민간 클라우드 컴퓨팅 보안 체크리스트 현황
| 항목 | 내용 |
|---|---|
| 점검 대상 | 한울타리/마이서울 (다문화담당관) |
| 클라우드 서비스 | Gov-NCloud (네이버 클라우드 공공 존) |
| 작성일 | 2026. 02. 03. |
| 작성자 | 스컹크웍스스튜디오 장대환 매니저 |
| 문서 버전 | v1.0 |
| 원본 문서 | 서울시 민간 클라우드 컴퓨팅 서비스 정보보안 회의자료 (89개 체크리스트, hwp) |
본 문서는 서울시 정보보안과에서 배포한 민간 클라우드 컴퓨팅 서비스 정보보안 체크리스트 89개 항목에 대한 한울타리 시스템의 준수 현황 및 근거 정리본입니다.
원본 문서에는 O/X 여부만 표시되어 있으며, 본 문서에 각 항목별 현황과 판단 근거를 상세히 기록했습니다.
체크리스트 개요
섹션 제목: “체크리스트 개요”본 문서는 서울시에서 제시한 민간 클라우드 컴퓨팅 보안 체크리스트 89개 항목에 대한 한울타리 시스템의 현재 준수 현황을 세부적으로 분석한 문서입니다.
기관정보
섹션 제목: “기관정보”| 구분 | 내용 |
|---|---|
| 기관구분 | 본청 |
| 기관명 (부서) | 서울시청 (다문화담당관) |
| 부서장 서명 | 다문화담당관 |
| 작성자 | 스컹크웍스스튜디오 장대환 |
| 연락처 | daamable@skunkworks.co.kr |
| 제출일자 | 2026. 02. 03. |
체크리스트 세부 현황 분석
섹션 제목: “체크리스트 세부 현황 분석”[정책적 측면]
섹션 제목: “[정책적 측면]”| 연번 | 점검사항 | 수행여부 | 현황 및 비고 |
|---|---|---|---|
| 1 | 이용 대상에 대한 시스템 중요도 등급 분류 및 클라우드 영역 분류를 수행하고 관련 보안기준을 확인하였는가? | ⚠️ 검토필요 | 현재: 기본적인 시스템 분류 수행 검토사항: 보안기준 문서화 및 정형화된 등급 분류 체계 수립 |
| 2 | 클라우드 시스템 및 데이터의 물리적 위치는 국내로 한정하고, 국가·공공기관용 클라우드 컴퓨팅 서비스의 자원, 출입통제, 운영인력 등은 민간 이용자용 클라우드 컴퓨팅 서비스 영역과 분리 운영하고 있는가? | ✅ 충족 | Gov-ncloud(CSAP): 정부 승인 클라우드, 국내 위치, 공공기관 전용 환경 |
| 3 | 국가정보원이 도입요건 확인을 완료한 민간 클라우드 컴퓨팅 서비스를 이용하고 있는가? | ✅ 충족 | Gov-ncloud(CSAP): 국정원 도입요건 확인 완료 클라우드 서비스 이용 |
| 4 | 정보보호시스템 도입 시 보안적합성 검증 절차를 준수하고 도입 정보보호시스템 안전성을 확인하였는가? | ⚠️ 검토필요 | 현재: 기본적인 검증 수행 검토사항: 정형화된 보안적합성 검증 절차 문서화 |
| 5 | 내부망과 연동된 공공 전용 민간클라우드는 기관의 내부망으로 간주하고, 인터넷망과 연동된 공공 전용 민간클라우드는 기관의 인터넷망으로 간주하여 보안관리를 하고 있는가? | ✅ 충족 | 인터넷망 연동: 공개 서비스 특성상 인터넷망으로 간주하여 보안관리 |
| 6 | 클라우드 서비스 제공자와 기관의 보안 관리 체계를 반영하는 보안 서비스수준협약(SLA)을 맺고 있는가? | ✅ 충족 | Gov-NCloud SLA: CSAP 인증 클라우드 서비스로 보안 서비스수준협약(SLA) 기본 제공 |
| 7 | 공급망 관리 정책을 수립하고 관련 보안 요구사항을 계약 상에 반영하였는가? | ⚠️ 검토필요 | 현재: 기본적인 계약 체결 검토사항: 공급망 보안 요구사항 구체화 |
| 8 | 망 미분리 기관은 사용 단말에서 인터넷과 업무 영역 간 자료교환이 되지 않도록 기술적 통제대책을 구현하여 SaaS를 사용하고 있는가? | ➖ 해당없음 | 대시민 서비스: 내부 업무용 SaaS가 아닌 인터넷 기반 공개 서비스 |
| 9 | SaaS 클라우드 인프라, 개발·운영 환경과 SaaS에서 처리되는 데이터의 물리적 위치가 국내인가? | ✅ 충족 | Gov-ncloud: 모든 인프라 및 데이터 국내 위치 |
| 10 | SaaS를 제공하기 위한 개발·운영 환경, 클라우드 인프라 환경에 대한 보안성을 확인하고 있는가? | ✅ 충족 | Gov-NCloud CSAP: 국정원 도입요건 완료된 클라우드 인프라 보안성 확인 |
