민간 클라우드 보안대책 소요예산 산출서
| 항목 | 내용 |
|---|---|
| 작성일 | 2026. 02. 09. |
| 작성부서 | 글로벌도시정책관 다문화담당관 |
| 대상시스템 | 한울타리/MySeoul |
| 클라우드 사업자 | 네이버 (Gov-NCloud) |
| 점검결과 (미흡항목) | 8개 |
| 개인정보 보유 | 13,000명 |
| 보안지수 | 61.4점 |
소요예산 산출 요약
섹션 제목: “소요예산 산출 요약”(단위: 천원)
| 주요 지적사항 | 대응방안 | 산출내역 | 소요예산 계(A+B) | 기존예산(A) | 추가필요예산(B) |
|---|---|---|---|---|---|
| 1. 보안성 검토 미이행 | CSAP 인증 클라우드 사용으로 보안성 검토 갈음 여부 상위기관 확인 | (비예산) 행정절차 | - | - | - |
| 2. 침해사고 대응절차 미비 | KISA 안내서 참고하여 대응 절차서 작성, 연 1회 모의훈련 | (비예산) 내부 인력으로 자체 작성 | - | - | - |
| 3. 취약점 점검 미실시 | 연 1회 종합 취약점 진단 (서버·네트워크·DB·웹·모바일 전 영역) | 옵션A: 전문업체 종합진단 12,000 / 옵션B: 자체+외부 병행 5,000 / 옵션C: 자체점검 400 | 400~12,000 | 0 | 400~12,000 |
| 4. 악성코드 방지 미운영 | NCloud File Safer 서비스 도입 + API 연동 개발 | Hash Filter 월 100건(8원/건) + File Filter 월 100건(10만원/만건 올림) ≒ 월 101천원 (서비스 비용만, 연동 개발비 별도 협의) | 1,210 | 0 | 1,210 |
| 5. 개인정보 파일 미등록 | 개인정보보호위원회 업무지원시스템 등록 | (비예산) 행정절차 | - | - | - |
| 6. 접근권한 통제 관리대장 미비 | 접근권한 관리대장 작성, 분기별 점검 | (비예산) 내부 인력으로 자체 작성 | - | - | - |
| 7. 접속기록 보관 미확인 | CLA 수집 대상 확대(3대) + Object Storage 장기보관(1년) | CLA 보관 14GB×800원 + OBS 저장 90GB×28원 ≒ 월 13,720원 (최대치) | 200 | 0 | 200 |
| 8. Webform 개인정보 암호화 미적용 | Drupal Webform 암호화 모듈 개발 (AES-256, KMS 연동) | 응용SW개발자 1인×10일, 제경비 144%, 기술료 20%, VAT 포함 | 12,200 | 0 | 12,200 |
| 합계 | 14,010~25,610 | 0 | 14,010~25,610 |
확정 금액: 암호화 개발 12,200천원 + File Safer 1,210천원 + 접속기록 보관 200천원 옵션별 변동: 취약점 점검 400~12,000천원 (기관 판단) 비예산 항목: 보안성 검토(1), 침해사고 대응절차(2), 개인정보 파일 등록(5), 접근권한 통제(6) → 행정절차/자체 작성으로 예산 불요
보안점검 결과 요약
섹션 제목: “보안점검 결과 요약”양호 항목 (9개)
섹션 제목: “양호 항목 (9개)”관리적 보안
- 책임자 지정
- 클라우드 인증 (CSAP)
- SLA 서비스수준협약
- 해킹사고 및 장애 발생 이력 없음
- 보안관제
기술적 보안
- 보안장비 운영 (방화벽, DDoS, VPN, IPS, WAF 5종 완비)
- 계정 및 권한관리
- 최신패치
개인정보보호
- 업무 위탁
미흡 항목 (8개)
섹션 제목: “미흡 항목 (8개)”관리적 보안 (2개)
- 보안성 검토
- 침해사고 대응절차
기술적 보안 (2개) 3. 취약점 점검 4. 악성코드 방지
개인정보보호 (4개) 5. 개인정보 파일 등록 6. 접근권한 통제 7. 접속기록 8. 암호화
미흡 항목별 상세 대응방안 및 산출내역
섹션 제목: “미흡 항목별 상세 대응방안 및 산출내역”1. 보안성 검토 (관리적 보안)
섹션 제목: “1. 보안성 검토 (관리적 보안)”- 공공기관이 정보시스템을 도입·운영할 때는 국가정보원의 “보안성 검토”를 받아야 함
