콘텐츠로 이동
고객 매뉴얼

보안 요구사항 추가 검토

보안 요구사항 추가 검토

섹션 제목: “보안 요구사항 추가 검토”

작성자: 스컹크웍스스튜디오 장대환 매니저

작성일: 2026.02.23.

목적: 추가 보안 요구사항 5건에 대한 대응 방안

1. 배경

섹션 제목: “1. 배경”

1.1 요구사항 추가 경위

섹션 제목: “1.1 요구사항 추가 경위”

2026년 2월 23일, 서울시가족센터에서 기존 RFP에 추가하여 보안 요구사항 5건을 요청함.

1.2 추가 배경

섹션 제목: “1.2 추가 배경”
  • 민간 클라우드 보안 강화: 서울시 민간 클라우드 컴퓨팅 서비스 이용 기준에 따른 보안 요구사항 구체화
  • 개인정보보호법 강화: 접속기록 보관, 침해사고 대응 등 법적 의무사항 명확화
  • 정보보안 체계 고도화: 기존 운영 중인 시스템에 대한 보안 거버넌스 수립 요구

1.3 검토 범위

섹션 제목: “1.3 검토 범위”
  • 대상 시스템: 한울타리 웹사이트, 마이서울앱, 취업관리시스템
  • 인프라: NCP(Naver Cloud Platform) Gov-cloud 환경
  • 기존 보안 요구사항: SER-002~008 (접근통제, 암호화 등)

2. 추가 요구사항 요약

섹션 제목: “2. 추가 요구사항 요약”
  • SER-001 개인정보의 기술적 보호조치 → 산출물: 기능 개발/설정 | 핵심: 접근권한, 비밀번호, 암호화, 접속기록
  • SER-009 침해사고 대응절차 → 산출물: 대응 매뉴얼, 사고보고서 | 핵심: 5단계 대응절차, 악성코드 대응체계
  • SER-010 정기 취약점 점검 → 산출물: 점검계획서, 결과보고서 | 핵심: 연 1회 점검, 조치 내역 제출
  • SER-011 시스템·데이터 분류체계 → 산출물: 분류기준서, 보안기준서 | 핵심: 분류기준/보안기준 문서화
  • SER-012 감사 로그 체계 → 산출물: 로그 운영문서 | 핵심: 로그 보관/제공 절차

3. 대응 유형 분류: 정책/문서 vs 기능개발

섹션 제목: “3. 대응 유형 분류: 정책/문서 vs 기능개발”

  • SER-001 개인정보의 기술적 보호조치

    • 정책/문서: ✅ 절차서
    • 기능개발: ✅ 암호화/접속기록
    • 비고: 취업관리시스템 주대상

  • SER-009 침해사고 대응절차

    • 정책/문서: ✅ 매뉴얼 작성
    • 기능개발: ⚠️ 악성코드 탐지/차단
    • 비고: 악성코드 대응은 인프라 영역

  • SER-010 정기 취약점 점검

    • 정책/문서: ✅ 계획서/보고서
    • 기능개발: ❌
    • 비고: 외부 위탁 가능

  • SER-011 시스템·데이터 분류체계

    • 정책/문서: ✅ 분류기준서, 보안기준서
    • 기능개발: ❌
    • 비고: 순수 문서 작업

  • SER-012 감사 로그 체계

    • 정책/문서: ✅ 로그 운영문서
    • 기능개발: ✅ 별도 로그 저장소 구축
    • 비고: Object Storage 활용

4. 상세 분석

섹션 제목: “4. 상세 분석”

4.1 SER-001 (개인정보의 기술적 보호조치)

섹션 제목: “4.1 SER-001 (개인정보의 기술적 보호조치)”

상세 내용은 1.4 기존 보안 요구사항 (SER-001) 핵심 사항 참조

✅ 기능개발 필요 항목

섹션 제목: “✅ 기능개발 필요 항목”
  • ⚠️ 접근권한 이력관리 (중) - 3년간 이력 보관 기능 확인/보완
  • 비밀번호 작성규칙 (중) - 8자리+2종류 문자 조합 검증
  • 세션 타임아웃 (상) - 30분 미사용 시 자동 로그아웃
  • ⚠️ 개인정보 암호화 (상) - 고유식별정보, 민감정보 암호화
  • 접속기록 보관 - 1년 보관 현행 유지

4.2 SER-009 (침해사고 대응절차)

섹션 제목: “4.2 SER-009 (침해사고 대응절차)”

✅ 인프라 대응: NCP Security Monitoring으로 대응 가능

섹션 제목: “✅ 인프라 대응: NCP Security Monitoring으로 대응 가능”

침해사고 대응에 필요한 악성코드 탐지, 침입 탐지/차단 등의 기능은 NCP Security Monitoring Managed 서비스로 충족할 수 있습니다.