| 11 | SaaS 개발·운영 환경이 서비스 가용성을 보장할 수 있으며, 사고 및 장애에 대응할 수 있는 체계를 마련하고 있는가? | ✅ 충족 | Gov-NCloud: 클라우드 인프라 가용성 보장 (SLA 99.9%), CFL: 24시간 보안관제 및 장애 모니터링 체계 |
| 12 | SaaS는 허가받은 외부 연동 서비스(스토리지, 데이터베이스, 빅데이터 처리 등)와 연계되어 있는가? | ✅ 충족 | NCP Object Storage, Redis, PostgreSQL: Gov-NCloud 내 CSAP 인증 서비스 참고: Firebase FCM은 푸시 알림 발송 전용으로 사용 (민감 데이터 미저장) |
| 13 | 업무포털, 그룹웨어 등 내부 업무 용도로 쓰이는 영역과 인터넷 서비스를 제공하는 영역을 분리하여 운영하고 있는가? | ➖ 해당없음 | 인터넷 서비스 전용: 그룹웨어/업무포털 등 내부 업무 영역 없음, 대시민 서비스만 운영 |
| 14 | 중요장비를 이중화하고 백업체계를 구축하고 있는가? | ⚠️ 검토필요 | 충족: Gov-NCloud 인프라 이중화 및 백업체계 기본 제공 검토사항: 백업·비상복구·변경관리·침해사고대응 등 표준운영절차(SOP) 문서화 필요 |
| 15 | 관리자 또는 다른 이용자가 특정 이용자에 할당된 자원(HDD·메모리 등) 및 데이터에 임의 접근하지 못하도록 접근제어 및 격리 등을 통한 기술적 통제 수단을 마련하고 있는가? | ✅ 충족 | Gov-NCloud: 공공기관 전용 독립 환경, 가상자원 격리 기본 제공 |
| 16 | 클라우드에 저장 및 송수신되는 중요 업무자료를 암호화하고 있는가? | ✅ 충족 | HTTPS/TLS: 전송 구간 암호화, PostgreSQL: 저장 데이터 암호화 지원 |
| 17 | 클라우드 내에 존재하는 자원에 대한 기술적·정책적 보안관제 방안을 마련하고 민간 사업자로부터 보안관제센터 설치 및 운영에 필요한 제반 환경 구축 지원을 제공받았는가? | ✅ 충족 | CFL(Cloud Full-managed Security): NCP 매니지드 보안관제 서비스 이용 중 |
| 18 | 민간 클라우드 컴퓨팅 서비스 내 가상 자원에 대한 모니터링 및 관리 수단을 마련하고 있는가? | ✅ 충족 | NCP 콘솔: 가상 자원 모니터링 및 관리 기능 제공 |
| 20 | SaaS 애플리케이션 보안성 강화 방안이 마련되어 있는가? (사용자 간 자원 격리, 취약점 점검 계획, 데이터 보호 등) | ⚠️ 검토필요 | 충족: 사용자 간 자원 격리(Drupal 권한, 세션 분리, JWT), 데이터 보호(HTTPS/TLS, PostgreSQL 암호화) 검토사항: 정기 취약점 점검 계획 수립 및 문서화 필요 |
[인적 관리]
섹션 제목: “[인적 관리]”| 연번 | 점검사항 | 수행여부 | 현황 및 비고 |
|---|---|---|---|
| 21 | 클라우드 컴퓨팅 시스템에 접근 가능한 사용자 및 관리자를 식별하고 직무별 권한 부여, 폐기 등에 관한 절차를 마련하고 있는가? | ⚠️ 검토필요 | 충족: Gov-NCloud 콘솔 등록된 인원만 접근 가능 (서울시가족센터 대표메일, 개발팀 개발자, 담당자) 검토사항: 권한 부여/폐기 절차 문서화 필요 |
| 22 | 정보보호 및 정보보호 관리 체계, 클라우드 보안, 사고 사례, 사고에 따른 법적 책임, 사고 대응 방법 등이 포함된 직무별·담당 분야별 교육을 주기적으로 수행하고 있는가? | ⚠️ 검토필요 | 검토사항: 주기적인 보안 교육 프로그램 수립 필요 |
[감사자료(로그) 관리]
섹션 제목: “[감사자료(로그) 관리]”| 연번 | 점검사항 | 수행여부 | 현황 및 비고 |
|---|---|---|---|
| 23 | 정보보안 감사에 필요한 관련 자료에 대한 종류를 정의하고, 필요시에 민간 사업자에게 해당 감사 로그를 요청하여 열람할 수 있는가? | ⚠️ 검토필요 | 충족: Gov-NCloud/CFL에 요청 시 로그 열람 가능 (NCP 기본 기능) 검토사항: 감사 로그 종류 정의 문서화 필요 |
| 24 | 보안 요구사항, 가용성 요구사항, 감사 요구사항, 법적 요구사항 등과 같은 요구사항들에 대한 준수 여부를 판별하기 위하여 모니터링 및 로그관리를 수행하고 있는가? | ⚠️ 검토필요 | 충족: CFL 24시간 보안관제 모니터링 수행 중 검토사항: 요구사항별 세분화된 로그관리 체계 문서화 필요 |
| 25 | 감사 정보를 감사 대상을 식별할 수 있는 형태로 1년 이상 기록 및 보호하고 있는가? | ⚠️ 검토필요 | 검토사항: NCP/CFL 로그 보관 기간 확인 필요, 1년 이상 보관 정책 수립 필요 |