- 한울타리는 이 보안성 검토를 별도로 받은 이력이 없음
대응방안
섹션 제목: “대응방안”- 한울타리가 사용 중인 네이버 Gov-NCloud는 이미 CSAP(클라우드 보안 인증) 을 획득한 클라우드임
- CSAP란 과학기술정보통신부와 KISA(한국인터넷진흥원)가 클라우드 서비스의 보안 수준을 검증하여 부여하는 국가 공인 인증
- 쉽게 말해, “이 클라우드는 국가가 보안을 검증했으니 공공기관이 써도 됩니다”라는 인증서
- 공공기관이 CSAP 인증을 받은 클라우드를 사용하는 경우, 별도의 보안성 검토를 생략(갈음)할 수 있음 (「클라우드컴퓨팅 발전법」 및 관련 지침 근거)
- 따라서 서울시 등 상위기관에 “CSAP 인증 클라우드 사용으로 보안성 검토 갈음이 가능한지” 확인하여 절차를 완료하면 됨
- 만약 상위기관에서 별도 검토가 필요하다고 회신할 경우, 국가정보원 보안성 검토를 신청 (비용 없음, 행정절차)
Gov-NCloud CSAP 인증 근거
섹션 제목: “Gov-NCloud CSAP 인증 근거”- 네이버 클라우드 인증 현황: https://www.ncloud.com/certificate#CSAP
- Gov-NCloud(공공기관용) 인증 현황: https://www.gov-ncloud.com/v2/certificate#CSAP
- 인증 범위: IaaS, SaaS, DaaS (14개 분야, 117개 통제항목, 217개 세부 점검항목 전체 준수)
소요예산
섹션 제목: “소요예산”- 비예산 (행정절차, 상위기관에 확인 공문 발송으로 처리)
2. 침해사고 대응절차 (관리적 보안)
섹션 제목: “2. 침해사고 대응절차 (관리적 보안)”- 해킹, 악성코드 감염 등 보안 사고가 발생했을 때 어떤 순서로 누가 무엇을 하는지 정리한 정식 절차서가 없음
- 현재는 긴급대응체계(30분→1시간→2시간 에스컬레이션)만 운영 중이나, 공식 문서화된 절차서 형태가 아님
대응방안
섹션 제목: “대응방안”- 침해사고 대응 절차서를 작성하여 상위기관에 제출
- KISA(한국인터넷진흥원)에서 제공하는 공식 안내서를 참고하여 한울타리 시스템에 맞게 작성
- 연 1회 모의훈련 실시
절차서에 포함해야 할 주요 내용
섹션 제목: “절차서에 포함해야 할 주요 내용”| 순서 | 단계 | 주요 내용 |
|---|---|---|
| 1 | 탐지·신고 | 이상 징후를 발견하면 누구에게 어떻게 신고하는지 (연락망, 신고 방법) |
| 2 | 확인·분석 | 신고 접수 후 실제 사고인지 확인하고, 원인과 피해 범위를 파악 |
| 3 | 차단·긴급조치 | 피해가 퍼지지 않도록 긴급 차단 (서버 격리, 계정 잠금 등) |
| 4 | 복구 | 시스템을 정상 상태로 복구하고, 서비스 재개 |
| 5 | 재발방지 | 사고 원인을 제거하고, 같은 일이 반복되지 않도록 대책 수립·보고 |
참고 자료 (절차서 작성 시 활용)
섹션 제목: “참고 자료 (절차서 작성 시 활용)”- KISA 「정보통신분야 침해사고 대응 안내서」(2025년 개정판): 대응 절차, 유형별 분석 방법, 보고서 양식 예시 포함
소요예산
섹션 제목: “소요예산”- 비예산 (위 안내서를 참고하여 내부 인력으로 자체 작성 가능)
3. 취약점 점검 (기술적 보안)
섹션 제목: “3. 취약점 점검 (기술적 보안)”- NCloud Web Security Checker(웹 자동 진단 도구, 1회 약 40만원)를 매년 실시해옴
- 그러나 이 도구는 웹사이트 취약점만 자동 스캔하는 것으로, 국가정보보안기본지침이 요구하는 점검 범위를 충족하지 못함
- 지침에서 요구하는 취약점 점검은 서버, 네트워크, 데이터베이스, 웹 등 시스템 전체를 대상으로 체계적으로 수행하고 결과보고서·조치계획까지 갖추는 것
Web Security Checker만으로 부족한 이유
| 점검 영역 | Web Security Checker | 지침 요구사항 |
|---|---|---|
| 웹사이트 취약점 | 일부 자동 스캔 | 필요 |