서비스 정의

NCP Security Monitoring은 네이버 클라우드에서 제공하는 통합 보안관제 서비스로, 24시간 365일 실시간 모니터링 및 보안 위협 대응을 지원합니다.

  • 악성코드 실시간 탐지/격리/삭제
  • 침입 탐지 및 분석 보고서 제공
  • 백신 패턴 매일 자동 업데이트 (새벽 1시)
  • 주간/월간 보안 보고서 자동 생성

서비스 옵션 및 비용 (VAT 별도)

  • Basic (무료): IDS/Anti-Virus 기본 탐지 → 0원
  • Anti-Virus: 악성코드 실시간 탐지/격리/삭제, 패턴 자동 업데이트 → 24,000원/서버
  • IDS: 침입 탐지, 24/365 모니터링, 분석 보고서 → 50,000원/공인IP
  • IPS: 침입 탐지+차단 (호스트 기반) → 36,000원/서버
  • WAF: 웹 공격 탐지/차단 (Reverse Proxy) → 별도 견적
  • Anti-DDoS: DDoS 공격 방어 → 300,000원~/200Mbps

구성 선택지

  • Basic (무료): 0원 - 기본 탐지만, “보안관제로 갈음” 주장 근거
  • Option B (권장): ~20만원 - Anti-Virus + IDS, SER-009 완전 충족
  • Option C: ~34만원 - + IPS 추가, 침입 차단까지
  • Option D (풀): ~110만원+ - + WAF + Anti-DDoS, 정부기관 수준

한울타리 권장 구성 (Option B)

  • Anti-Virus: 4대 서버 × 24,000원 = 96,000원/월
  • IDS: 공인 IP 2개 × 50,000원 = 100,000원/월
  • 합계: 196,000원/월

참고: NCP Security Monitoring 가이드

✅ 정책/문서 (유지보수 범위 내)

섹션 제목: “✅ 정책/문서 (유지보수 범위 내)”
  • 5단계 대응절차 문서화 (신고→분석→차단격리→복구→재발방지)
  • 사고 유형별(웹/앱/DB/계정/API 연계) 초동조치 체크리스트
  • 발주기관 보고 기준 및 양식
  • 재발방지 조치 및 사후 점검 절차

4.2 SER-010 (정기 취약점 점검)

섹션 제목: “4.2 SER-010 (정기 취약점 점검)”

✅ 정책/문서 (유지보수 범위 내)

섹션 제목: “✅ 정책/문서 (유지보수 범위 내)”
  • 취약점 점검 계획서 (연 1회 이상)
  • 점검 결과보고서
  • 취약점 조치 내역서 및 재점검 결과

기능개발: 없음

섹션 제목: “기능개발: 없음”

대응 선택지

섹션 제목: “대응 선택지”
  • 자체 점검: OWASP ZAP, Nikto 등 오픈소스 도구 활용 → 유지보수 범위 내 (1일/회)
  • 외부 위탁: 전문 보안업체 모의해킹 → 100~300만원/회

기존 RFP 중복 확인

섹션 제목: “기존 RFP 중복 확인”
  • COR-006 “웹사이트 웹취약점 점검 및 조치”와 범위 중복 가능성
  • 확인 필요: 동일 범위인지, 추가 점검(인프라 등)이 필요한지

4.3 SER-011 (시스템·데이터 분류체계)

섹션 제목: “4.3 SER-011 (시스템·데이터 분류체계)”

✅ 정책/문서만 해당 (순수 문서 작업)

섹션 제목: “✅ 정책/문서만 해당 (순수 문서 작업)”
  • 분류 기준서 (시스템/데이터/영역별)
  • 등급·영역별 보안기준서 (접근통제, 로그 수준, 점검 주기 등)
  • 승인·변경 이력관리 절차 및 책임 주체
  • 연 1회 이상 기준 적정성 점검 및 갱신

기능개발: 없음

섹션 제목: “기능개발: 없음”

4.4 SER-012 (감사 로그 체계)

섹션 제목: “4.4 SER-012 (감사 로그 체계)”