[클라우드 인프라 – 설비]
섹션 제목: “[클라우드 인프라 – 설비]”| 연번 | 점검사항 | 수행여부 | 현황 및 비고 |
|---|---|---|---|
| 26 | 민간 사업자의 데이터센터 시설 내 국가·공공기관 클라우드 컴퓨팅 서비스 제공을 위한 시스템의 물리적 위치를 파악하고 물리적 보호 구역에 대한 보안대책을 마련하고 있는가? | ✅ 충족 | Gov-ncloud: 정부 승인 데이터센터, 물리적 보안 대책 완비 |
| 27 | 민간 사업자의 데이터센터 시설 내 화재, 전력 이상 등 인재 및 자연재해 등에 대비하여 필요한 설비 구축 실태를 파악하고 있는가? | ✅ 충족 | Gov-ncloud: 재해 대비 설비 구축 상태 확인 |
[클라우드 인프라 – 하드웨어]
섹션 제목: “[클라우드 인프라 – 하드웨어]”| 연번 | 점검사항 | 수행여부 | 현황 및 비고 |
|---|---|---|---|
| 28 | 민간 클라우드 컴퓨팅 서비스 운용에 필요한 물리 자산 목록을 유지하고 회수, 폐기 등의 자산 변화 상황을 반영하는가? | ➖ 해당없음 | 클라우드 환경: 물리 자산은 NCP가 관리, 서울시가족센터가 관리할 물리 자산 없음 |
| 29 | 기관에 필요한 전자정보 저장매체 불용처리 관련 보안 요구사항을 민간 사업자와의 계약 상에 반영하였는가? | ✅ 충족 | Gov-NCloud CSAP: 인증 요건에 데이터 폐기 절차 포함 |
| 30 | 국가·공공기관 클라우드 컴퓨팅 서비스 제공을 위해 물리적으로 독립된 형태의 하드웨어 자원을 제공 받았는가? | ✅ 충족 | Gov-NCloud: 공공기관 전용 독립 하드웨어 자원 제공 |
| 31 | 기관에 필요한 네트워크장비 보안관리 관련 보안요구사항을 민간 사업자와의 계약 상에 반영하였는가? | ➖ 해당없음 | 클라우드 환경: 네트워크장비는 NCP가 관리, 서울시가족센터가 관리할 네트워크장비 없음 |
| 32 | 기관에 필요한 유지보수 관련 보안 요구사항을 민간 사업자와의 계약 상에 반영하였는가? | ✅ 충족 | Gov-NCloud SLA: 기본 계약에 유지보수 보안 요구사항 포함 |
| 33 | 민간 클라우드 컴퓨팅 서비스 외부로부터 발생하는 DDoS, 비인가 접속 등의 위협을 막기 위한 보안 대비책을 마련하고, 네트워크 모니터링 및 통제를 수행하고 있는가? | ✅ 충족 | CFL 매니지드 보안: Anti-DDoS (DDoS Guard), IPS, WAF, 24시간 네트워크 모니터링 |
[클라우드 인프라 – 가상화 인프라]
섹션 제목: “[클라우드 인프라 – 가상화 인프라]”| 연번 | 점검사항 | 수행여부 | 현황 및 비고 |
|---|---|---|---|
| 34 | 가상 머신, 가상 스토리지, 가상 애플리케이션 등의 가상 자원 사용 목록을 유지하고 있는가? | ✅ 충족 | NCP 콘솔: 가상 자원(VM, 스토리지 등) 목록 관리 및 확인 가능 |
| 35 | 가상 자원 내에 존재하는 사용자 관련 데이터를 복구할 수 없는 형태로 삭제 후 가상자원을 회수하고 있는가? | ✅ 충족 | Gov-NCloud CSAP: 인증 요건에 데이터 폐기/회수 절차 포함 |
| 36 | 가상 자원에 대한 모니터링을 주기적으로 수행하고 있는가? | ✅ 충족 | NCP 콘솔 + CFL: 가상 자원 모니터링 및 24시간 보안관제 |
| 37 | 기존 정보시스템 환경에서 클라우드 가상환경으로 이전 시 안전한 이전 수단을 이용하고 있는가? | ✅ 충족 | 안전한 마이그레이션: 레거시 시스템에서 클라우드로 단계적 이전 |
| 38 | 하이퍼바이저 관리 기능 및 관리자에 대한 접근 통제 방안을 마련하고, 하이퍼바이저에 대한 업데이트 및 보안패치를 최신으로 유지하고 있는가? | ➖ 해당없음 | 클라우드 환경: 하이퍼바이저는 NCP가 관리, 서울시가족센터가 관리할 영역 아님 |
| 39 | 『국가 클라우드 컴퓨팅 보안 가이드라인』의 보안기준을 준수하는 클라우드 컴퓨팅 인프라 상에서 SaaS 환경을 구축·개발·운영하고 있는가? | ✅ 충족 | Gov-NCloud: 국가 보안 가이드라인 준수 인프라 |
[가상환경 보안 – 보안 관리]
섹션 제목: “[가상환경 보안 – 보안 관리]”| 연번 | 점검사항 | 수행여부 | 현황 및 비고 |
|---|---|---|---|