| 서버 운영체제 보안설정 (약 70~80개 항목) | 미점검 | 필요 |
| 네트워크·방화벽 설정 (약 40개 항목) | 미점검 | 필요 |
| 데이터베이스 보안 (약 24개 항목) | 미점검 | 필요 |
| 점검 결과보고서 + 조치계획 문서화 | 없음 | 필요 |
대응방안
섹션 제목: “대응방안”아래 3가지 옵션 중 기관에서 판단하여 선택:
[옵션 A] 전문 보안업체에 종합 취약점 진단 용역 의뢰 (권장)
- 과학기술정보통신부 지정 정보보호 전문서비스 기업에 의뢰
- 서버·네트워크·DB·웹·모바일 전 영역 정밀 진단
- 결과보고서 + 조치방안 + 재점검까지 포함
- 예상 비용: 약 10,000~20,000천원 (시스템 규모·점검 범위에 따라 변동)
- 2천만원 이하 시 수의계약 가능 (2~3개 업체 견적 비교)
- 참고: 정보보호 전문서비스 기업 지정제도 안내 및 지정기업 리스트
[옵션 B] 자체 점검 + 웹 진단만 외부 의뢰 (비용 절감)
- 서버·네트워크·DB: KISA 「기술적 취약점 분석·평가 방법 상세가이드」의 체크리스트를 활용하여 운영사(스컹크웍스)가 자체 점검 수행 및 결과보고서 작성
- 웹·모바일: 기존 Web Security Checker 유지 + 필요 시 외부 업체 수동 진단 보완
- 예상 비용: 약 3,000~5,000천원 (웹/모바일 외부 진단 부분만)
[옵션 C] 전체 자체 점검 (최소 비용)
- KISA 가이드 체크리스트에 따라 서버·네트워크·DB·웹 전 영역을 운영사가 자체 점검
- 기존 Web Security Checker도 병행 활용
- 점검 결과보고서 + 조치계획 문서화 필수 (이 부분이 없으면 다시 미흡 판정)
- 예상 비용: 400천원 (Web Security Checker 비용만, 나머지는 운영사 인력으로 수행)
산출내역 (옵션 A 기준)
섹션 제목: “산출내역 (옵션 A 기준)”진단 대상 (한울타리/MySeoul 전체)
| 구분 | 대상 | 수량 |
|---|---|---|
| 서버 | 웹/앱 서버, DB 서버, 레거시 서버 | 3대 |
| 웹사이트 | 한울타리 관리자(CMS), MySeoul 이용자 사이트 | 2개 |
| 모바일 앱 | MySeoul 앱 (Android, iOS) | 2개 |
| 네트워크·보안장비 | 방화벽, IPS, WAF 등 Gov-NCloud 보안장비 | 5종 |
| 데이터베이스 | PostgreSQL | 1식 |
항목별 비용 산출 (옵션 A)
| 항목 | 점검 내용 | 금액(천원) | 산출 근거 |
|---|---|---|---|
| 서버 취약점 점검 | 서버 3대의 운영체제 보안설정, 계정관리, 권한설정 등 약 70~80개 항목 점검 | 3,000 | 서버 3대 x 1,000천원/대 |
| 웹 취약점 진단 | 웹사이트 2개의 해킹 가능 약점 점검 (자동 스캔 + 전문가 수동 검증) | 4,000 | 웹사이트 2개 x 2,000천원/개 |
| 모바일 앱 보안 진단 | MySeoul 앱의 개인정보 유출, 위·변조 등 보안 문제 점검 | 3,000 | 앱 2개 x 1,500천원/앱 |
| 네트워크·DB 점검 | 방화벽 정책, DB 접근제어 등 설정 적정성 검토 | 2,000 | 1식 |
| 결과보고서·조치지원 | 종합 결과보고서 작성, 조치방안 제시, 이행점검 | 포함 | |
| 합계 | 12,000 |
소요예산
섹션 제목: “소요예산”| 옵션 | 예상 비용(천원) | 비고 |
|---|---|---|
| A (전문업체 종합 진단) | 12,000 | 권장, 수의계약 가능 |
| B (자체+외부 병행) | 5,000 | 비용 절감 |
| C (전체 자체 점검) | 400 | 최소 비용, Web Security Checker만 |
참고: 어떤 옵션을 선택하든 “점검 결과보고서 + 조치계획”을 문서로 남기는 것이 핵심. 이 문서가 없으면 점검을 수행했더라도 다음 보안점검에서 다시 미흡 판정을 받을 수 있음. 기존 Web Security Checker(연 약 400천원)는 어떤 옵션에서든 유지 권장.
