ESG

정보보호

정보보호 정책

NHN은 임직원 직무에 특화된 정보보호 정책 프레임 워크를 수립하여 운영하고 있습니다. 연 1회 이상 정책 준수 여부를 점검하고 정책의 타당성을 검토하며 개선합니다. 정책 프레임워크는 최상위 정책서, 업무 역할 단위의 상위 지침, 그리고 각 상위 지침의 구체적 수행 방안을 제시하는 세부 지침으로 구성하여 정보유출 예방을 위한 엄격한 보안 원칙을 제시하고 있습니다.

정보보호 거버넌스

NHN은 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 정보보호 전담 조직의 임원으로 각각 임명하고, 개인정보 보호와 데이터 보안에 관한 명확한 권한과 책임을 부여하고 있습니다. 또한, CISO와 CPO를 포함한 주요 임원으로 구성된 정보보호위원회를 운영하며, 정보보호 거버넌스의 주요 변경 사항을 논의하고 의사결정을 내리고 있습니다. 이 외에도 정보보호와 데이터 보안 강화를 위해 정보보호 전담 조직을 별도로 운영하고 있으며, IT 보안과 정보보호 정책 담당 조직을 분리하여 전문성과 특화성을 더욱 강화하고 있습니다.

정보보호 인증

NHN은 국내외 공신력 있는 인증기관으로부터 정보보호 체계 및 서비스 안전성에 대한 인증을 취득하고 있습니다. 전문 국가기관으로부터 개인정보 및 정보보호 체계 수준을 검증받는 등 꾸준히 내부 시스템을 점검, 관리, 운영하고 있습니다.

ISMS-P

국내 최고 권위의 정보보호 및 개인정보보호 인증 제도

ISMS-P (정보보호 및 개인정보보호 관리체계) 인증은 기업이 정보보호 및 개인정보보호를 위한 일련의 조치와 활동을 체계적이고 지속적으로 수행하고 있는지 점검하여 일정 수준 이상의 기업에 국가 인증을 부여하는 제도입니다. NHN은 2013년 9월 기존의 ISMS(정보보호 관리체계)와 PIMS(개인정보보호 관리체계) 인증을 취득하여 매년 엄격한 사후심사를 통해 정보보호 및 개인정보보호 관리체계를 검증받았으며, 2019년 11월 통합된 ISMS-P 제도의 인증을 취득하였습니다.

인증범위

ISMS-P

NHN :대외 온라인 서비스(PC 및 모바일게임, 게임플랫폼, IOT 등)

NHN Cloud :NHN Cloud 서비스

NHN Dooray! :통합 온라인 협업/업무 서비스(Dooray!(민간, 공공, 금융), N-Master, eTax, Corporation Search)

NHN PAYCO :페이코 생활, 금융 서비스

ISMS

NHN Cloud :NHN Cloud Center(IDC)

NHN PAYCO :가맹점 및 제휴, 위탁 서비스

유효기간

NHN :2023.12.06 ~ 2026.12.05

NHN Cloud :(ISMS-P) 2023.12.06 ~ 2026.12.05 (ISMS) 2022.11.16 ~ 2025.11.15

NHN Dooray! :2023.12.06 ~ 2026.12.05

NHN PAYCO :(ISMS-P) 2024.01.18 ~ 2027.01.17 (ISMS) 2024.01.18 ~ 2027.01.17

ISO/IEC 27001, 27701, 29100

정보보호 및 개인정보 관리체계, 개인정보 프레임워크에 대한 국제 표준 검증

국제표준화 기구(ISO)와 국제 전기기술위원회(IEC)에서 제정한 정보보호 관리체계 국제 표준 규격인 ISO/IEC 27001 인증과 EU GDPR 등 전 세계의 개인정보보호 요구사항을 충족하는 글로벌 개인정보 관리체계 표준 규격인 ISO/IEC 27701 인증, 글로벌 개인정보 프레임 워크 수립 및 운영에 필요한 규격인 ISO/IEC 29100 인증을 취득하여 NHN이 정보보호 및 개인정보보호 관리체계에 대한 글로벌 요구사항을 충족함을 검증 받았습니다.

인증범위

NHN :PC 게임, 모바일게임, 게임플랫폼 서비스, IoT 서비스

NHN Cloud :클라우드 서비스(민간, 공공, 금융, 의료)

NHN Dooray! :온라인서비스 - 통합 협업 서비스(민간, 금융, 공공) 등

유효기간

2024.06.17 ~ 2027.06.16

ISO/IEC 27017, 27018, 27799

클라우드 서비스 정보보호 및 개인정보, 의료정보보호 관리체계에 대한 국제 표준 검증

클라우드 서비스에 특화된 정보보호 및 개인정보보호 관리체계 국제 표준 규격인 ISO/IEC 27017, ISO/IEC 27018 인증과 의료정보보호 관리체계 규격인 ISO/IEC 27799 인증을 취득하여 NHN의 클라우드 서비스가 정보보호 및 개인정보보호, 의료정보보호 관리체계에 대한 글로벌 요구사항을 충족함을 검증받았습니다.