| 40 | 가상환경에서 시스템, SaaS 애플리케이션 등을 자체 또는 외주로 도입 및 개발하고자 하는 경우 보안대책을 수립하였는가? | ⚠️ 검토필요 | 현재: 기본적인 보안대책 검토사항: 개발 환경 보안 정책 문서화 필요 |
| 41 | 비인가자가 인터넷에 연결된 가상환경을 무단으로 조작하여 전산 자료를 절취·위변조 및 훼손시키지 못하도록 보안대책을 마련하여 사용자의 인터넷 연결 가상 PC에 적용하였는가? | ➖ 해당없음 | 대시민 서비스: 내부 업무용 가상 PC 사용 안 함 |
| 42 | PC 등 단말기 보안 관리에 준하는 보안 대책을 마련하고 사용자의 가상 PC에 적용하였는가? | ➖ 해당없음 | 대시민 서비스: 내부 업무용 가상 PC 사용 안 함 |
| 43 | 서버 관리자는 가상머신을 할당받아 가상서버를 운용할 경우, 해킹을 통한 자료 절취·위변조 등에 대비한 보안대책을 수립·시행하고 있는가? | ✅ 충족 | CFL 매니지드 보안: IPS, WAF, FW를 통한 해킹 대비 보안 체계 |
| 44 | 비인가자의 가상서버 내 저장자료 절취 및 위변조, 분산서비스거부(DDoS) 공격 등에 대비하기 위한 보안대책을 마련하였는가? | ✅ 충족 | CFL 매니지드 보안: Anti-DDoS, IPS, WAF를 통한 보안대책 |
| 45 | 가상머신 내에 보안 상 취약한 소프트웨어 설치 방지, 보안업데이트 등의 보안 관리 방안을 마련하였는가? | ⚠️ 검토필요 | 검토사항: 취약 소프트웨어 설치 방지 및 보안 업데이트 관리 방안 문서화 필요 |
[가상환경 보안 – 어플리케이션 개발]
섹션 제목: “[가상환경 보안 – 어플리케이션 개발]”| 연번 | 점검사항 | 수행여부 | 현황 및 비고 |
|---|---|---|---|
| 46 | 보안 요구사항, 가용성 요구사항, 감사 요구사항, 법적 요구사항 등에 대한 준수 여부를 판별하기 위하여 SaaS에 대한 모니터링 및 로그 관리를 수행하는가? | ⚠️ 검토필요 | 충족: CFL 24시간 모니터링 수행 검토사항: 요구사항별 로그 관리 체계 문서화 필요 |
| 47 | SaaS에서 생성된 로그 자료는 사후 추적대상을 식별할 수 있는 형태로 기록하고 1년 이상 보호하고 있는가? | ⚠️ 검토필요 | 검토사항: NCP/CFL 로그 보관 기간 확인 및 1년 이상 보관 정책 수립 필요 |
| 48 | SaaS 애플리케이션 보안을 위해 주기적 취약점 점검, 보안 업데이트 등의 보안 관리 방안을 마련하였는가? | ⚠️ 검토필요 | 검토사항: 정기 취약점 점검 계획 수립 필요 |
| 49 | 자체 또는 외주로 SaaS 애플리케이션 개발을 하고자 하는 경우 보안대책을 수립하였는가? | ⚠️ 검토필요 | 검토사항: 개발 단계 보안 정책 및 코드 보안 관리 문서화 필요 |
[가상환경 보안 – 개발·운영 환경]
섹션 제목: “[가상환경 보안 – 개발·운영 환경]”| 연번 | 점검사항 | 수행여부 | 현황 및 비고 |
|---|---|---|---|
| 50 | 개발·운영 환경 접속을 위한 안전한 인증 방안을 마련하고, 접근 권한 정책을 수립하여 사용 및 관리 권한을 부여하였는가? | ✅ 충족 | OAuth 2.0: NextAuth.js v5 + Drupal 연동, 관리자 MFA: CFL(Cloud Fortress Login) 적용 |
| 51 | 개발·운영 환경 관리에 필요한 데이터 보호 방안을 마련하였는가? | ✅ 충족 | HTTPS/TLS: 전송 구간 암호화, PostgreSQL: 저장 데이터 암호화 |
| 52 | 개발·운영 환경 내 SaaS 저장된 관련 데이터에 대한 무결성 검증을 수행하는가? | ⚠️ 검토필요 | 검토사항: 데이터 무결성 검증 체계 문서화 필요 |
| 53 | 개발·운영 환경은 운영 연속성을 보장할 수 있는 형태로 구축되었는가? | ✅ 충족 | Gov-NCloud SLA: 클라우드 인프라 가용성 보장 (99.9%) |
| 54 | 보안 요구사항, 가용성 요구사항, 감사 요구사항, 법적 요구사항 등에 대한 준수 여부를 판별하기 위하여 개발·운영 환경에 대한 모니터링 및 로그관리를 수행하는가? | ⚠️ 검토필요 | 충족: CFL 24시간 모니터링 수행 검토사항: 요구사항별 로그관리 체계 문서화 필요 |
| 55 | 개발·운영 환경 운영 중 생성된 로그 자료는 사후 추적대상을 식별할 수 있는 형태로 기록하고 1년 이상 보호하는가? | ⚠️ 검토필요 | 검토사항: NCP/CFL 로그 보관 기간 확인 및 1년 이상 보관 정책 수립 필요 |