✅ 정책/문서 (유지보수 범위 내)

섹션 제목: “✅ 정책/문서 (유지보수 범위 내)”
  • 로그 운영 문서 (설정값, 제공 이력, 점검·조치 내역)
  • 로그 요청·열람·제공 절차 (요청/승인/처리기한/기록)
  • 연 1회 이상 기준 운영 적정성 점검

✅ 기능개발 (별도 로그 저장소 구축 필요)

섹션 제목: “✅ 기능개발 (별도 로그 저장소 구축 필요)”

❌ 현재 방식의 문제점:

  • Drupal watchdog은 관리자가 버튼 클릭으로 삭제 가능
  • 감사 로그를 삭제 가능한 저장소에 기록하는 것은 정책 위반

✅ 신규 구현 방향:

  • 저장소: Drupal watchdog (DB) → NCP Object Storage (S3 호환, 프라이빗 버킷)
  • 저장 형식: DB 레코드 → 텍스트 파일 (일자별 로그)
  • 삭제 방지: 없음 (관리자 삭제 가능) → 리비전 관리 (삭제해도 복원 가능)
  • 보관 기간: 1년 → 1년 이상 (Object Storage 특성상 무제한 가능)

기록 대상:

  • 관리자 시스템 접근 이력 (로그인/로그아웃)
  • 콘텐츠 수정/삭제 이력
  • 개인정보 조회 이력 (취업관리시스템)

감사 로그 목적:

  1. 개인정보 유출 시 법적 대응 (추적 가능)
  2. 정상적인 사이트 운영 보장 (장애 원인 추적)
  3. 악의적 접근자 행위 추적 (책임 소재 규명)

5. 단위 기능별 개발 사항

섹션 제목: “5. 단위 기능별 개발 사항”

각 요구사항에서 실제 개발이 필요한 단위 기능을 정리합니다.

5.1 SER-009 침해사고 대응절차

섹션 제목: “5.1 SER-009 침해사고 대응절차”
  • 📝 5단계 대응절차 문서 - 현재 없음 → 대응 매뉴얼
  • 📝 초동조치 체크리스트 - 현재 없음 → 매뉴얼 부록
  • 악성코드 탐지/차단 - NCP 보안관제로 대응 (클라우드 서비스 활용)
  • 서버 백신 - NCP 보안관제로 대응 (별도 설치 불필요)

5.2 SER-010 정기 취약점 점검

섹션 제목: “5.2 SER-010 정기 취약점 점검”
  • 📝 점검 계획서 - 현재 없음 → 연간 계획서
  • 점검 도구 - 미사용 → OWASP ZAP 활용 (기존 도구)
  • 📝 결과보고서 - 현재 없음 → 점검 결과보고서
  • 📝 조치 내역서 - 현재 없음 → 취약점 조치 내역

COR-006 웹취약점 점검과 통합 수행

5.3 SER-011 시스템·데이터 분류체계

섹션 제목: “5.3 SER-011 시스템·데이터 분류체계”
  • 📝 분류 기준서 - 현재 없음 → 분류기준서
  • 📝 보안기준서 - 현재 없음 → 등급별 보안기준서
  • 📝 변경 이력관리 - 현재 없음 → 절차서 부록

순수 문서 작업, 기능 개발 없음

5.4 SER-012 감사 로그 체계

섹션 제목: “5.4 SER-012 감사 로그 체계”
  • 감사 로그 저장소 - Drupal watchdog (삭제 가능) → 개발 필요 → Object Storage 연동 모듈
  • 로그 수집 - 현재 없음 → 개발 필요 → 접근/수정 이력 수집 기능
  • 로그 조회/추출 - 현재 없음 → 개발 필요 → 관리자용 로그 조회 화면
  • 📝 로그 요청/제공 절차 - 현재 없음 → 로그 운영문서

5.5 연관 기능 (추가 검토)

섹션 제목: “5.5 연관 기능 (추가 검토)”
  • 개인정보 암호화 - 취업관리시스템 대상 → 개발 필요 (개인정보 多, 민감도 높음)
  • ⚙️ 세션 타임아웃 - 한울타리, 취업관리 대상 → 설정 변경 (30분 자동 로그아웃)

