회사소개

정보보호

다양한 IoT 제품 및 서비스의 증가와 신기술, 비즈니스, 환경 변화에 따라 개인의 인권과 프라이버시 보호에 대한 기업의 책임이 점차 증가하고 있습니다. LG전자는 국내외에서 발생하는 개인정보 컴플라이언스 리스크 요인을 파악하고 개인정보 처리를 투명하게 공개하여 임직원 및 고객의 권리를 보장하고 있습니다.

정보보호 및 개인정보보호 내용 더 보기

1) 정보보호 및 개인정보보호 조직 운영 체계

정보보호 조직은 본사와 사업장에 걸친 총 14개 팀으로 구성
침해사고 대응, 글로벌 규제 준수, 정기 보안 점검, 개인정보보호 내부관리 계획 수립 등 실무적인 보안 운영 업무
실무 조직은 정보보호 실무협의회를 통해 정보보호 및 개인정보보호 관련 주요 정책 및 이슈를 논의하고, 필요 시 해당 사안을 정보보호위원회에 상정하여 전사적 차원의 의사결정과 연계함으로써 보안 리스크에 대한 신속한 대응과 조직 간 협력을 강화
정보보호 전담 인력은 CISSP, CISA, CPPG, ISO 27001, ISMS-P 심사원 등 전문 자격증을 보유한 인력으로 구성
임직원의 개인 KPI에 정보보호 역량 개발 항목을 포함시켜 지속적인 역량 강화 지원
- 전사 경영회의 및 이사회
  - 주관: 이사회사무국
  - 개최 주기: 반기 1회
- 전사 정보보호 위원회가 전사 경영회의 및 이사회에 보고
- 전사 정보보호 위원회
  - 주관: CRO(간사:정보보호담당)
  - 개최 주기: 반기 1회
  - 참석자: 주요 경영진
- 전사 정보보호 위원회와 전사 정보보호 실무협의회가 협업
- 전사 정보보호 실무협의회
  - 주관: 정보보호담당
  - 개최 주기: 분기 1회(필요시, 수시 개최)
  - 참석자: 담당/실장(R&D, IT, 법무 등 주요 현업부서)

2) 정보보호 및 개인정보보호 전략

정보보호 및 개인정보보호 전략 관리 방식 - ① 관리보안, ② 기술보안, ③ 물리보안, ④ 개인정보보호 Compliance 정보 제공
① 관리보안	② 기술보안	③ 물리보안	④ 개인정보보호 Compliance
정보보호 관리체계 수립/운영	외부 해킹공격/악성코드 탐지/ 분석 및 방어	물리보안 관리체계 구축/운영	개인정보 보호 관리체계 수립/운영
정보자산 식별 및 관리	정보유출 모니터링, 차단 및 방지	물리보안 장비 정기점검 및 이상 대응	개인정보 처리 식별 및 관리
정보보호 사고대응 체계 구축/ 운영	네트워크/시스템 정책 및 보안솔루션 구축/도입 관리	보안구역 설정 및 출입권한 분리	개인정보 처리 위험 영향도 평가 및 보호조치
임직원 교육/홍보 및 규정준수 인식제고	보안 위험평가 및 취약점 조치	CCTV/침입탐지 및 중요시설 (서버실, 통신실) 점검/관리	개인정보 주체 권리대응 및 규제기관 대응

3) 개인정보 영향평가(DPIA)

제품, 시스템, 앱 등에서 개인정보를 처리하는 서비스의 기획 단계를 점검 대상으로 하여, 주요 기능 변경 또는 신규 서비스 구축 시 ‘개인정보 영향평가(DPIA: Data Protection Impact Assessment)’를 수행
본 평가는 출시 전 개인정보 처리 과정에서의 취약점을 사전에 도출하고, 이를 기반으로 적절한 보호조치를 적용함으로써 리스크를 예방하는 것이 목적
개인정보 영향평가는 체크리스트 기반으로 수행되며, 개인정보의 수집, 저장, 이용, 제공, 전송, 역외이전, 파기 등 전체 처리 라이프사이클 전반에 걸쳐 정보 항목과 흐름을 분석하고, 기술적·관리적 보호조치 수준을 점검
외부 제3자 업체를 통해 3자 감사(Audit) 방식(DPIAC)으로 객관성을 확보하며 평가를 운영