| 56 | 개발·운영 환경 보안을 위해 주기적 취약점 점검, 보안 업데이트 등의 보안관리 방안을 마련하였는가? | ⚠️ 검토필요 | 검토사항: 정기 취약점 점검 계획 수립 필요 |
| 57 | 개발·운영 환경 구축을 위해 가상서버를 운용할 경우, 해킹을 통한 자료 절취·위변조 등에 대비한 보안대책을 수립·시행하였는가? | ✅ 충족 | CFL 매니지드 보안: IPS, WAF, FW를 통한 해킹 대비 보안 체계 |
| 58 | 개발·운영 환경 구축을 위해 공개용으로 운영되는 가상서버를 운용할 경우, 비인가자의 가상서버 내 저장자료 절취 및 위변조, 분산서비스거부(DDoS) 공격 등에 대비하기 위한 보안 대책을 마련하였는가? | ✅ 충족 | CFL 매니지드 보안: 침입차단·탐지시스템 및 Anti-DDoS 대응시스템 |
[가상환경 보안 – 악성코드 방지]
섹션 제목: “[가상환경 보안 – 악성코드 방지]”| 연번 | 점검사항 | 수행여부 | 현황 및 비고 |
|---|---|---|---|
| 59 | 웜·바이러스, 해킹프로그램, 스파이웨어 등 악성코드에 의한 위협을 제거하기 위해 악성코드 방지 대책을 수립·시행하는가? | ✅ 충족 | CFL 매니지드 보안관제: 24시간 보안 모니터링 및 위협 탐지/대응 |
| 60 | 가상머신에 악성코드가 설치되거나 감염된 사실을 발견하였을 경우에 조치를 하고 있는가? | ✅ 충족 | CFL 보안관제: 24시간 모니터링, 보안 위협 탐지 시 대응 절차 수행 |
[가상환경 보안 – 접근 통제]
섹션 제목: “[가상환경 보안 – 접근 통제]”| 연번 | 점검사항 | 수행여부 | 현황 및 비고 |
|---|---|---|---|
| 61 | 이동식 저장매체 사용 통제, 다중요소 인증(Multi-factor), 자동 로그아웃 등 접근 제한 방안을 마련하였는가? | ✅ 충족 | NCP 콘솔: MFA(2차 인증) 지원, 세션 타임아웃 적용 클라우드 VM: 물리적 저장매체 접근 불가 (NCP 관리 영역) |
| 62 | 사용자 및 장치를 유일하게 식별할 수 있는 식별 방법을 마련하고 식별 정보를 관리하는가? | ✅ 충족 | OAuth 2.0: JWT 토큰 기반 사용자 식별, 세션 관리: 안전한 세션 관리 |
| 63 | 계정 권한 생성 절차를 마련하였는가? | ⚠️ 검토필요 | 충족: Drupal 역할(Role) 기반 권한 시스템, NCP Sub Account 계정 관리 검토사항: 계정 생성/권한 부여 절차 문서화 필요 |
| 64 | 사용자계정(ID) 보안관리 방안을 마련하여 사용자계정 부여 및 보안관리를 수행하는가? | ⚠️ 검토필요 | 충족: NCP Sub Account 사용자/그룹 권한 관리, SSH 키 기반 인증 검토사항: 로그인 실패 제한 정책 확인 및 문서화 필요 |
| 65 | 비밀번호 관리 방안을 마련하였는가? | ✅ 충족 | NCP 콘솔: 비밀번호 복잡도 정책 기본 적용 서버 SSH: 키 기반 인증 사용 (비밀번호 로그인 비활성화) |
| 66 | 접근 기록을 서비스 통제, 관리, 사고 발생 책임 추적성 등을 보장할 수 있는 형태로 기록하고 1년 이상 보관·유지하고 있는가? | ⚠️ 검토필요 | 충족: NCP Cloud Activity Tracer, CFL 보안관제 로그 기록 검토사항: 1년 이상 보관 정책 확인 및 수립 필요 |
| 67 | SaaS를 관리 또는 접속하기 위해 스마트폰·IoT기기·전자제어장비 등 첨단 정보통신 기기를 활용하고자 하는 경우 자체 보안대책을 수립하여 시행하고 있는가? | ➖ 해당없음 | 관리 환경: 스마트폰·IoT 기기를 통한 SaaS 관리 없음, PC 기반 관리만 수행 |
[데이터 관리]
섹션 제목: “[데이터 관리]”| 연번 | 점검사항 | 수행여부 | 현황 및 비고 |
|---|---|---|---|
| 68 | 민간 클라우드 컴퓨팅 서비스 이용시 데이터 유형, 법적 요구사항, 민감도 및 중요도에 따라 데이터를 분류하고 관리하고 있으며, 민간 사업자에게도 동일한 분류 및 관리를 요청하고 있는가? | ⚠️ 검토필요 | 현황: 개인정보(회원정보), 일반 데이터(게시글) 구분 운영 중 검토사항: 데이터 분류 체계 문서화 필요 |
| 69 | 민간 클라우드 컴퓨팅 서비스를 이용하고자 할 때, 사업자와 서비스 수준 협약 단계에서 데이터의 소유권을 명확히 명시하였는가? | ✅ 충족 | Gov-ncloud: 데이터 소유권 명시된 서비스 협약 |
