| 항목 | 내용 |
|---|
| 점검 대상 | 한울타리/마이서울 (다문화담당관) |
| 클라우드 서비스 | Gov-NCloud (네이버 클라우드 공공 존) |
| 점검일 | 2026. 02. 05. |
| 작성자 | 스컹크웍스스튜디오 장대환 매니저 |
| 문서 버전 | v1.0 |
| 원본 문서 | 서울시 제출용 민간 클라우드 컴퓨팅 서비스 보안점검 결과보고 (hwp) |
본 문서는 서울시 정보보안과에 제출한 보안점검 결과보고서의 근거 상세 정리본입니다.
원본 문서에는 양호/미흡 여부만 표시되어 있으며, 본 문서에 각 항목별 판단 근거와 조치 내용을 상세히 기록했습니다.
| 연번 | 점검내용 | 점검결과 | 비고 |
|---|
| 1 | (책임자 지정) 클라우드 서비스에 대한 전반적인 보안 관리를 위하여 책임자(총괄·담당)를 지정하고 있는가? | ✅ 양호 | 서울시가족센터 센터지원팀이 사업을 총괄 관리하고, 스컹크웍스 PM이 운영 책임을 맡고 있으며, 보안관리책임자를 별도로 지정하여 역할을 분담하고 있습니다. |
| 2 | (도입요건) 현재 사용 중인 클라우드 서비스가 국가정보원 인증(CSAP)을 받은 민간 클라우드 서비스인가? | ✅ 양호 | 네이버 클라우드의 공공기관 전용 서비스인 Gov-NCloud를 사용하고 있습니다. 이 서비스는 국가정보원의 CSAP(클라우드 보안인증) 심사를 통과한 인증 클라우드입니다. |
| 3 | (보안성 검토) 민간 클라우드 도입 시 국가정보원의 보안성 검토를 받고 결과가 취약한 부분을 개선 조치하여 운영하는가? | ⚠️ 미흡 | CSAP 인증 클라우드를 사용 중이나, 별도로 국정원에 보안성 검토를 신청한 이력이 없습니다. [확인필요] CSAP 인증으로 보안성 검토를 대체할 수 있는지 서울시 정보보안과에 확인이 필요합니다. |
| 4 | (서비스 수준협약) 이용기관과 클라우드 서비스 제공자 간 보안관리 사항을 포함하여 서비스 수준 협약(SLA)을 체결하였는가? | ✅ 양호 | 네이버 클라우드와 SLA(서비스 수준 협약) 를 체결했습니다. 장애 발생 시 긴급(2시간 응답/24시간 해결), 높음(4시간 응답/72시간 해결) 등 우선순위별 대응 시간이 명시되어 있습니다. |
| 5 | (최근 3년간 해킹여부) 이용중인 클라우드 서비스는 최근 3년내 해킹 사고 및 장애 발생 이력이 있었는가? | ✅ 양호 | 2023~2026년 운영 기간 중 해킹이나 보안 사고가 발생한 적이 없습니다. (보안 사고 0건) |
| 6 | (보안관제) 전문 보안 인력에 의해 상시적 보안 관제(24시간)를 실시하고 있는가? | ✅ 양호 | 네이버 클라우드의 CFL(통합 보안 관제) 서비스를 이용하고 있습니다. 전문 보안 인력이 24시간 365일 실시간으로 시스템을 모니터링하며 침입 시도를 차단합니다. |
| 7 | (침해사고 대응절차) 침해사고 발생 시, 신고→확인→차단→복구→재발방지 절차를 마련하고 운영하고 있는가? | ⚠️ 미흡 | 현재 긴급대응체계(30분→1시간→2시간 단계별 보고)는 있으나, 공식적인 5단계 침해사고 대응 절차서가 없습니다. [조치필요] “신고→확인→차단→복구→재발방지” 절차서 작성이 필요합니다. |
| 연번 | 점검내용 | 점검결과 | 비고 |
|---|
| 8 | (보안장비 운영) 안전한 클라우드 서비스 운영을 위해 정보보호 장비를 운영하고 있는가? | ✅ 양호 | 5종 보안장비를 운영하고 있습니다: 방화벽(외부 침입 차단), IPS(침입방지), Anti-DDoS(대량 공격 방어), VPN(암호화 접속), WAF(웹 해킹 방어). 모두 네이버 클라우드에서 제공하는 관리형 서비스입니다. |