인증범위

NHN Cloud :클라우드 서비스(민간, 공공, 금융, 의료)

NHN Dooray! :온라인서비스 - 통합 협업 서비스(민간, 금융, 공공) 등

유효기간

2024.06.17 ~ 2027.06.16

ISO/IEC 22301

비즈니스 연속성 경영시스템에 대한 국제 표준 검증

ISO/IEC 22301은 비즈니스 연속성 경영(BCM, Business Continuity Management)을 위한 국제표준 인증입니다. NHN Cloud는 2022년 7월 IaaS 서비스에 대한 연속성 있는 서비스 제공 역량을 해당 국제 표준 기준으로 검증 받아 인증을 취득하였습니다.

인증범위

NHN Cloud :클라우드 서비스(민간, 공공, 금융, 의료)

유효기간

2022.07.14 ~ 2025.07.13

CSAP(Cloud Security Assurance Program) 인증 [IaaS, SaaS, DaaS]

공공기관에 안전한 클라우드 서비스 제공을 위한 정보보호 수준 평가 · 인증

클라우드 서비스 보안인증은 클라우드 서비스 제공자가 제공하는 서비스에 대해 『클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 제23조 제2항에 따라 정보보호 기준의 준수 여부 점검하여 일정 수준 이상의 기업에 인증을 부여하는 제도입니다. NHN은 2017년 12월 NHN Cloud IaaS, 2019년 12월 Dooray! SaaS, 2023년 9월 NHN Cloud Virtual Desktop DaaS에 대해서 해당 인증을 취득하였으며 매년 엄격한 사후 심사를 통해 클라우드 서비스 보안 체계를 검증받고 있습니다.

IaaS 인증번호

CSAP-2017-003호

IaaS 인증범위

NHN Cloud(공공기관용) (IaaS)

IaaS 유효기간

2022.12.13 ~ 2027.12.12

SaaS 인증번호

CSAP-2019-010호

SaaS 인증범위

Dooray!(공공 메일, 협업도구, 메신저, 전자결재, 화상회의, AI) (SaaS 표준등급)

SaaS 유효기간

2024.12.18 ~ 2029.12.17

DaaS 인증번호

CSAP-2023-028호

DaaS 인증범위

NHN Cloud Virtual Desktop서비스(DaaS)

DaaS 유효기간

2023.09.19 ~ 2028.09.18

CSA STAR

미국 CSA (Cloud Security Aliance) 주관 국제 클라우드 서비스 정보보호 인증

CSA STAR 인증은 미국 CSA(Cloud Security Aliance)에서 주관하는 국제 클라우드 서비스 정보보호 인증으로 Cloud Control Matrix를 통해 보안 통제의 효과성과 성숙도를 평가하여 STAR(Security, Trust & Assurance, Registry) 인증을 부여하는 제도입니다. NHN은 2019년 10월 NHN Cloud(IaaS, SaaS, PaaS) 서비스 및 Dooray!(Saas) 서비스에 대해 CSA STAR Certification을 획득하였으며, Gold Level의 성숙도를 유지하고 있음을 평가받았습니다.

인증범위

NHN Cloud :클라우드 서비스(민간, 공공, 금융, 의료)

NHN Dooray! :협업 서비스, 그룹웨어, ERP

유효기간

2022.07.12 ~ 2025.07.11

개인정보 자기 통제권 보장

이용자의 개인정보 관리

NHN은 한게임 개인정보 처리방침을 통해 이용자 및 법정대리인의 권리와 그 행사방법을 안내하고 있습니다. 이용자 및 법정 대리인은 언제든지 등록되어 있는 자신 혹은 당해 만 14세 미만 아동의 개인정보를 조회하거나 수정할 수 있으며, NHN의 개인정보 처리에 동의하지 않는 경우 동의를 거부하거나 회원탈퇴(동의 철회 또는 개인정보의 삭제)를 요청할 수 있습니다. 이용자 혹은 만 14세 미만 아동의 개인정보 조회 및 수정을 위해서는 한게임 마이페이지에서 ‘회원정보 변경'을, 회원탈퇴를 위해서는 '회원탈퇴'를 클릭하여 본인 확인 절차를 거친 후 탈퇴가 가능합니다.