| 70 | 기관의 중요 데이터에 대한 입·출력, 전송 또는 교환 및 저장에 대한 민간 사업자의 데이터 무결성 확인 방안이 마련되었는가? | ✅ 충족 | 전송: HTTPS/TLS 암호화로 무결성 보장 저장: Gov-NCloud + PostgreSQL 트랜잭션 무결성 |
| 71 | 민간 사업자는 데이터에 대한 접근제어, 위·변조 방지 등 데이터 처리에 대한 보호 기능을 이용자에게 제공하고 있음을 확인하고 있는가? | ✅ 충족 | Gov-ncloud: 데이터 보호 기능 제공 확인 |
| 72 | 기관의 데이터(백업자료 포함)의 물리적 위치를 확인하고 있으며, 민간 사업자는 데이터를 추적하기 위한 방안을 제공하고 있는가? | ✅ 충족 | 물리적 위치: Gov-NCloud 수도권 리전 (국내 데이터센터) 확인: NCP 콘솔에서 리전 확인 가능 |
| 73 | 민간 클라우드 컴퓨팅 서비스 이용의 종료, 이전 등에 따른 데이터 폐기 조치 시에 관련된 모든 데이터 폐기를 요청하고 폐기된 데이터를 복구할 수 없도록 삭제되었는지 확인하였는가? | ➖ 해당없음 | 현황: 서비스 종료/이전 사례 없음, 종료 시 Gov-NCloud CSAP 기준 데이터 폐기 절차 적용 예정 |
| 74 | 사용자별 데이터 보안 요구 사항 수준에 따라 물리적 또는 논리적으로 데이터를 사용자별로 분리할 수 있는 방안을 마련하여 SaaS 애플리케이션 및 개발·운영 환경을 구축하였는가? | ✅ 충족 | 논리적 분리: Drupal 권한 시스템 + PostgreSQL 사용자 ID 기반 데이터 분리 인프라 분리: Gov-NCloud 공공기관 전용 환경 |
| 75 | 데이터 송수신, 연산, 저장 시 데이터 암호화 등의 수단을 적용하여 SaaS 애플리케이션 취약점 등을 이용한 보안 위협으로부터 데이터 노출 시에 따른 기밀성을 유지하고 있는가? | ✅ 충족 | 전송: HTTPS/TLS 암호화 저장: Gov-NCloud PostgreSQL 암호화, Drupal 비밀번호 해시 처리 |
| 76 | SaaS 애플리케이션 및 개발·운영 환경에서 처리되는 중요 데이터에 대한 무결성 검증을 수행하고 있는가? | ✅ 충족 | PostgreSQL: 트랜잭션 무결성 보장 전송: HTTPS/TLS로 전송 중 무결성 검증 |
| 77 | SaaS 애플리케이션 및 개발·운영 환경에서 생성되는 중요 데이터에 대한 추적성을 보장하고 있는가? | ✅ 충족 | Drupal: 콘텐츠 생성자/수정일시/리비전 기록 NCP: Cloud Activity Tracer 로그 |
| 78 | SaaS 사용 종료 등의 이유로 인한 데이터 폐기 시 SaaS 환경 내에 존재하는 사용자 관련 데이터를 복구할 수 없는 형태로 삭제하고 있는가? | ➖ 해당없음 | 현황: 서비스 종료 사례 없음, 종료 시 Gov-NCloud CSAP 기준 데이터 폐기 절차 적용 예정 |
[암호화]
섹션 제목: “[암호화]”| 연번 | 점검사항 | 수행여부 | 현황 및 비고 |
|---|---|---|---|
| 79 | 중요 업무자료에 대한 암호화 수준 등에 대한 보안요구사항을 도출하여 계약 시 반영하고, 중요 업무자료에 대한 생성·보관·처리·송수신하기 위한 정책적·기술적 방안을 민간 사업자로부터 제공받았는가? | ✅ 충족 | Gov-NCloud CSAP: 인증 요건에 암호화 정책·기술 방안 포함, 구독 시 기본 제공 |
| 80 | 클라우드 시스템에 저장 또는 전송 중인 중요 업무자료를 보호하기 위한 암호 정책이 수립되었는가? | ⚠️ 검토필요 | 충족: HTTPS/TLS 전송 암호화, PostgreSQL 저장 암호화 적용 중 검토사항: 암호 정책 문서화 필요 |
| 81 | 암호키 관리 절차를 수립하고 암호키를 별도의 물리적으로 분리된 서버에 백업하고 최소 접근권한을 부여하여 관리하고 있는가? | ⚠️ 검토필요 | 현황: SSL 인증서 NCP 관리, DB 암호화 Gov-NCloud 기본 제공 검토사항: 암호키 관리 절차 및 별도 백업 체계 수립 필요 |
[인증 및 권한]
섹션 제목: “[인증 및 권한]”| 연번 | 점검사항 | 수행여부 | 현황 및 비고 |
|---|---|---|---|
