ESG 팩트북 | LG전자

정보보호

다양한 IoT 제품 및 서비스의 증가와 신기술, 비즈니스, 환경 변화에 따라 개인의 인권과 프라이버시 보호에 대한 기업의 책임이 점차 증가하고 있습니다. LG전자는 국내외에서 발생하는 개인정보 컴플라이언스 리스크 요인을 파악하고 개인정보 처리를 투명하게 공개하여 임직원 및 고객의 권리를 보장하고 있습니다.

개인정보보호 내용 더 보기
1) 개인정보보호 기본 체계
- EU GDPR의 시행 및 미국·브라질·인도의 소비자 프라이버시 보호규제 강화에 대응하여 개인정보 리스크 요인을 선제적으로 파악 및 개선사항에 반영
- 개인정보보호 기본 5개 원칙(최소 수집, 알 권리 보장, 안전성 확보 조치, 수집목적 내 사용, 안전한 파기)을 준수하여 고객의 정보를 철저히 관리
- 안전하고 합법적인 개인정보 처리 과정을 투명하게 공개
- 개인정보보호 보호 조치
  01. 기술적 조치
  
  통신구간 암호화
  
  접근제어솔루션
  
  일방향 암호화 저장
  
  개인정보 출력 최소화
  
  제품/시스템/App 출시 전 사전 점검
  
  접속기록 점검
  
  02. 관리적 조치
  
  접근권한 인원제한
  
  전산실 출입통제
  
  접근 권한 관리
  
  정보처리 PC 보안
  
  정보 수집근거 기록
  
  개인정보 서버 분리
  
  03. 고객 권리보장 조치
  
  개인정보 조회, 수정, 가입 해지 가능
  
  전화, 메일 문의 가능
  
  정보 이용기간 준수
  
  동의 철회요구에 응답
2) 개인정보 영향평가
- 개인정보 영향평가를 시행하여 사전에 개인정보 보호조치의 위험 요인과 적절성을 평가하고, 개선점을 보완하여 개인정보 보호가 강화된 제품과 서비스를 출시
- 규제, 법령의 변화와 기술 트렌드에 대응할 수 있도록, 평가 프레임워크를 지속적으로 개선
개인정보 영향평가 프레임워크
- 1. 대상식별
- 2. 처리 분석
- 3. 체크 리스트 평가
- 4. 위험평가
- 5. 개선수립
- 6. 개선수립
정보보안 내용 더 보기
1) 정보보안 통합관리 체계
- 고객의 개인정보를 통합적으로 관리하는 프레임워크를 구축하여 효율적 이용과 유출 방지
- 국내외 인증을 획득하여 데이터 보호의 안정성 확보
2) 개인정보보호 Framework
- 관리체계
  