| 9 | (취약점 점검) 국가정보보안기본지침에 의거 정보시스템의 취약점 점검계획을 수립하여 연 1회 이상 보안 취약점 점검을 실시하고, 취약점을 조치하고 있는가? | ⚠️ 미흡 | 아직 취약점 점검을 실시하지 않았습니다. [조치필요] 연 1회 이상 정기적으로 보안 취약점을 점검하는 계획을 수립해야 합니다. |
| 10 | (계정) 해킹 예방을 위해 계정정책 및 권한관리를 잘 운영하고 있는가? (1인 1계정, 관리자 계정 공유 금지, 유지보수 별도 계정 부여) | ✅ 양호 | 1인 1계정 원칙을 적용하고 있으며, 관리자 로그인 시 MFA(2단계 인증) 를 필수로 사용합니다. 계정 공유는 금지되어 있습니다. |
| 11 | (최신패치) 운영체제 및 응용 소프트웨어 등에 대해 최신 보안패치(업데이트)를 적용하고 있는가? | ✅ 양호 | 모든 소프트웨어를 최신 버전으로 유지하고 있습니다. (Drupal 10.5, PHP 8.3, Next.js 14.2 등 - 2026년 2월 기준) |
| 12 | (악성코드방지) 악성코드 침해 예방을 위해 백신 등 악성코드 대응시스템을 운영하고 있는가? | ⚠️ 미흡 | 현재 별도 백신 프로그램이나 악성코드 탐지 시스템을 운영하지 않습니다. [조치필요] 네이버 클라우드의 File Safer(파일 악성코드 검사) 서비스 도입을 검토해야 합니다. |
| 연번 | 점검내용 | 점검결과 | 비고 |
|---|
| 13 | (수집) 개인정보보호법에 의거하여 개인정보를 수집하고 개인정보 파일을 등록하여 안전하게 관리하고 있는가? | ⚠️ 미흡 | 개인정보보호위원회의 업무지원시스템에 개인정보 파일이 등록되지 않았습니다. [조치필요] 서울시 다문화담당관에서 개인정보 파일을 등록해야 합니다. (공공기관 의무사항) |
| 14 | (업무 위탁) 개인정보 처리업무를 위탁하는 경우 위수탁 계약서를 작성하여, 법적 준수 사항을 이행하고 있는가? | ✅ 양호 | 운영사(스컹크웍스)와 개인정보 처리 위수탁 계약을 체결했으며, 이 내용은 홈페이지 개인정보처리방침에 공개되어 있습니다. |
| 15 | (접근권한·접근통제) 개인정보처리시스템의 접근권한 및 접근통제 대책을 마련하여 운영하고 있지? | ⚠️ 미흡 | 관리자 2단계 인증(MFA) 적용, 담당자 변경 시 즉시 권한을 수정하고 있습니다. 단, 누가 언제 어떤 권한을 받았는지 기록하는 관리대장이 없습니다. [조치필요] 권한 부여/변경/삭제 내역을 기록하고 3년간 보관해야 합니다. |
| 16 | (접속기록) 개인정보처리시스템의 개인정보 접속기록을 안전하게 관리하고 있는지? (접속기록 보관·관리: 1년 이상, 고유식별정보·민감정보·5만명 이상의 개인정보: 2년 이상) | ⚠️ 미흡 | 현재 시스템 접속 기록을 1년 이상 보관하는 체계가 갖춰지지 않았습니다. [조치필요] 네이버 클라우드의 Cloud Activity Tracer(접속기록 보관 서비스)를 활성화하거나 별도 로그 보관 체계를 구축해야 합니다. ※ 2025년 서울시 점검에서도 ‘취약’으로 지적된 항목입니다. |
| 17 | (암호화) 인터넷 구간에서 개인정보를 송·수신하거나, 개인정보처리시스템에 개인정보를 저장할 경우 암호화 조치를 적용하여 운영하고 있는가? | ⚠️ 미흡 | SSL/TLS(인터넷 통신 암호화)와 비밀번호 암호화 저장은 적용되어 있습니다. 단, 문의 양식에서 수집한 이름, 연락처, 주소 등의 개인정보가 데이터베이스에 암호화되지 않은 상태로 저장됩니다. [조치필요] 개인정보 암호화 저장 기능 구현이 필요합니다. |
| 분야 | 양호 | 미흡 |
|---|
| 관리적 보안 (7개) | 5 | 2 |
| 기술적 보안 (5개) | 3 | 2 |
| 개인정보 보호 (5개) | 1 | 4 |
Gov-NCloud + CFL(통합 보안 관제) 환경에서 5종 보안장비를 운영하고 있습니다.
