목차

A중앙 행정기관 정보보안 ISP 수립 컨설팅 사례

고객사

A 중앙행정기관 (분류: 행정기관)

배경 및 주제

고객사는 다수의 소속 및 산하기관의 보안관련 관리감독을 해야 하는 역할과 책임을 갖고 있는 중앙행정기관이다.
또한, 해당분야의 대표성을 갖는 중앙행정기관이기 때문에 보안뿐만 아니라 개인정보보호 등 관련된 각종 기관의 감독과 규정하에 있는 상황이다.
따라서 고객사는 일차적으로 각종 보안감독과 관련 규정에 유연하게 대응하기 위하여 정보보안 체계에 대한 종합적인 마스터플랜 수립을 목적으로 사업을 발주하였다.
고객사가 요청한 사업의 주요 내용은 아래와 같이 크게 2가지로 나눠진다.
- 중장기 정보보안 마스터플랜 수립 (환경분석, 정보보안 전략 및 체계 정의, 전략과제에 대한 이행계획 수립)
- 기타 요청과제 (소속산하기관 실태점검 개발, 정보화 용역사업 보안관리 실태점검 개발, 정보보호관리체계(ISMS) 인증 기반수립)

프로젝트 기간

2014년 3개월간 수행

비즈니스 및 IT환경

- 고객사는 최근 몇 년전에 세종청사로 이전한 중앙행정기관으로써 다수의 소속 및 산하기관을 관리.감독해야 하는 역할과 책임을 갖고 있다.
- 타 중앙행정부처와 비교하면 IT에 대한 의존도는 낮은 편이지만 모바일행정 업무, 클라우드, 빅 데이터 등 새로운 이슈들에 대한 보안이슈를 중앙행정부처 입장에서 정책적 기준을 수립하여 소속 및 산하기관에 제시해야 하는 입장이기도 하다.
- 대부분의 행정기관과 동일하게 중요한 정보시스템은 정부통합전산센터에 위탁운영하고 있으며, 일부 소속.산하기관이 자체적으로 운영하고 있는 대민서비스들이 있다.
- 고객사 자체적으로 운영하는 IT시스템은 주로 내부 업무용 시스템과 소속.산하기관을 관리하기 위한 시스템을 자체 전산실에서 마련하여 통합아웃소싱하고 있는 환경이다.

- 정보보안 정책은 관련 업무를 주관하는 국정원과 중앙행정부처의 정책을 반영하여 자체 정보보안 정책을 마련하여 운영하고 있으나 대부분의 공공/행정기관과 마찬가지로 현실성과 이행율이 낮은 부분이 있으나 지속적으로 전문인력 보강과 메뉴얼 작업을 진행하고 있는 상황이다.
- 정보보안 조직은 정규직원이외에 계약직원을 채용하여 비용적 부담을 경감시키고 타 전문기관과의 연락체계를 구축하여 긴급상황에 대비하고 있다.
- 가장 많은 정보보안 예산을 투자하고 있는 국가사이버안전관리규정에 따라 다수의 소속.산하기관 대상의 보안관제 업무로 상시 모니터링체계를 유지하고 있다.
- 중앙행정기관 입장에서의 가장 큰 업무인 소속.산하기관의 보안상시 모니터링 체계는 대상과 범위를 점차적으로 확대해가야 하는 이슈와 상호간의 양방향적 의사소통 체계 제고에 대한 이슈가 있어서 시스템화를 진행중에 있다.

컨설팅 주요 관점 및 특이사항

- 고객사는 중앙행정기관으로써 국정원을 비롯한 안행부 등의 보안 관련 주관행정기관에게서 각종 실태평가 등의 각종 감독을 받고 있는 상황이며, 세부사항들은 중복되는 부분이 많은 상황이다.
- 따라서 현황분석을 위한 체크리스트를 이러한 감독규정들을 통합한 체크리스트를 개발하여 적용함으로써 다양한 관점에서 현황을 분석하고 중장기 추진과제들을 수행했을때의 시뮬레이션으로도 활용하였다.

- AS-IS 분석만으로는 실질적인 환경과 현황을 파악하는데 한계가 있기 마련이기 때문에 최근 3년간의 AS-WAS도 함께 분석하였다.
- 최근 3년간의 보안예산, 인적구조, 정책적 구조, 소속.산하기관 보안감사 및 실태평가결과 등을 파악함으로써 실질적인 역량 파악과 추진이력의 특징을 파악하였다.
- 이러한 AS-IS외 AS-WAS의 파악은 짧은 기간동안에 보다 더 실질적인 고객사의 정보보안 환경과 현황을 파악하여 좀더 현실적 대책을 수립하는데 반영되었다.

- 대부분의 공공/행정기관들이 지침,절차는 잘 갖추고 있으나 실용적이지 못하여 효용성이 떨어지는 공통점이 있기 마련이다.
- 따라서, 내부 보안규정에서 정의된 각종 보안활동을 정기적수행, 수시수행, 필요시 수행 업무로 분류하고 이행정도를 파악하였다.
- 이러한 이행율 파악은 이행율이 낮은 원인을 파악하여 보안대책 수립과 중장기 추진과제 수립에 반영하였다.

- 현황분석 결과를 바탕으로 고객사가 추진해야 하는 향후 정보보안 과제의 후보군을 도출하고 몇 차례의 관련자 검토회의를 거쳐 최종과제를 선정하였다.
- 추진과제의 상세화를 위한 과제정의를 하고 과제추진을 위한 R&R정의, 세부추진 단계정의, 소요예산 파악을 수행하였다.
- 최종적으로 선정된 추진과제는 중요성(영향도, 시급도)과 용이성(환경용이, 비용용이)을 기준으로 우선순위를 선정하고 협의 조정하였다.
- 우선순위에 따라 추진 로드맵과 소요예산을 단기/중기/장기로 나눠 정리하고 추진시 어떤 효과가 있는지 시뮬레이션함으로써 단계별 보안수준을 가능할 수 있도록 하였다.

- 중장기 정보보안 추진계획과 더불어 요청된 3가지 수행과제는 관련자료 분석과 담당자 인터뷰 등으로 현재의 이슈사항을 파악하고 해결방안을 수립하였다.
- 담당자로서 업무수행의 애로사항 때문에 요청된 소속산하기관 실태점검 개발과 정보화 용역사업 보안관리 실태점검 개발 과제는 업무수행시 적용할 수 있도록 체크리스트와 활용방법을 기술한 가이드를 제작함으로써 가능한 바로 적용할 수 있도록 개발하였다.