  개인정보 침해사고 대응
  
  정책
  
  전사 정보보안 규정
  
  개인정보보호 규칙
  
  조직
  
  CPO¹⁾
  
  개인정보주관부서
  
  정보주체 권리보장
  
  진단/감사/인증
  
  GSI²⁾
  
  진단
  
  ISO³⁾
  
  TSS⁴⁾
  
  ISMS⁵⁾
  
  교육/홍보
  
  전사 임직원 교육
  
  협력회사 교육
- 라이프 사이클
  
  개인정보영향평가 / 안전성확보조치
  
  수집
  
  최소정보 수집
  
  수집 동의
  
  저장
  
  이용/제공
  
  개인정보 처리방침
  
  수탁사 관리
  
  파기
  
  개인정보 파기
- 보호대책
  
  통합모니터링
  
  SSL⁶⁾
  
  PC암호화
  
  DB암호화
  
  DB접근제어
  
  서버접근제어
  
  출력물제어
  
  개인정보유출방지
  
  WAS접근제어
  
  문서파쇄기
  
  완전삭제 솔루션
- ¹⁾ CPO(Chief Privacy Officer, 개인정보보호책임자)
- ²⁾ GSI(Global Security Index, 보안활동)
- ³⁾ ISO(International Organization for Standardization)
- ⁴⁾ TSS(Team Security Score, 팀보안활동)
- ⁵⁾ ISMS(Information Security Management System, 정보보호관리체계인증
- ⁶⁾ SSL(Secure Socket Layer)
3) 정보보안 통합관리체계 인증 획득
- 국제 인증 : ISO 27001, ISO 27018, ISO 29100, ISO 27701
- 국내 인증 : ISMS
제품보안 내용 더 보기
1) 제품 보안 기본 체계
- EU Cybersecurity Act, UNR No.155 등 전 세계에서 발효되고 있는 글로벌 보안 규제를 모니터링하고 LG전자의 표준 보안 요구사항 및 가이드라인에 이를 지속 반영하여 제품 개발 전 라이프사이클에 걸쳐 보안성을 고려하여 제품 개발을 진행
- LG전자는 보안 규제 대응 일원화 협업체계를 통해 글로벌 현지의 규제정보 현황을 입수, LG전자 제품 별 특성에 맞는 기술적, 관리적, 물리적 보호조치가 적용될 수 있도록 사전 점검 및 대응 진행
2) 제품 보안 관리 체계
- LG전자 제품 보안 활동 기준인 LG-SDL에 따라 각 개발 단계별 보안 활동 및 기준을 준수하여 제품 개발을 진행
- 모의해킹 전문조직인 LGE ISAC (LG Electronics Information Security Analysis Center)를 운영하여 IoT 제품과 사내·외 서버 시스템의 취약점 점검
- 보안 취약점 신고 포상제(Bug Bounty)를 통해 제품 소프트웨어의 보안 취약점을 외부로부터 제보 받고 포상금 지급
정책

LG전자 제품 보안 활동 기준

LG전자 제품 보안 가이드

LG전자 제품 보안 인증 (Product Security Certification)

협력 업체 보안 관리 정책

조직

전사/개발 보안 부서

침투 테스트 부서

제품 개발팀

품질 부서

교육

보안 인식 교육

시큐어 코딩 교육

사이버 보안 엔지니어링 교육

제품 보안 기술 교육

보안사고대응

보안 사고 대응 프로세스

보안 이벤트 분류 기준

보안 업데이트

버그 바운티 프로그램
참고 표준

NIST Cybersecurity Framework¹⁾

NIST 800-53²⁾

ETSI EN 303 645³⁾

ISO/SAE 21434⁴⁾
¹⁾ NIST Cybersecurity Framework: 미국 국가표준기술연구소의 사이버 보안 개선 프레임워크

²⁾ NIST 800-53: 미국 정부 및 중요 인프라에 필요한 보안 및 개인정보보호 지침 관련 보안 제어

³⁾ ETSI EN 303 645: 유럽전기통신표준협회의 IoT 제품에 대한 보안 요구사항 표준

⁴⁾ ISO/SAE 21434: ISO 국제 표준화 기구 및 SAE(국제자동차기술자협회)에서 제작한 차량용 사이버 보안 엔지니어링 표준
3) LG전자 제품 보안 활동 기준: LG-SDL
- 2017년도부터 소프트웨어 개발 프로세스의 각 단계별로 수행해야 할 핵심 보안 활동을 사내표준화하고 제품 출시 전 적용. 이를 통해 제품의 잠재적 보안취약점을 소프트웨어 개발 초기단계에서부터 탐지 및 제거하여 LG전자 제품의 보안성 확보
- LG-SDL에서는 각 제품의 특성을 평가하고, 제품별 보안 중요도에 따라 차등화된 보안활동을 실시하도록 가이드 함
- 최종적으로 제품 양산 전 LG-SDL 활동 수행 결과를 리뷰하고, 관련 활동이 통과 기준에 따라 잘 수행되었는지 점검하여, 제품 보안 인증서 (PSC, Product Security Certification)를 발급
LG Secure Development Lifecycle

준비

보안 교육

소프트웨어 보안 전문가 양성 교육

요구사항

제품 보안 등급 정의

LG-SDL 계획 수립

보안 요구사항 분석

설계

보안 설계 리뷰

구현

보안 구현

오픈 소스 보안 취약점 분석

보안 정적 분석

보안 기능 테스팅

테스트

퍼즈 테스팅

침투 테스팅

릴리즈

최종 제품 보안 리뷰/인증

대응

제품 출시 후 보안 이슈 대응
¹⁾ 보안 교육, SW Security 전문가 양성 교육

²⁾ 제품 보안 등급 정의, LG-SDL 계획 수립, 보안 요구사항 분석

³⁾ 보안 설계 리뷰

⁴⁾ 보안구형, 오픈 소스 보안 취약점 분석, 보안 정적 분석, 보안 기능 테스팅

⁵⁾ 퍼즈 테스팅, 침투 테스팅

⁶⁾ 최종 제품 보안 리뷰/인증

⁷⁾ 제품 출시 후 보안 이슈 대응

ESG 경영