5.6 개발 사항 요약

섹션 제목: “5.6 개발 사항 요약”
  • 📝 문서 작업: 9건 (매뉴얼, 기준서, 보고서 등)
  • 기능 개발: 4건 (감사로그 저장소/수집/조회, 암호화)
  • ⚙️ 설정 변경: 1건 (세션 타임아웃)
  • 불필요: 4건 (NCP 보안관제 등 클라우드 서비스 활용)

결론: 감사 로그 체계 및 암호화 기능 개발 필요, 운영유지 범위 내 대응 가능

6. 기존 RFP 과업과의 대응 관계

섹션 제목: “6. 기존 RFP 과업과의 대응 관계”
  • SER-009 (문서): MAR-006 장애예방/처리 활동 → 포함 가능
  • SER-009 (악성코드): 신규 → 별도 인프라 비용
  • SER-010: COR-006 웹취약점 점검 → 중복 여부 확인 필요
  • SER-011: SER-001~003 (개인정보 보호) → 문서화 확장
  • SER-012: SER-001 접속기록 보관 → 1년 보관 현행 유지

7. 기능개발 필요 시 기존 과업 조정 검토

섹션 제목: “7. 기능개발 필요 시 기존 과업 조정 검토”

만약 악성코드 대응체계(SER-009)가 기능개발로 필요하다면:

섹션 제목: “만약 악성코드 대응체계(SER-009)가 기능개발로 필요하다면:”

조정 후보 (기존 SFR 중 공수 축소 가능 항목)

  • SFR-002 통합검색 필터: 현재 자치구·대상·주제·타입 4종 필터 → 2종 필터로 축소 → 예상 절감 3~5일
  • SFR-004 웹사이트 UI/UX: 현재 메뉴 고정 + 글자크기 + 접근성 → 글자크기만 → 나머지 연기 → 예상 절감 3~4일
  • SFR-005 콘텐츠 관리: 현재 통계 + 카테고리 + E-BOOK → E-BOOK 에디터 연기 → 예상 절감 5~7일

⚠️ 주의: 취업관리시스템(SFR-001)은 메인 과업이므로 축소 불가

8. 검토 결과 요약

섹션 제목: “8. 검토 결과 요약”

✅ 유지보수 범위 내 대응 가능

섹션 제목: “✅ 유지보수 범위 내 대응 가능”
  • SER-009 (문서화): 침해사고 대응 매뉴얼 작성 → 1일
  • SER-010 (자체 점검): OWASP ZAP 등 도구 활용 → 1일/회
  • SER-011: 분류기준서, 보안기준서 작성 → 1.5일
  • SER-012: 로그 운영문서 작성 → 1일
  • SER-012 로그 보관: 1년 보관 현행 유지

소계: 약 5일

❓ 별도 협의 필요

섹션 제목: “❓ 별도 협의 필요”
  • SER-009 악성코드 대응: 서버 백신/보안관제 도입 → 월 ~20만원 (Anti-Virus 4대 + IDS 2개)
  • SER-010 외부 취약점 점검: 전문 업체 위탁 시 → 100~300만원/회 (자체 점검 시 추가 비용 없음)

9. 기본 방침

섹션 제목: “9. 기본 방침”

아래 항목은 서울시와 별도 협의 없이 기본 방침으로 진행합니다.

  • SER-009 악성코드 대응: NCP Security Monitoring Managed (Option B 권장, 월 ~20만원)

    • 근거: Anti-Virus 4대 + IDS 2개, 24/365 보안관제 포함

  • SER-010 취약점 점검: 자체 점검 (OWASP ZAP 등), COR-006과 통합 수행

    • 근거: 외부 위탁 불필요, 기존 웹취약점 점검과 통합

  • SER-012 로그 보관: 1년 보관 (현행 유지)

    • 근거: 개인정보보호법 기준 충족

10. 결론

섹션 제목: “10. 결론”

검토 결과를 말씀드립니다.

1. 추가개발 범위 내 대응 (약 5일 공수)

  • SER-009: 침해사고 대응 매뉴얼 작성
    • → 악성코드 대응은 NCP 보안관제(Security Monitoring)로 갈음
  • SER-010: 자체 취약점 점검 (OWASP ZAP 등 활용)
    • → 기존 COR-006 웹취약점 점검과 통합 수행
  • SER-011: 분류기준서, 보안기준서 작성
  • SER-012: 로그 운영문서 작성
    • → 1년 보관 기준 현행 유지

2. 별도 비용 없이 진행 가능

  • 서버 백신: NCP 보안관제로 대체
  • 외부 취약점 점검: 자체 점검으로 대응