Ⅰ. 지배구조

의사결정구조

한미사이언스는 체계적이고 효과적인 정보보호 활동을 위해 정보보호위원회를 운영하고 있습니다. 정보보호위원장을 CEO로 지정하여 정보보호 및 개인정보보호와 관련된 주요 안건을 CEO에게 심의·의결하고 있으며, 중요 안건 발생 시 매주 정보보호위원회 회의를 개최하고 있습니다. 최근 제약·바이오 기업을 대상으로 한 사이버 테러, 개인정보 유출 및 해킹 피해 사례가 지속적으로 증가함에 따라, 정보보호위원회는 이에 선제적으로 대응하기 위해 체계적이고 독자적인 정보보호 관리체계를 수립하여 적극적으로 이행하고 있습니다. 특히 정보보안 침해사고에 신속하게 대응하기 위해 신고체계와 위반에 대한 처벌 규정을 마련하고, 위반사항의 심각도에 따라 대응조치 및 처벌 등급을 심의·결정함으로써 침해사고에 체계적으로 대응하고 있습니다. 또한 증가하는 사이버 위협에 대비하여 정기적인 모의해킹 및 취약성 점검을 지속적으로 수행하고 있으며, 이를 통해 정보시스템 및 개인정보 처리 과정에서 발생할 수 있는 잠재적 보안 취약요인을 사전에 식별하고 개선 조치를 이행하고 있습니다. 점검 결과는 관련 부서와 공유하여 재발 방지 대책을 수립하고, 정보보호 수준을 지속적으로 고도화하고 있습니다. 현재까지 개인정보 유출사고나 보안침해 사고는 단 한 건도 발생하지 않았으며, 앞으로도 보안 사고가 발생하지 않도록 지속적인 관리와 개선 노력을 기울일 예정입니다. 정보보안 및 개인정보보호 활동을 효과적으로 수행하기 위해 당사는 정보보안 위협 동향과 관련 통제 방안 등 전문적인 정보와 역량 확보를 위해 외부 전문가 그룹과 긴밀한 협력 관계를 유지하고 있습니다. 아울러 (개인)정보보호 업무의 기획, 실행, 평가 및 개선에 관한 사항을 심의·의결하기 위해 정보보호 운영위원회를 운영하고 있으며, CISO를 비롯한 정보보호위원회 구성원들은 매주 보안회의를 통해 상호 의사소통과 협력을 강화하고 있습니다. 앞으로도 담당 임원의 전문성 강화를 위해 정기적인 교육을 실시할 계획입니다.

정보보호위원회

개인정보보호 운영조직

운영 방식

구분	운영 주기	역할
정보보호위원회	매주	ㆍ정보보호 관련 주요 안건 심의의결
개인정보보호위원회	월 1회	ㆍ개인정보 관련 심의

역할 및 책임

구분	역할 및 권한
대표이사	ㆍ정보보호위원장
CISO(최고정보보호책임자)	ㆍ정보보안 전략 수립, 리스크 관리, 사이버 공격 대응 및 조직 자산 보호
CPO(개인정보보호책임자)	ㆍ개인정보 보호 정책 수립, 규제 준수 감독, 데이터 사용의 투명성 및 책임성 확보
개인정보취급자	ㆍ개인정보 취급 부서의 임원
개인정보보호담당자	ㆍ개인정보 보호
기술보안관리책임자	ㆍ기술적 개인정보보호
물리적 보안 담당자	ㆍ출입, CCTV 등 관리
개인정보 부서별 책임자	ㆍ개인정보 부서의 임원
개인정보보호 수탁업체	ㆍ개인정보처리시스템 운영 또는 업무 대행

Ⅱ. 전략_위험 및 기회 식별

한미사이언스는 IRO 분석 결과를 바탕으로 개인정보보호 등 정보보안과 관련된 이해관계자 및 지속가능성에 중대한 영향을 미칠 수 있는 주요 위험과 기회를 식별하고 있으며, 이를 바탕으로 효과적인 대응 방안을 마련하기 위해 지속적으로 노력하고 있습니다.

RISK
보안사고로 인한 고객정보 유출, 시스템 사용 불가 등으로 인한 비즈니스 운영 차질
영향의 특성	잠재적 영향
영향을 받는 이해관계자	고객, 임직원, 주주 및 투자자
사회 및 환경에 미치는 영향의 심각도	규모 ■■■■□ 범위 ■■■■□ 회복가능성 ■■■□□
예상되는 재무 영향	발생가능성 ■■■□□ 규모 ■■■□□
기업에 미치는 영향	ㆍ개인정보보호법 위반에 따른 과징금 또는 과태료 부과 ㆍ시스템 마비로 인한 임직원 업무 생산성 저하 및 비즈니스 손실 ㆍ이해관계자의 신뢰도 저하
기업의 대응 방식	ㆍ국제표준 정보보호 경영체계 수립 ㆍ개인정보 유출 대응 체계 및 예방 중심의 통합 보호 시스템 구축 ㆍ개인정보 처리자 대상 개인정보 인식 제고 교육 ㆍ개인정보 유출 사고 및 보안사고 예방을 위한 보안인식 제고 캠페인