4. 악성코드 방지 (기술적 보안)
섹션 제목: “4. 악성코드 방지 (기술적 보안)”- 한울타리 시스템에 업로드되는 파일에 대한 악성코드(바이러스) 검사 체계가 없음
- 관리자나 이용자가 올리는 첨부파일이 악성코드에 감염되어 있어도 그대로 저장·배포되는 상태
- 쉽게 말해, “파일을 올릴 때 바이러스 검사를 하지 않는다”는 것
한울타리에서 파일이 업로드되는 경로
섹션 제목: “한울타리에서 파일이 업로드되는 경로”| 업로드 경로 | 누가 올리는가 | 월 예상 건수 |
|---|---|---|
| 공지사항·정보·프로그램 등 게시글 첨부파일 | 관리자 (25개 자치구 센터 담당자) | 약 50~80건 |
| 게시글 본문 속 이미지·미디어 삽입 | 관리자 | 약 20~30건 |
| 연락처 폼 첨부파일 | 외부 이용자 | 약 5~10건 |
| 합계 | 약 75~120건 |
참고: Webform(축구교실 신청, 연락처 등)에는 현재 파일 업로드 필드가 없어 해당 경로의 파일 업로드는 없음. 향후 Webform에 파일 첨부 기능이 추가되더라도 사용량은 크게 늘지 않을 것으로 예상.
대응방안
섹션 제목: “대응방안”- NCloud File Safer 서비스 도입
- File Safer는 네이버 메일·블로그·카페 등에서 이미 사용 중인 검증된 악성코드 탐지 서비스
- 파일이 업로드될 때 자동으로 악성코드 감염 여부를 검사하고, 감염 파일은 차단
- 검사 방식 2단계:
- Hash Filter (1차 검사): 파일의 “디지털 지문”(해시값)을 네이버의 악성코드 DB와 대조. 빠르고 저렴 (건당 8원)
- File Filter (2차 검사): Hash Filter에서 확인되지 않은 파일은 파일 자체를 전송하여 정밀 분석. 신종·변종 악성코드까지 탐지 가능
- 검사 대상: 게시판 첨부파일, 본문 삽입 이미지/문서, 연락처 폼 첨부파일 등 모든 업로드 파일
소요예산
섹션 제목: “소요예산”- 약 1,210천원/년 (종량제, VAT 별도)
산출내역
섹션 제목: “산출내역”NCloud File Safer 과금 구조 (VAT 별도)
| 구분 | 월 검사 건수 | 요금 |
|---|---|---|
| Hash Filter | 300,000건 이하 | 8원/건 |
| Hash Filter | 300,000건 초과 ~ 1,000,000건 | 4원/건 |
| Hash Filter | 1,000,000건 초과 | 3원/건 |
| File Filter | 100,000건 이하 | 100,000원/10,000건 |
| File Filter | 100,000건 초과 | 80,000원/10,000건 |
File Filter는 이용량이 1만건 단위로 올림 처리됨 (1건만 써도 1만건분 과금)
한울타리 예상 사용량 및 비용 (월)
| 항목 | 예상 사용량 | 단가 | 월 비용 |
|---|---|---|---|
| Hash Filter | 약 100건/월 | 8원/건 | 800원 |
| File Filter | 약 100건/월 → 1만건 올림 | 100,000원/10,000건 | 100,000원 |
| 월 합계 | 약 100,800원 | ||
| 연간 합계 | 약 1,209,600원 ≒ 1,210천원 |
**비용의 대부분은 File Filter 최소 과금(월 10만원)**입니다. Hash Filter만 사용할 경우 연간 1만원 미만이지만, File Filter를 병행해야 신종·변종 악성코드까지 대응할 수 있어 함께 적용합니다.
참고 링크
섹션 제목: “참고 링크”- NCloud File Safer 서비스 소개 및 요금: https://www.gov-ncloud.com/v2/product/security/fileSafer
- File Safer 사용 가이드: https://guide-gov.ncloud-docs.com/docs/filesafer-overview
참고: 위 요금은 일반 NCloud 공개 가격 기준이며, Gov-NCloud(공공기관용)는 별도 협의 가격이 적용될 수 있음. 실제 도입 시 Gov-NCloud 영업팀에 공공기관 가격을 확인하는 것을 권장.