| 82 | 민간 클라우드 컴퓨팅 서비스 및 중요정보에 대한 접근을 통제하기 위하여 공식적인 사용자 등록 및 해지 절차를 수립하고 업무 필요성에 따라 사용자 접근 권한을 최소한으로 부여하고 있는가? | ⚠️ 검토필요 | 충족: NCP Sub Account로 사용자 등록/해지, 최소 권한 부여 운영 중 검토사항: 사용자 등록/해지 절차 문서화 필요 |
| 83 | 민간 클라우드 컴퓨팅 서비스 및 중요정보 관리와 같은 특수 목적을 위해 부여한 계정 및 권한을 식별하고 별도로 통제하고 있는가? | ⚠️ 검토필요 | 충족: NCP 관리자 계정 별도 관리, SSH 키 기반 접근 통제 검토사항: 특수 목적 계정 식별 및 통제 절차 문서화 필요 |
| 84 | 민간 클라우드 컴퓨팅 서비스 및 중요정보에 대한 접근을 관리하기 위하여 접근권한 부여, 이용(장기간 미사용), 변경(퇴직 및 휴직, 직무변경, 부서변경)의 적정성 여부를 정기적으로 검토하고 있는가? | ⚠️ 검토필요 | 충족: 권한 검토 및 계정 회수 비정기적 수행 중 검토사항: 정기 검토 주기 수립 및 절차 문서화 필요 |
[사고 및 장애 대응]
섹션 제목: “[사고 및 장애 대응]”| 연번 | 점검사항 | 수행여부 | 현황 및 비고 |
|---|---|---|---|
| 85 | 침해사고 발생 시 민간 사업자로부터 발생내용, 원인, 조치 현황 등을 신속하게 파악하고 「국가 정보보안 기본지침」 등에 명시된 사고 대응절차를 수행하고 있는가? | ⚠️ 검토필요 | 충족: CFL 보안관제 24시간 모니터링, 침해사고 탐지 시 알림 제공 검토사항: 내부 사고 대응절차 문서화 필요 |
| 86 | 민간 클라우드 컴퓨팅 서비스 이용 계약시 민간 사업자의 사고조사에 대한 적극적인 협조 및 지원의무를 명시하여야 하며, 필요시 국가정보원 및 이용기관의 조사 요청에 협조하고 있는가? | ✅ 충족 | Gov-ncloud: 사고조사 협조 의무 계약 반영 |
| 87 | 민간 사업자는 관련 법률에서 규정한 클라우드 컴퓨팅 서비스의 중단으로부터 업무 연속성을 보장하기 위해 백업, 복구 등을 포함하는 장애 대응절차를 마련하였으며, 이용기관은 장애 대응 요구사항, 담당자 정의 및 연락처 등을 담은 장애 대응절차를 마련하고 있는가? | ⚠️ 검토필요 | 충족: NCP/CFL 장애 대응체계 운영, 장애 시 담당자 연락 체계 있음 검토사항: 장애 대응절차 및 담당자 연락처 문서화 필요 |
| 88 | 이용 기관은 서비스 수준 협약에 업무영향도 평가 등을 통해 산정한 복구시간을 서비스 수준 협약(SLA)에 반영하여야 하며, 민간 사업자는 서비스 수준 협약(SLA)에 명시된 시간 내에 장애 대응절차에 따라 해당 서비스의 장애를 처리하고 복구시키고 있는가? | ⚠️ 검토필요 | 충족: Gov-NCloud 기본 SLA(99.9% 가용성) 적용 중 검토사항: 업무영향도 평가 및 복구시간 목표(RTO) 수립 필요 |
| 89 | 민간 사업자와 협의하여 장애 관련 정보를 활용하여 유사한 서비스 중단이 반복되지 않도록 장애 재발방지 대책을 수립하고, 필요한 경우 장애 대응 절차도 변경하고 있는가? | ⚠️ 검토필요 | 현황: 장애 발생 사례 없음 검토사항: 장애 발생 시 재발방지 대책 수립 절차 문서화 필요 |
종합 현황 요약
섹션 제목: “종합 현황 요약”준수도 분포 (총 88개 항목, 19번 결번)
섹션 제목: “준수도 분포 (총 88개 항목, 19번 결번)”✅ 충족: 45개 항목 (51%)⚠️ 검토필요: 32개 항목 (36%)➖ 해당없음: 11개 항목 (13%)영역별 준수 현황
섹션 제목: “영역별 준수 현황”| 영역 | 총 항목 | 충족 | 검토필요 | 해당없음 | 준수율 |
|---|---|---|---|---|---|
| 정책적 측면 | 19개 | 12개 | 5개 | 2개 | 63% |
| 인적 관리 | 2개 | 0개 | 2개 | 0개 | 0% |
| 감사자료(로그) 관리 | 3개 | 0개 | 3개 | 0개 | 0% |
| 클라우드 인프라 – 설비 | 2개 | 2개 | 0개 | 0개 | 100% |
| 클라우드 인프라 – 하드웨어 | 6개 | 4개 | 0개 | 2개 | 100% |
| 클라우드 인프라 – 가상화 | 6개 | 5개 | 0개 | 1개 | 100% |
| 가상환경 보안 – 보안 관리 | 6개 | 2개 | 2개 | 2개 | 50% |
| 가상환경 보안 – 어플리케이션 | 4개 | 0개 | 4개 | 0개 | 0% |
| 가상환경 보안 – 개발·운영 환경 | 9개 | 5개 | 4개 | 0개 | 56% |