OPPORTUNITY
정보보안·개인정보 보호정책 강화 및 관리체계 인증을 통한 안전성 제고
영향의 특성	실제적 영향
영향을 받는 이해관계자	고객
사회 및 환경에 미치는 영향의 심각도	규모 ■■■■□ 범위 ■■■□□
예상되는 재무 영향	발생가능성 ■■■□□ 규모 ■■■□□
기업에 미치는 영향	ㆍ법적 리스크 최소화를 통한 고객 신뢰도 향상 ㆍ비즈니스 연속성 확보 ㆍ법적 분쟁으로 인한 재정적 손실 방지

Ⅱ. 전략_위험 및 기회 대응 방안

국제표준 정보보호 경영체제 수립

정보보호 규정/지침, 개인정보처리방침 강화	한미그룹 정보보호선언문

한미사이언스는 정보보호에 대한 경영진의 확고한 의지를 토대로, 회사가 생성·처리하는 모든 데이터의 기밀성, 무결성, 가용성을 보장하기 위해 정보보안 규정 5종 및 지침 8종을 2025년 전면 제·개정하였습니다. 특히 전사 업무 환경이 Microsoft 365(M365) 기반으로 전환됨에 따라, 클라우드 환경 및 협업 시스템 특성을 반영하여 접근통제, 계정 관리, 데이터 보호, 로그 관리 등 정보보호 전반에 대한 기준을 M365 환경에 맞게 재정비하였습니다. 해당 정보보호 규정 및 지침을 비롯하여 개인정보처리방침, 개인정보 내부관리계획 등 정보보호 관련 모든 문서는 개인정보보호법 개정사항과 사내 운영 현황을 반영하여 수립·운영되고 있으며, 관련 법령 및 환경 변화에 따라 주기적인 검토와 개정을 통해 최신성을 유지하고 있습니다. 또한 한미사이언스는 개인정보보호법 변경 사항 및 개인정보처리방침 내 변경 필요 사안 발생 시마다 개인정보처리방침을 지속적으로 현행화하고 있으며, 임직원 및 정보주체가 이를 용이하게 확인할 수 있도록 메인 홈페이지를 통해 공개하고 있습니다. 한미사이언스의 개인정보처리방침과 정보보호에 대한 경영진의 의지를 확인할 수 있는 정보보호 선언문은 위 링크를 통해 확인하실 수 있습니다.

개인정보 유출 대응 체계 및 예방 중심의 통합 보호 시스템 구축

한미사이언스는 개인정보 보호를 위해 철저한 사전 및 사후 조치를 포함한 다양한 활동을 수행하고 있으며, 고객 개인정보 유출 가능성에 대비해 관련 규정과 지침을 수립하고 사고 발생 시 신속히 대응할 체계를 갖추는 동시에 개인정보보호 배상책임보험에도 가입하여 추가적인 리스크에 대비하고 있습니다. 또한 개인정보 유출 사고 발생 시 피해 확산 방지와 신속한 복구를 위해 개인정보 유출 대응 매뉴얼을 마련하고 있으며, 이 매뉴얼에 따라 사고 발생 시 즉각적인 원인 파악, 추가 유출 방지 조치, 피해자 통지 및 관계기관 신고를 진행합니다. 특히 개인정보보호 책임자는 사고 사실을 CEO에게 보고하고, 개인정보 유출 신속대응팀을 구성하여 체계적으로 대응하며, 피해자 구제와 재발 방지 대책도 함께 마련합니다. 이와 함께 개인정보보호위원회와 협력하여 사고 심각도에 따른 대응조치 및 처벌 등급을 심의·결정하며, 침해사고 예방을 위한 정기적 보안 교육과 내부 관리 계획을 시행하고 있습니다.더불어 고객 개인정보를 처리하고 결제 기능을 제공하는 주요 서비스 플랫폼은 주기적으로 모의해킹을 통해 점검하고 있으며, 취약점이 도출되면 즉시 조치하여 취약한 부분을 개선하고 있습니다. 아울러, 한미사이언스에서 외부에 공개되는 모든 웹사이트는 오픈 전 사전 보안성 검토 절차를 거쳐 모의해킹을 실시하고, 발견된 모든 취약점을 100% 조치한 후 이행점검까지 완료하며, 최종적으로 CISO의 확인을 받아 오픈하는 체계를 운영하고 있습니다.

개인정보보호 침해사고 신고/대응 프로세스

개인정보 처리자 대상 개인정보 인식 제고 교육

한미그룹은 2025년도 개정된 개인정보보호법을 반영하여 전사 임직원을 대상으로 개인정보보호 인식 제고 교육을 실시했습니다. 특히 개인정보를 처리하는 임직원들이 더욱 주의 깊게 학습할 수 있도록 실무 중심으로 제작했습니다.
교육 내용은 개인정보 처리 과정에서 자주 발생하는 실수와 개인정보 수집 시 빈번하게 위반되는 사항을 중심으로 구성되었으며, 개인정보가 유출되는 상황이 발생했을 때 신속하고 적절하게 대응하는 방법을 현실적으로 안내했습니다. 또한 개인정보를 위탁하거나 공유할 때 무분별한 처리를 방지하기 위해, 개인정보처리자에게 법적·윤리적 책임을 명확히 인식시키고 안전한 처리 절차를 철저히 준수하도록 교육했습니다.
이를 통해 임직원들이 안전한 개인정보 관리 문화를 정착하고 법적 리스크를 예방할 수 있도록 지원했습니다. 앞으로도 한미약품은 개인정보보호 관련 실무 역량 강화를 위한 맞춤형 교육을 지속적으로 확대해 나갈 계획입니다.

