고객사: A 출연기관 (분류: 공공기관)
프로젝트 기간: 2013년 2개월간 수행
프로젝트 배경 및 주제
고객사는 정부 출연기관이며, 국정원의 정보보안 실태평가 등 정기적인 상위기관의 감독을 받으면서 중장기 정보보안계획의 부재가 지적되었다.
상위감독기관의 감독규정과 더불어서 중장기에 대한 청사진 확보, 단계적 정보보안 로드맵과 예산확보 등 내부 관리상의 필요에서도 정보보안 계획의 필요성을 인지하고 있었다.
기술적 취약점 진단 업무는 반기별로 외부 전문업체가 수행하고 있었기 때문에 기술적 보안에 대한 사항은 그 결과를 받아서 활용하였다.
IT 및 정보 보안 환경
비즈니스 및 IT환경
고객사는 위원회 산하의 특수법인의 정부 출연기관으로서, 연구, 기획, 평가업무를 주요 업무로 수행하고 있다.
IT업무를 포함한 겸직의 정보보안 관리자 및 담당자를 포함한 대부분의 임직원이 고급인력들로 구성되어 있어서 공공기관이지만 가능한 업무를 효율적으로 수행하고자 하는 업무환경이다. 출연기관의 특성상 IT시스템은 자체시스템과 관련 기관으로부터 위탁운영을 하고 있는 시스템도 다수 있으며, 소유와 운영주체가 상이한 상황에서의 보안정책 적용에 어려움이 있는 특수성도 있다. 정보시스템의 운영은 여타 유사규모의 공공기관과 동일하게 IT통합 아웃소싱을 하고 있어서 상주하고 있는 외주직원, 정규직원이외의 계약직원도 업무를 수행하고 있는 환경이다.
정보보호 환경
정보보안 조직은 여타 정부출연기관과 마찬가지로 최소한의 기본요건들을 갖추고 CSO와 책임자, 실무자가 1명씩 업무분장을 하고 있다. 정책이나 규정등의 문서는 규모 적절하게 정책서에 해당하는 하나의 문서에 대부분의 기본적인 내용을 모두 담고 있었고, 나머지 문서들은 매뉴얼로 전결규정을 낮춰서 가볍게 운영하고 있다. 보안솔루션은 여타 공공기관들과 같이 의무적으로 보유해야 하는 바이러스백신, 유해사이트차단, 매체제어 솔루션 등이 있었으나, 망분리 구축이 이뤄지지 않은점, 64비트 적용이 미흡한 영역의 솔루션 등이 현장의 이슈로 관리되고 있었다.
마스터플랜 수립
전사적차원의 정보보안을 관리하기 위한 체계가 부분적이고 산발적인 문제점이 발견되어 전사적 정보보안 프레임워크를 개발하여 현황분석과 중장기 정보보안 계획을 수립하였다.
현황분석결과 도출된 향후 추진과제는 복잡하지 않도록 구현의 난이도와 파급효과(영향도)만을 적용하여 우선순위를 선정하였다. 추진과제별 이행하기 위해 선정된 세부 실행방안은 과제정의서를 작성하여 AS-IS와 TO-BE를 비교하여 해당과제를 추진함에 따라 변화되는 모습을 알 수 있도록 하였다. 실행방안은 해당과제를 단계적으로 어떻게 수행을 해나갈지 얼마의 소요예산이 필요한지 어떤 조직이 수행주체가 될지 추진시 유의 또는 고려해야 할 사항은 무엇인지를 정리함으로써 해당 과제별 향후 사업발주시 고려해야 하는 사항들을 정리하였다. 보안솔루션 도입이 필요한 추진과제는 물리적 아키텍쳐까지 설계가 어려운 경우 논리적아키텍처(안)을 설계 함으로써 향후 과제추진시 불필요한 업무를 최소화할 수 있도록 제시하였다.
향후 추진과제들은 전체 과제 로드맵(Road map)과 소요예산을 요약하여 전체 추진과제를 한눈에 알 수 있도록 하였다.
프로젝트 CSF
- 프로젝트 착수부터 완료까지 이해관계자와의 지속적인 의사소통으로 단기간에 정확한 현황분석과 적합한 추진과제 선정과 설계
- 선정된 추진과제는 국내외 관련 선진 또는 우수사례를 파악하여 고객사에 적합한 적용방안을 설계
- 전체 네트워크 구조개선과 같이 논리적 또는 물리적 아키텍쳐까지 설계가 가능한 영역까지 설계하여 추후 해당 과제 추진시 불필요한 업무를 최소화
- 해당과제별 추진조직 등 이해관계자와의 충분한 의사소통으로 추진과제에 대한 공감대 형성
주요 Activity와 산출물
| 수행 단계 | 주요 수행 내용 | 결과 산출물 |
|---|---|---|
| IT 및 보안현황파악 | – IT 및 보안관련 문서 파악 – 상위감독기관 및 관련 법·제도 파악 – 정보화현황(자산목록 등) 파악 – 정보보안 활동 이력 파악 | – 수행계획서 |
| 마스터플랜 수립 | – 추진과제 Prototype 개발, 검토 – 단/중/장기 추진과제 설계 – 단/중/장기 추진과제별 소요예산 조사 – 단/중/장기 추진과제 Roadmap 설계 | – 정보보안 마스터플랜 |
| 우수 및 선진사례 파악 | – 국내외 선진, 우수사례 파악 – 조사된 우수사례 적용방안 수립 | – 국내/외 선진, 우수사례조사서 |
- 산출물 예시 : 전사적 정보보안 프레임워크, 추진과제의 우선순위선정, 전체적 로드맵설계