| 보안장비 | 설명 |
|---|
| 방화벽 (FW) | 허용되지 않은 외부 접근을 차단합니다. IP 주소와 포트 번호를 기준으로 “출입문 역할”을 합니다. |
| Anti-DDoS | 대량의 악성 트래픽(DDoS 공격)을 감지하고 차단합니다. 서버가 마비되는 것을 방지합니다. |
| VPN | 외부에서 시스템에 접속할 때 암호화된 통신 구간을 제공합니다. 마치 “전용 터널”을 통해 접속하는 것과 같습니다. |
| IPS | 네트워크를 오가는 데이터를 실시간으로 분석하여 침입 시도를 탐지하고 자동으로 차단합니다. |
| WAF | SQL Injection, XSS 등 웹 사이트를 노리는 해킹 공격을 전문적으로 방어합니다. |
※ 모든 보안장비는 네이버 클라우드(Gov-NCloud)와 CFL 매니지드 서비스로 제공되며, 24시간 전문 인력이 관제합니다.
한울타리/마이서울 시스템은 공공기관 전용 클라우드인 Gov-NCloud에서 운영되고 있습니다. 이 클라우드는 국가정보원의 CSAP(클라우드 보안인증) 심사를 통과한 공인 서비스입니다.
네이버 클라우드의 CFL(통합 보안 관제) 서비스를 통해 전문 보안 인력이 24시간 365일 시스템을 모니터링하며, 5종 보안장비(방화벽, IPS, Anti-DDoS, VPN, WAF)가 상시 가동되고 있습니다.
2026년 2월 현재까지 보안 사고 발생 이력이 없으며, 관리자 2단계 인증(MFA)과 최신 소프트웨어 유지 등 기본적인 보안 조치가 적용되어 있습니다.
2025년 서울시 정보보안과에서 실시한 민간 클라우드 보안점검에서, 서울시 전체 시스템을 대상으로 “접속기록 보관”과 “계정 관리” 항목이 취약한 것으로 분석되었습니다. 한울타리도 이 부분에 대한 개선이 필요합니다.
| 연번 | 항목 | 담당 | 조치 내용 |
|---|
| 3 | 보안성 검토 | 서울시 | CSAP 인증으로 보안성 검토를 대체할 수 있는지 정보보안과에 확인 |
| 7 | 침해사고 대응절차 | 운영사 | ”신고→확인→차단→복구→재발방지” 5단계 절차서 작성 |
| 9 | 취약점 점검 | 서울시/운영사 | 연 1회 이상 정기 취약점 점검 계획 수립 |
| 12 | 악성코드 방지 | 운영사 | File Safer(파일 악성코드 검사) 서비스 도입 검토 |
| 13 | 개인정보 파일 등록 | 서울시 | 개인정보보호위원회 시스템에 개인정보 파일 등록 |
| 15 | 접근권한 내역 관리 | 운영사 | 권한 부여/변경/삭제 관리대장 작성 및 3년 보관 |
| 16 | 접속기록 보관 | 운영사 | Cloud Activity Tracer 활성화 또는 로그 1년 이상 보관 체계 구축 |
| 17 | 개인정보 암호화 | 운영사 | 문의 양식 수집 데이터 암호화 저장 구현 |
문서에 등장하는 주요 용어를 쉽게 설명합니다.