5. 개인정보 파일 등록 (개인정보보호)
섹션 제목: “5. 개인정보 파일 등록 (개인정보보호)”- 한울타리는 약 13,000명의 개인정보(이름, 연락처, 주소 등)를 보유·관리하고 있음
- 개인정보보호법에 따르면, 공공기관이 개인정보를 수집·보유할 때는 개인정보보호위원회의 업무지원시스템에 “개인정보 파일”을 등록해야 함
- 쉽게 말해, “우리 기관이 이런 개인정보를 이런 목적으로 보유하고 있습니다”라고 국가 시스템에 신고하는 절차
- 이 등록을 하지 않으면 개인정보보호법 위반에 해당할 수 있음
- 현재 한울타리의 개인정보 파일이 이 시스템에 등록되어 있지 않은 상태
대응방안
섹션 제목: “대응방안”- 서울시 등 담당기관에서 개인정보 파일 등록 절차 진행
- 개인정보보호위원회 업무지원시스템(https://intranet.pipc.go.kr)에 접속하여 개인정보 파일 등록
- 등록 시 기재할 주요 내용:
-
개인정보 파일의 명칭 (예: “한울타리 회원정보”, “MySeoul 이용자정보”)
-
수집하는 개인정보 항목:
구분 수집 항목 비고 회원 정보 아이디, 이메일, 닉네임, 출신국 회원가입 시 수집 프로그램 신청 (Webform) 신청자 성명, 연락처, 주소, 자녀 이름·성별·생년월일 프로그램 신청 시 수집 주민등록번호 등 고유식별정보는 수집하지 않음
-
수집 목적 (다문화가족 지원사업 운영, 프로그램 안내 등)
-
보유 기간 및 보유 근거
-
개인정보 처리 위탁 현황 (운영사: 스컹크웍스스튜디오)
-
- 등록 완료 후 개인정보 파일대장을 작성하여 보관
참고: 개인정보 파일 등록 근거
섹션 제목: “참고: 개인정보 파일 등록 근거”- 개인정보보호법 제32조 (개인정보파일의 등록 및 공개): 공공기관의 장은 개인정보파일을 운용하는 경우 개인정보보호위원회에 등록하여야 함
- 등록 기한: 개인정보파일 운용 후 60일 이내 등록 의무
소요예산
섹션 제목: “소요예산”- 비예산 (담당기관에서 업무지원시스템에 직접 등록하는 행정절차)
6. 접근권한 통제 (개인정보보호)
섹션 제목: “6. 접근권한 통제 (개인정보보호)”- 한울타리 시스템에는 여러 종류의 관리자 계정이 있으며, 각 계정마다 접근할 수 있는 범위(권한)가 다르게 설정되어 있음
- 로그인 시 2단계 인증(MFA) 적용, 담당자 변경 시 권한도 변경 수행 중
- 그러나 “누구에게 언제 어떤 권한을 부여/변경/삭제했는지” 기록하는 관리대장이 없음
- 쉽게 말해, 권한 관리는 하고 있지만 그 이력을 문서로 남기지 않고 있다는 것
한울타리 관리자 계정 권한 구조 (현재)
섹션 제목: “한울타리 관리자 계정 권한 구조 (현재)”| 구분 | 역할 | 비고 |
|---|---|---|
| 최상위 | 최고관리자 | 시스템 전체 관리 권한 |
| 기관 관리 | 서울시담당자, 서울시가족센터, 글로벌/외국인센터 | 소속 기관 콘텐츠 관리 |
| 센터 관리 | 자치구센터 (25개구), 취업중점기관, 여성인력센터 | 소속 센터 콘텐츠 관리 |
| 업무 담당 | 번역담당자, 번역감수자, 취업 상담사 | 특정 업무 기능만 접근 |
| 일반 | 자조모임, 일반 회원 | 개인정보 접근 불가 |
대응방안
섹션 제목: “대응방안”1) 접근권한 관리대장 작성
아래와 같은 형식의 관리대장을 작성하여, 권한이 부여·변경·삭제될 때마다 기록:
| 순번 | 일자 | 성명 | 소속 | 계정(ID) | 부여 권한 | 변경 내용 | 사유 | 처리자 |
|---|---|---|---|---|---|---|---|---|
| 1 | 2026-02-01 | 홍길동 | OO구 가족센터 | hong123 | 자치구센터 | 신규 부여 | 신임 담당자 배정 | 김관리 |
| 2 | 2026-03-15 | 이영희 | OO구 가족센터 | lee456 | 자치구센터 | 권한 삭제 | 인사이동(퇴직) | 김관리 |
| 3 | 2026-04-01 | 박철수 | 서울시가족센터 | park789 | 서울시가족센터 → 최고관리자 | 권한 변경 | 업무 확대 | 김관리 |
이 관리대장은 3년간 보관 의무 (개인정보보호법 시행령 제48조의2)
2) 분기별 권한 점검 프로세스
| 순서 | 단계 | 주요 내용 |
|---|---|---|
| 1 | 전체 계정 목록 추출 | 현재 권한 현황 파악 |
| 2 | 불필요 계정 확인 | 퇴직·이동·장기 미사용 계정 식별 |
| 3 | 권한 삭제 또는 변경 | 조치 후 관리대장에 기록 |
| 4 | 점검 결과 보고서 작성 | 점검일, 조치내역 문서화 |
소요예산
섹션 제목: “소요예산”- 비예산 (엑셀 등으로 관리대장 작성, 내부 인력으로 운영)
7. 접속기록 보관 (개인정보보호)
섹션 제목: “7. 접속기록 보관 (개인정보보호)”- “접속기록”이란? 누가, 언제, 어디서 시스템에 접속했는지 자동으로 남기는 기록 (로그인 기록, 조회 기록 등)