| 가상환경 보안 – 악성코드 방지 | 2개 | 2개 | 0개 | 0개 | 100% |
| 가상환경 보안 – 접근 통제 | 7개 | 4개 | 2개 | 1개 | 67% |
| 데이터 관리 | 11개 | 7개 | 1개 | 3개 | 88% |
| 암호화 | 3개 | 1개 | 2개 | 0개 | 33% |
| 인증 및 권한 | 3개 | 0개 | 3개 | 0개 | 0% |
| 사고 및 장애 대응 | 5개 | 1개 | 4개 | 0개 | 20% |
※ 준수율 = 충족 / (총 항목 - 해당없음) × 100
주요 강점 영역
섹션 제목: “주요 강점 영역”✅ 완전 준수 영역 (준수율 100%)
섹션 제목: “✅ 완전 준수 영역 (준수율 100%)”- 클라우드 인프라 – 설비: Gov-NCloud 기반 물리적 보안 완비
- 클라우드 인프라 – 하드웨어: Gov-NCloud CSAP 인증 서비스 이용
- 클라우드 인프라 – 가상화: NCP 콘솔 기반 가상자원 관리
- 가상환경 보안 – 악성코드 방지: CFL 24시간 보안관제
✅ 핵심 보안 기능 구현
섹션 제목: “✅ 핵심 보안 기능 구현”- Gov-NCloud(CSAP): 국정원 도입요건 확인 완료 클라우드 서비스
- CFL(Cloud Full-managed Security): 24시간 매니지드 보안관제 (IPS, WAF, Anti-DDoS)
- NCP 콘솔 MFA: 관리자 다중요소 인증 적용
- SSH 키 기반 인증: 서버 접근 보안 강화
- OAuth 2.0 + JWT: NextAuth.js v5 + Drupal 연동 인증 시스템
- HTTPS/TLS: 전송 구간 암호화
- PostgreSQL: 저장 데이터 암호화
검토 필요 항목 요약
섹션 제목: “검토 필요 항목 요약”기능은 갖춰져 있으나, 정책 정의 및 문서화가 필요합니다.
- 대부분의 “검토필요” 항목은 기술적으로는 충족 상태
- 서울시가족센터에서 정책을 결정하고, 이를 문서로 정리해야 함
작성해야 할 문서 목록
섹션 제목: “작성해야 할 문서 목록”| 문서명 | 정의해야 할 내용 |
|---|---|
| 계정·권한 관리 절차서 | • 계정 유형 (관리자/편집자/일반) 분류 • 신규 계정 생성 승인 절차 • 퇴사·부서이동 시 권한 회수 절차 • 정기 권한 검토 주기 (예: 분기 1회) |
| 침해사고 대응 절차서 | • 사고 발생 시 최초 연락처 (누구에게 먼저 연락?) • 보고 체계 (담당자→센터장→서울시) • 초기 대응 행동 (차단, 증거보존 등) • 사후 보고서 양식 |
| 장애 대응 절차서 | • 장애 등급 기준 (심각/주의/경미) • 등급별 목표 복구 시간 (예: 심각 2시간 내) • 비상 연락망 (담당자 연락처 목록) • 복구 후 재발방지 보고 절차 |
| 로그 보관 정책 | • 보관할 로그 종류 (접속기록, 관리자 활동 등) • 보관 기간 (최소 1년, 개인정보 관련 2년) • 보관 위치 및 백업 방법 • 로그 열람 승인 절차 |
| 취약점 점검 계획서 | • 점검 주기 (연 1회 이상) • 점검 범위 (웹, 서버, 데이터베이스) • 점검 수행 주체 (내부/외부 전문업체) • 취약점 발견 시 조치 기한 |
| 보안 교육 계획서 | • 교육 대상 (관리자, 콘텐츠 담당자) • 교육 주기 (연 1회 이상) • 교육 내용 (개인정보보호, 사고 대응 등) • 교육 이수 기록 관리 방법 |
| 표준운영절차(SOP) | • 정기 백업 주기 및 방법 • 시스템 변경 시 승인 절차 • 긴급 복구 절차 • 유지보수 작업 사전 공지 기준 |
| 암호화 정책서 | • 암호화 대상 데이터 (개인정보, 비밀번호 등) • 전송 구간 암호화 방식 (HTTPS/TLS) • 저장 데이터 암호화 방식 • 암호키 관리 방법 |
| 데이터 분류 체계 | • 데이터 등급 (기밀/내부용/공개) • 등급별 취급 기준 • 개인정보와 일반 데이터 구분 기준 • 등급별 접근 권한 범위 |
➖ 해당없음 영역 (11개 항목)
섹션 제목: “➖ 해당없음 영역 (11개 항목)”다음 항목들은 한울타리 서비스 특성상 점검 대상이 아닙니다:
- 내부 업무 시스템: 한울타리는 시민 대상 공개 서비스라 내부 업무용 시스템이 없음
- 물리 장비 관리: 클라우드 환경이라 서버, 네트워크 장비는 네이버 클라우드가 관리
- 서비스 종료: 아직 서비스 종료 사례가 없음 (종료 시 Gov-NCloud 절차 적용 예정)
본 체크리스트는 2026년 2월 기준으로 작성되었습니다.