제품 보안 내용 더 보기
1) 제품 보안 관리 체계
정책

LG전자 제품 보안 활동 기준

LG전자 제품 보안 가이드

LG전자 제품 보안 평가

협력업체 보안 관리 정책

조직

전사/사업본부 제품SW보안팀

규제팀, 법무팀, 구매팀

제품 개발팀

품질팀

교육

보안 인식 교육

시큐어 코딩 교육

사이버 보안 엔지니어링 교육

제품 보안 기술 교육

보안 사고 대응

제품 보안 사고 대응 프로세스(LG PSRT)

보안 이벤트 분류 기준

보안 업데이트

버그 바운티 프로그램(LG Bug Bounty)
글로벌 보안 규제

미국
IoT Cyber Trust Mark¹⁾,
NIST Cybersecurity Framework²⁾,
NIST IR 8259³⁾

유럽
EU Cyber Resilience Act⁴⁾,
EU RED Delegated Act⁵⁾,
UK PSTI Act and Regulations⁶⁾,
ETSI EN 303 645⁷⁾

자동차 전장 제품 특화
UNECE UNR. 155 CSMS⁸⁾,
ISO/SAE 21434⁹⁾
¹⁾ US Cyber Trust Mark Program: 2025년 미국 정부에서 시행 준비 중인, IoT 제품 대상의 라벨 프로그램

²⁾ NIST Cybersecurity Framework: 미국 국가표준기술연구소의 사이버 보안 개선 프레임워크

³⁾ NIST IR 8425: 미국 국가표준연구소의 IoT 제품을 위한 사이버 보안 표준

⁴⁾ EU Cyber Resilience Act: 2026년부터 EU에서 시행 준비 중인 디지털 요소를 포함하는 모든 제품에 적용되는 제품 사이버 보안 기본 요구사항 부과 규제

⁵⁾ EU RED Delegated Act: 2025년 8월부터 EU 내 무선기기를 대상으로 의무 시행 예정인 보안 규제로 네트워크 보호, 개인정보보호, 금전적 사기로 부터 보호를 의무화

⁶⁾ UK PSTI Act and Regulations: 2024년 4월부터 영국에서 네트워크 기기를 대상으로 시행 중인 제품 사이버 보안 규제

⁷⁾ ETSI EN 303 645: 유럽전기통신표준협회의 IoT 제품에 대한 보안 요구사항 표준

⁸⁾ UNECE UNR. 155 CSMS: UNECE 국가를 대상으로 시행되는 제품 사이버 보안 엔지니어링 의무화 규제. 제조사 및 협력회사에 사이버 보안 활동 의무화 의무 부과 규제

⁹⁾ ISO/SAE 21434: ISO 국제 표준화 기구 및 SAE(국제자동차기술자협회)에서 제작한 차량용 사이버 보안 엔지니어링 표준
2) 제품 보안 리스크 관리
- LG전자는 제품 개발 전 주기에 걸쳐 보안 리스크를 체계적으로 관리하기 위해 ‘LG Secure Development Lifecycle(LG-SDL)’을 적용
- LG-SDL은 설계 초기 단계부터 제품 보안을 내재화하는 프로세스로, 보안 요구사항 정의, 위협 모델링, 코드 리뷰, 취약점 제거, 보안 테스트 등 각 단계별로 핵심 보안 활동을 수행
- 특히, 클라우드 연계, IoT 연결성, 생체인식·마이크·카메라 등 민감 기능이 포함된 제품의 경우, 기술별 위협 시나리오 기반의 보호 조치를 강화
LG-SDL. LG Secure Development Lifecycle

준비

보안 교육

요구사항

보안요구사항 분석

설계

보안 설계 리뷰

구현

시큐어코딩, 시스템 하드닝

테스트

오픈소스 보안 취약점 분석

정적 분석

보안 기능 테스팅

퍼즈 테스팅

침투 테스팅

릴리즈

최종 제품 보안 평가 (LG Shield 기준 만족 여부 점검)

대응

보안 사고 대응

보안 유지 보수