- 개인정보보호법에 따르면, 개인정보를 다루는 시스템은 이 접속기록을 최소 1년 이상 보관해야 함
- 5만 명 이상 개인정보를 보유하거나, 고유식별정보·민감정보를 처리하는 경우: 2년 이상
- 한울타리는 약 13,000명 보유, 고유식별정보 미수집 → 1년 보관 의무 해당
- 현재 NCloud의 Cloud Log Analytics(CLA) 서비스를 이미 활성화하여 로그를 수집하고 있음
- 설정일: 2025년 9월 12일, Standard 요금제, 서버 1대(mcfamily-admin) 설정 완료
- 실측 사용량 (2025년 12월 기준): 로그 수집 0.053GB/월, 보관 0.06GB/월, 현재 무료 구간
- 그러나 CLA는 최근 30일분만 보관하고 그 이전 기록은 자동 삭제됨
- 따라서 법에서 요구하는 1년 보관을 위해서는 30일이 지난 로그를 별도 저장소에 옮겨 보관하는 설정이 추가로 필요
현재 CLA 설정 현황 (실측)
섹션 제목: “현재 CLA 설정 현황 (실측)”| 항목 | 현재 상태 |
|---|---|
| 설정 서버 | mcfamily-admin 1대 |
| Log 수집 Type | 8종 (SYSLOG, security_log, CDB_PostgreSQL 등) |
| 일별 로그 건수 | 약 6,300건/일 (안정적) |
| 30일 보관 용량 | 약 59MB |
| 월 수집량 | 약 53MB |
| 요금제 | Standard (로그 수집 무료, 보관 1GB 이하 무료) |
| 현재 요금 | 0원 (무료 구간) |
대응방안
섹션 제목: “대응방안”1) CLA 수집 대상 확대 (현재 서버 1대 → 전체 서버 3대)
- 현재 mcfamily-admin(웹/앱 서버)만 설정되어 있으므로, DB 서버와 레거시 서버도 추가 설정
- 수집 로그: 접속기록(로그인/로그아웃), 애플리케이션 로그(Drupal, Next.js), 시스템 로그(syslog), DB 접속 로그
2) Object Storage 연동으로 1년 이상 장기 보관
- CLA는 30일만 보관하므로, Object Storage(네이버 클라우드의 대용량 저장소)로 자동 내보내기 설정
- 쉽게 말해, “30일이 지난 로그를 자동으로 창고(Object Storage)에 옮겨서 1년 넘게 보관”하는 것
- CLA의 Export Log 기능을 사용하여 매일 자동 내보내기 설정
3) 접속기록 점검
- 분기별 1회 이상 접속기록 점검 (이상 접속 여부 확인)
- 점검 결과를 문서로 남겨 보관
소요예산
섹션 제목: “소요예산”- 약 200천원/년 (종량제, VAT 별도, 최대치 기준)
산출내역
섹션 제목: “산출내역”NCloud Cloud Log Analytics 과금 구조 (VAT 별도)
| 구분 | 과금 기준(월) | 과금 구간 | 요금 |
|---|---|---|---|
| Standard | 로그 보관 | 1GB 이하 | 무료 |
| Standard | 로그 보관 | 1GB 초과 | 800원/GB |
| Standard | 로그 수집 | 전 구간 | 무료 (한시적, 유료화 1개월 전 공지 예정) |
Standard 요금제는 일 최대 20GB까지 수집 가능. 한울타리는 일 수십MB 수준으로 충분.
NCloud Object Storage 과금 구조 (VAT 별도)
| 항목 | 단가 |
|---|---|
| 데이터 저장 (1PB 이하) | 28원/GB-월 |
| PUT/POST 요청 | 0.0045원/건 |
| GET 요청 | 0.0004원/건 |
| VPC → Object Storage 전송 | 0원 (내부 통신 무료) |
비용 산출 (최대치 기준)
서버 3대 전체 수집, 모든 로그 타입 상세 수준 최대로 설정한 경우를 가정합니다.
| 항목 | 산출 근거 | 월 비용 |
|---|---|---|
| CLA 로그 수집 | 무료 (한시적) | 0원 |
| CLA 로그 보관 | 일 500MB x 30일 = 15GB, (15GB - 1GB 무료) x 800원 | 11,200원 |
| Object Storage 저장 | 연간 누적 평균 약 90GB x 28원 | 2,520원 |
| Object Storage API 요청 | PUT 30건/월 x 0.0045원 | 약 0원 |
| 월 합계 | 약 13,720원 | |
| 연간 합계 | 13,720원 x 12개월 | 약 165천원 |
넉넉히 올림하여 약 200천원/년으로 산정
참고: 실측 기준 비용
현재 실측(서버 1대, 월 53MB 수집)에서는 CLA 무료 구간에 해당하여 0원입니다. 서버 3대로 확대하더라도 실측 기준으로는 월 수백MB 수준이므로 CLA 보관 요금도 무료 구간(1GB 이하)에 머무를 가능성이 높습니다. 위 산출은 모든 로그를 최대 상세 수준으로 수집하는 최대치(일 500MB) 가정입니다.