개인정보 수집 및 파기

NHN은 필요한 최소한의 개인정보를 적법한 절차에 따라 수집하며, 정보주체의 동의를 받은 기간 또는 법령에 따른 보관기간까지 보관합니다. 회원탈퇴 등 처리 목적이 종료되는 경우 지체없이 삭제하며, 이용 목적이 완료된 개인정보는 안전한 방법을 활용하여 파기합니다. 정보주체가 아닌 제3자로부터 개인정보를 제공받을 경우 개인정보 제공 동의를 받은 범위 내에서만 정보를 수집하며, 개인정보 보호법에 따라 정보주체에게 ‘개인정보 수집 출처 고지’를 진행하고 있습니다. 수집 출처 고지는 수집 출처, 처리 목적, 처리의 정지를 요구할 권리가 있다는 사실을 포함합니다.

개인정보 제3자 제공

NHN은 한게임 이용자 개인정보를 적법하게 수집하며, 이용자의 사전 동의 없이는 수집한 개인정보를 동의받은 범위를 초과하여 이용하거나, 외부에 제공하지 않습니다. 다만, 이용자가 사전에 동의한 경우에는 예외로 합니다. 이용자가 사전에 동의한 경우란, 채널링 게임 서비스 이용, 이벤트 응모 등 여러 프로모션에 참여하면서 개인정보 제3자 제공에 대해 동의한 경우입니다. 이러한 경우에도 NHN은 이용자에게 개인정보를 제공받는 자, 제공받는 자의 이용목적, 제공하는 개인정보의 항목, 제공받는 자의 개인정보 보유 및 이용기간을 사전에 고지하고 이에 대해 명시적‧개별적으로 동의를 얻습니다. 이와 같은 모든 과정에 있어서 회사는 업무상 목적 외에 제3자에게 개인정보를 제공하거나 대여, 판매하지 않습니다.

개인정보 관리체계

정보보호 모니터링 시스템 구축

NHN은 개인정보 안전성 확보를 위해 오픈소스를 기반으로 한 통합 보안 로그 분석 시스템(Secumon)을 구축하여 운영하고 있습니다. 이 시스템은 단순히 정보보호 시스템 로그에 국한되지 않고 VPN 접속, 서버 및 데이터베이스 접속, 단말기 행위 기록, 중요 정보 시스템 관리자 행위 기록, 외부 협업 시스템 접속 기록 등 개인정보가 처리될 수 있는 모든 경로를 포괄적으로 모니터링합니다. 특히, Secumon은 머신러닝 기술을 활용하여 예측 임계치를 설정하고 이를 초과하는 이상 행위를 실시간으로 모니터링합니다. 이를 기반으로 데일리 모니터링을 수행하여 잠재적인 이상 징후를 조기에 식별하고, 신속한 조치를 통해 개인정보 보호 수준을 강화하고 있습니다. NHN은 특화된 보호 기술을 통해 차별화된 개인정보 안정성을 확보하고, 개인정보 처리 환경 전반의 보안성을 한층 높이고자 합니다.

개인정보 처리 수탁사 점검

NHN은 개인정보 보호를 위해 개인정보 처리 수탁사의 개인정보보호 관리 현황을 점검 및 감독하고 있습니다. 상·하반기 연 2회 정기적인 점검을 수행하고 있으며, 개선이 필요한 사항을 도출하고 적시에 개선 조치를 요청하고 있습니다. 이후 점검에서는 개선 이행 여부를 확인하여 지속적인 관리 체계를 유지하고 있습니다. 또한 위·수탁 계약에 따라 수탁사의 운영 현황과 제공된 정보를 철저히 점검하며, 계약 종료 시 개인정보의 안전한 처리를 위해 파기확인서를 징구하고 있습니다. ※ 2024년 운영 실적: NHN 54개 개인정보처리 수탁사 개인정보보호 관리 현황 점검

정보보호 교육

NHN은 구성원 및 파트너들의 정보보호 인식을 높이기 위한 정보보호 교육을 진행하고 있습니다. 신규 입사자는 입사 과정에서 정보보호 교육을 반드시 수강하고 있으며, 매년 계약직을 포함한 전 구성원을 대상으로 개인정보 보호에 대한 교육을 진행하고 있습니다. 또한 기술직군 신규 입사자를 대상으로 개발자 보안 교육을 진행하고 있으며, 해당 교육을 통해 안전한 서비스 개발과 운영을 위한 정보보호 수칙을 공유하고 있습니다. NHN은 구성원뿐만 아니라 파트너사에게도 업무 목적에 맞는 정보보호 교육 자료를 제공하고 있으며, 이를 통해 모든 담당자와 구성원이 정보보호에 대한 이해를 바탕으로 보안 사고를 예방하고 대응할 수 있는 역량을 갖추도록 지원하고 있습니다.