| 용어 | 설명 |
|---|
| Gov-NCloud | 네이버 클라우드에서 제공하는 공공기관 전용 클라우드 서비스입니다. 일반 클라우드보다 강화된 보안 환경을 제공합니다. |
| CSAP | Cloud Security Assurance Program의 약자로, 국가정보원이 인증하는 클라우드 보안 인증 제도입니다. 이 인증을 받은 클라우드만 공공기관에서 사용할 수 있습니다. |
| CFL | Cloud Full-managed Security의 약자로, 네이버 클라우드에서 제공하는 통합 보안 관제 서비스입니다. 전문 보안 인력이 24시간 시스템을 감시합니다. |
| SLA | Service Level Agreement의 약자로, 서비스 수준 협약입니다. “장애 발생 시 몇 시간 내에 해결하겠다”는 약속을 문서화한 것입니다. |
| 용어 | 설명 |
|---|
| 방화벽 (FW) | Firewall의 약자. 허용되지 않은 외부 접속을 차단하는 장비입니다. 건물의 출입문과 같은 역할을 합니다. |
| IPS | Intrusion Prevention System의 약자로, 침입방지시스템입니다. 네트워크를 오가는 데이터를 분석해 해킹 시도를 자동으로 차단합니다. |
| WAF | Web Application Firewall의 약자로, 웹방화벽입니다. 웹사이트를 노리는 특수한 해킹 공격(SQL Injection, XSS 등)을 전문적으로 막습니다. |
| DDoS | Distributed Denial of Service의 약자로, 분산 서비스 거부 공격입니다. 수많은 컴퓨터가 동시에 서버에 접속해 서버를 마비시키는 공격 방식입니다. |
| VPN | Virtual Private Network의 약자로, 가상 사설 네트워크입니다. 인터넷을 통해 접속하지만 마치 전용선처럼 암호화된 안전한 통신을 제공합니다. |
| 용어 | 설명 |
|---|
| MFA | Multi-Factor Authentication의 약자로, 다중요소 인증 또는 2단계 인증입니다. 비밀번호 외에 휴대폰 인증번호, 지문 등 추가 인증을 요구해 보안을 강화합니다. |
| SSL/TLS | 인터넷 통신을 암호화하는 기술입니다. 주소창에 자물쇠 아이콘이 보이면 이 기술이 적용된 것입니다. |
| OAuth 2.0 | 다른 서비스(구글, 네이버 등)의 계정으로 로그인할 수 있게 해주는 인증 방식입니다. |
| JWT | JSON Web Token의 약자로, 로그인 후 사용자 정보를 안전하게 주고받기 위한 암호화된 토큰입니다. |
| 용어 | 설명 |
|---|
| 위수탁 계약 | 개인정보 처리 업무를 다른 업체에 맡길 때 체결하는 계약입니다. 누가 어떤 정보를 어떻게 처리하는지 명시합니다. |
| 접속기록(로그) | 누가 언제 시스템에 접속해서 무엇을 했는지 기록한 것입니다. 개인정보보호법에 따라 최소 1년 이상 보관해야 합니다. |
| 암호화 저장 | 데이터를 읽을 수 없는 형태로 변환해 저장하는 것입니다. 데이터가 유출되어도 내용을 알 수 없어 안전합니다. |
| 용어 | 설명 |
|---|
| SQL Injection | 웹사이트 입력란에 악성 코드를 넣어 데이터베이스를 조작하는 해킹 기법입니다. |
| XSS | Cross-Site Scripting의 약자로, 웹페이지에 악성 스크립트를 삽입해 사용자 정보를 빼내는 공격입니다. |
작성일: 2026. 02. 05.