참고 링크
섹션 제목: “참고 링크”- NCloud Cloud Log Analytics 서비스 소개 및 요금: https://www.ncloud.com/product/management/cloudLogAnalytics
- NCloud Object Storage 서비스 소개 및 요금: https://www.ncloud.com/product/storage/objectStorage
참고: 위 요금은 NCloud 공개 가격 기준이며, Gov-NCloud(공공기관용)는 별도 협의 가격이 적용될 수 있음. CLA Standard 요금제의 로그 수집 요금은 현재 한시적으로 무료 제공 중이며, 유료화 시 1개월 전 별도 공지 예정.
8. 암호화 (개인정보보호)
섹션 제목: “8. 암호화 (개인정보보호)”한울타리 시스템의 개인정보 보호 상태를 정리하면 다음과 같습니다:
| 보호 영역 | 쉽게 말하면 | 현재 상태 |
|---|---|---|
| 통신 암호화 (SSL/TLS) | 이용자의 컴퓨터와 서버 사이를 오가는 데이터를 중간에서 엿볼 수 없게 처리 | 적용 완료 |
| 비밀번호 암호화 (해시) | 비밀번호를 원래 값을 알 수 없는 형태로 변환하여 저장 | 적용 완료 |
| 신청서 개인정보 암호화 | 프로그램 신청 시 입력한 이름·연락처·주소 등을 알아볼 수 없게 변환하여 저장 | 미적용 |
- 문제가 되는 부분은 세 번째 항목입니다
- 이용자가 프로그램 신청 등을 위해 입력한 이름, 연락처, 주소, 자녀 정보 등이 데이터베이스에 그대로 읽을 수 있는 형태(평문)로 저장되어 있음
- 개인정보보호법에 따르면 이러한 개인정보는 암호화하여 저장해야 함
- 쉽게 말해, 만약 데이터베이스가 해킹당하더라도 개인정보를 알아볼 수 없도록 “잠금 처리” 해두어야 하는데, 현재는 잠금 없이 그대로 보관되고 있는 상태
암호화 대상 (Webform 개인정보 필드)
섹션 제목: “암호화 대상 (Webform 개인정보 필드)”| 신청 양식 | 암호화 대상 필드 | 비고 |
|---|---|---|
| 프로그램 신청 (축구교실 등) | 신청자 성명, 연락처, 주소, 자녀 이름·성별·생년월일 | 이용자가 직접 입력 |
| 연락처(문의하기) | 이름, 이메일, 전화번호 | 외부 이용자 입력 |
대응방안
섹션 제목: “대응방안”신청서에 저장된 개인정보를 암호화하여 보관하는 기능을 개발해야 합니다.
1) 암호화 모듈 개발 (신규 개발)
- 신청서(Webform)에 개인정보가 입력되면, 저장 전에 자동으로 암호화(잠금) 처리
- 담당자가 신청 내역을 조회할 때는 자동으로 복호화(잠금 해제) 하여 정상적으로 표시
- 이용자나 담당자 입장에서는 사용 방법이 달라지지 않음 (내부적으로만 암호화 적용)
- 암호화 방식: AES-256 (정부·금융권에서 사용하는 국제 표준 암호화 방식)
- 암호화 열쇠(키) 관리: NCloud의 KMS(Key Management Service, 암호화 열쇠를 안전하게 보관·관리하는 서비스) 연동
2) 기존 데이터 암호화 전환
- 지금까지 쌓인 약 13,000명의 기존 신청 데이터를 일괄적으로 암호화 변환
- 변환 전후 데이터가 정확히 일치하는지 검증
- 만약의 문제에 대비한 되돌리기(롤백) 계획 수립
3) 테스트 및 배포
- 스테이징(테스트) 환경에서 충분히 검증 후 운영 환경에 적용
소요예산
섹션 제목: “소요예산”- 약 12,200천원 (1회성 개발 비용, VAT 포함)
산출내역
섹션 제목: “산출내역”직접인건비
| 기술자 등급 | 투입 인원 | 기간(일) | 일 단가(원) | 참여율 | 금액(원) |
|---|---|---|---|---|---|
| 응용SW개발자 | 1명 | 10일 | 378,250 | 100% | 3,782,500 |
- 암호화 모듈 설계·개발 (Webform 개인정보 자동 암호화/복호화, KMS 연동)
- 기존 데이터 암호화 전환 (13,000명 일괄 변환, 검증)
- 테스트 환경 검증 및 운영 환경 적용