한미그룹 개인정보 인식 교육 자료

개인정보 유출 사고 및 보안사고 예방을 위한 보안인식 제고 캠페인

한미사이언스는 임직원의 정보보호 인식을 강화하고 안전한 업무 환경을 조성하기 위해 다양한 참여형 캠페인을 진행하고 있습니다. 특히 2025년에는 크리덴셜 스터핑(Credential Stuffing) 공격 방지를 위한 패스워드 예방 캠페인을 실시하여, 임직원들이 안전한 비밀번호 관리 습관을 실천할 수 있도록 안내했습니다. 또한 업무 과정에서 자주 접하는 개인정보 및 정보보호 규정을 자연스럽게 확인할 수 있도록 퀴즈 형식의 콘텐츠를 운영하여, 임직원들이 규정을 직접 읽고 이해하는 기회를 제공했습니다. 본 캠페인은 실제 보안 사고 사례와 예방 방법을 중심으로 구성되어 임직원들의 경각심을 높이고, 일상 업무에서 보안 수칙을 자연스럽게 적용할 수 있도록 지원했습니다. 아울러 휴가철이나 명절 등 보안 사고 발생 가능성이 높아지는 시기에는, 외부 접속 주의사항·기기 분실 방지·개인정보 취급 유의사항 등 정보보호 실전 수칙을 담은 포스터를 제작·배포하여 임직원들이 일상 속에서 보안을 다시 한 번 인식할 수 있도록 하고 있습니다. 앞으로도 한미사이언스는 임직원 참여 중심의 정보보호 문화를 지속적으로 발전시켜 나갈 계획입니다.

2025년 정보보안 캠페인
외부 비인가 AI 서비스 선제적 차단 안내	개인정보보호의 날 패스워드 변경 캠페인 진행
통신사 해킹 사고 관련 보안 유의사항 안내	개인정보 유출 방지 개인정보보호 교육 전사 시행
MS SharePoint 해킹 사고 관련 보안 안내	정보보호의 날 퀴즈 이벤트 캠페인
Windows 11 업그레이드 시행 안내	악성 메일 대응 모의훈련 실시
저장매체 안전성 확보 조치(디가우징) 시행	정보 유출 방지 포스터 제작 및 배포

개인정보보호의 날 패스워드 변경 캠페인	정보 유출 방지 포스터	정보 유출 방지 포스터

Ⅲ. 리스크 관리

위험 및 기회 모니터링	시기	대상	방법	관리감독
개인정보 유출 사고 예방	수시	임직원	· 보안 사고 예방을 위한 임직원 보안 인식 제고 교육 및 캠페인 운영 · 내부 보안 정책 준수 여부 점검	정보전략그룹
퇴사자 정보 유출 예방		퇴사 예정자	· 사직서 접수 즉시 계정 차단 · VPN 및 업무 시스템 등 모든 접근 권한 회수
타사 해킹사례 증가에 따른 유사 사고 발생 위험		개인정보 취급 전 시스템	· 타사 해킹사례 다수 발생에 따라 상시 모니터링 강화 · 개인정보를 처리·보관·전송하는 모든 사이트 대상 취약점 점검 수행 · 주요 시스템 정기 모의해킹 및 취약점 조치 관리
M365 도입 후 추가 보안 리스크 발생		임직원	· Entra ID 기반 M365 보안 기능 단계적 도입 · 접근통제, 계정 보안 정책 지속적 고도화
법·규제 변경에 따른 보안 대응 필요성		전사	· 법·규제 변경 사항 모니터링 · 업무 영향도 검토 및 내부 규정 개정

Ⅳ. 지표 및 목표

핵심 지표	2025 목표	2025년 성과	달성여부	2026년 목표	중장기 계획(2030)
국제 표준 정보보호 경영체제 수립	-	-	-	ISO 27001 인증 취득	ISO 27001 지속 인증
정보보안 임직원 인식 제고 진행	정보보안 임직원 인식 제고 진행	임직원 정보보호 인식 성숙도 향상	달성	개인정보보호교육, 피싱메일 모의훈련, 정보보호 캠페인 실시	임직원 직무와 직급에 맞는 정보보안 교육 설계
(개인) 정보 유출 사고 방지	개인정보 유출 또는 보안침해 관련 무사고 달성	개인정보 유출 또는 보안 침해 사고 0건	달성	개인정보 유출 또는 보안침해 관련 무사고 달성	개인정보 유출 또는 보안침해 관련 무사고 달성

개인정보보호 등 정보 보안