| 직접인건비 합계 | 3,782,500원 |
|---|
직접경비
| 항목 | 세부 정보 | 금액 |
|---|---|---|
| (해당 없음) | 0원 |
| 직접경비 합계 | 0원 |
|---|
대가산정
| 항목 | 산출 기준 | 적용률 | 금액(원) |
|---|---|---|---|
| 직접인건비 | 3,782,500 | ||
| 직접경비 | 0 | ||
| 제경비 | 직접인건비 x (144~154%) | 144.0% | 5,446,800 |
| 기술료 | (직접인건비+제경비) x (20~40%) | 20.0% | 1,845,860 |
| 공급가액 | 직접인건비+직접경비+제경비+기술료 | 11,075,160 | |
| 부가세 | 10.0% | 1,107,516 | |
| 공급가액 + V.A.T | 12,182,676 |
≒ 약 12,200천원 (천원 단위 올림)
산출 근거
- 직접인건비: 통계법 제27조(통계의 공표)에 따라 「2026년 적용 SW기술자 평균임금 공표(조사년도 2025년)」의 SW기술자 평균임금을 기준으로 산정
- 제경비: 총 사업비를 기준으로 업체 이윤 및 사업 진행에 있어 필요한 자원관리/우편/통신/교통비 및 과업수행에 필요한 수행사 측의 제반 경비를 포함
- 기술료: 소프트웨어 개발사업자가 개발·보유한 기술의 사용 및 기술축적을 위한 대가로서 조사연구비, 기술개발비, 기술훈련비 등을 포함
- SW사업 대가산정 가이드(2025년 개정판) 기준: 제경비 = 직접인건비의 144%~154%, 기술료 = (직접인건비 + 제경비)의 20%~40%
- 암호화 모듈은 1회성 개발 비용이며, 개발 완료 후 유지보수는 기존 운영계약에 포함됩니다.
소요예산 총괄
섹션 제목: “소요예산 총괄”상세 요약표는 문서 상단 「소요예산 산출 요약」 참조
예산서상 세부사업명
섹션 제목: “예산서상 세부사업명”- 한울타리/MySeoul 운영 및 유지보수
기대 효과
섹션 제목: “기대 효과”1. 법적 준수성 확보
섹션 제목: “1. 법적 준수성 확보”- 개인정보보호법 준수 (접속기록 보관, 암호화)
- 국가정보보안기본지침 준수 (취약점 점검)
- 개인정보 13,000명 안전 관리
2. 보안 수준 향상
섹션 제목: “2. 보안 수준 향상”- 현재 보안지수: 61.4점 → 목표: 85점 이상
- 미흡 항목: 8개 → 0개
- 양호 항목: 9개 → 17개
3. 시스템 안정성 강화
섹션 제목: “3. 시스템 안정성 강화”- 악성코드 실시간 차단
- 침해사고 신속 대응 체계 구축
- 주기적 취약점 점검 및 개선
4. 사용자 신뢰 제고
섹션 제목: “4. 사용자 신뢰 제고”- 개인정보 암호화로 정보 보호 강화
- 투명한 접속기록 관리
- 체계적인 보안 관리 프로세스
검토 의견
섹션 제목: “검토 의견”필수 추진 항목 (우선순위 높음)
섹션 제목: “필수 추진 항목 (우선순위 높음)”- 접속기록 보관 (200천원/년) - 법적 의무사항, 개인정보보호법
- 암호화 (12,200천원) - 개인정보보호법 준수
- 취약점 점검 (400~12,000천원) - 국가정보보안기본지침 준수
- 악성코드 방지 (1,210천원/년) - 보안 기본 요건
비예산 항목 (즉시 추진 가능)
섹션 제목: “비예산 항목 (즉시 추진 가능)”- 침해사고 대응절차서 작성
- 접근권한 관리대장 작성
- 개인정보 파일 등록
- 보안성 검토 (서울시 협의)
참고 사항
섹션 제목: “참고 사항”- NCloud 종량제 서비스(File Safer 1,210천원 + CLA·Object Storage 200천원 = 연 1,410천원)는 실 사용량에 따라 변동
- NCloud 종량제 비용은 최대치 기준 산출이며, 실측 기준으로는 이보다 낮을 가능성 높음
- 취약점 점검은 연 1회 최소 기준이며, 옵션에 따라 400~12,000천원 변동
- 암호화 모듈은 1회성 개발 비용(12,200천원, VAT 포함)이며 이후 유지보수는 기존 운영계약에 포함