* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net

A평가원 연간 취약점 진단 및 보안컨설팅 사례

[ 고객사 ]

A평가원 (업태:공공기관)

[ 프로젝트 배경 및 주제 ]

대부분의 공공기관은 다수의 상위기관들로부터 감독을 받는 입장에 있으며 정보보안 예산을 확보하는데도 어려움이 뒤따른다. 고객사인 A평가원도 국가정보원을 비롯하여 다수의 상위기관으로 부터 감독을 받고 있으며 수시로 정보보안과 관련된 각종 지침이 하달되고 있는 상황이다. 특히 정기적인 국가정보원의 정보보안 실태점검은 기관장에 대한 평가에도 영향을 받기 때문에 기관입장에서는 그 평가 결과가 큰 이슈중에 하나이다.
이러한 환경에서 A평가원은 정기적인 보안취약점 점검, 모의해킹 진단, 분기별 정보보안 및 개인정보보호 교육, 정책지침 제·개정 등의 정보보안 활동을 아웃소싱하게 되었다.

[ 프로젝트 기간 ]

2013년 1년간 수행

[ IT 및 정보보안 환경 ]

  • 비즈니스 및 IT 환경

1987년 최초로 설립된 고객사는 국가연구개발사업에 대한 조사, 분석, 평가 및 조정과 배분을 지원하고 개선방안을 제고하며 국제협력 관련업무를 효율적으로 수행함으로써 과학기술진흥에 기여하고 있다.
A평가원이 운영하는 대부분의 정보시스템은 내부사정으로 인하여 자체 전산실에서 운영하고 있으며, 일부 시스템을 정부통합전산센터에서 위탁운영하고 있고, 자체인력 충원의 한계로 인하여 IT운영의 일부를 통합 아웃소싱하여 전담인력이 상주하여 운영을 지원하고 있다.

  • 정보보호 환경

A평가원의 정보보안은 표준적인 공공기관 정보보안 조직으로 구성되어 있어서 원장을 중심으로 구성된 정보보안위원회, 실무협의회가 구성되어 정보보안 예산승인 및 협의, 정책협의 및 승인을 하도록 하고 있으나 년 1회 정도의 회의록을 확인할 수 있으며 겸직으로 운영되고 있는 정보보안 전담인력은 기본적인 정보보안 활동만 수행하는데도 어려움을 많이 토로하고 있는 환경이다.
공공기관으로서 갖춰야 하는 기본적인 보안솔루션은 대부분이 갖춰져 있으나 장비의 노후화 등으로 인해 몇 가지 보안 솔루션에 대한 이슈가 존재하고 있다.

[ 주요 Activity와 산출물 ]

수행 단계 주요 수행 내용 결과 산출물
취약점 진단 수행 (연 2회) - 기존 정보시스템과 연중 반기 동안 신규로 구축, 개발 또는 리뉴얼된 정보시스템을 대상에 포함하여 수행
- 서버/WAS/Web/DBMS/네트워크/보안시스템에 대한 보안취약점 진단 (상/하반기 연 2회 수행)
- 대외 서비스 웹사이트에 대한 모의해킹 진단 (연 2회)
- 서버/WAS/Web 보안진단 결과보고서
- DBMS 보안진단 결과 보고서
- 네트워크 보안진단 결과 보고서
- 내/외부 웹사이트 모의해킹 진단 결과보고서
임직원 대상 정보보안 및
개인정보보호 인식제고
교육(연4회)
- 짝수 분기에 정보보안 교육실시 및 평가
- 홀수 분기에 개인정보보호 교육 실시 및 평가
- 각 분기별 교육계획서
- 각 분기별 교육자료
- 각 분기별 교육결과 평가서
정기적 정보보안 관련 규정
및 지침의 제·개정 (연1회)
- 연 1회의 정기적 정보보안 및 개인정보보호 규정, 지침의 제·개정
- 상위감독기관의 지침에 따른 변동 사항 발생시 관련 규정, 지침의 제·개정
- 정보보안 및 개인정보보호 규정, 지침
- 규정 및 지침 신·구 대조표
정기적 정보보안 훈련
실시 및 평가 (연1회)
- 정보보안 규정 및 지침에 근거하여 연간 1회의 훈련실시 및 평가 - 정보보안 훈련 계획서
- 정보보안 훈련 결과서
국가정보원 정보보안
실태조사 지원 (연1회)
- 매년 실시하는 국가정보원의 정보보안 실태조사시 지원
- 실태조사 사전 사후에 발생하는 각종 이슈 및 관련 자문 수행
- 관련 자문결과서

[ 프로젝트 CSF ]

  • 반복되는 모의해킹 및 취약점 진단결과에 대한 전후를 비교하여 반복적으로 발견되는 취약점을 파악하여 근본적인 개선방안 마련
  • 상위 감독기관의 감독의 평가 결과에 대한 적절한 수준관리
  • 반복적으로 실시되는 인식제고 교육에 대한 히스토리와 교육주제 관리로 교육의 효과 증진
  • A평가원의 규정 및 지침 제·개정에 대한 체계적인 히스토리 관리로 효율적인 변경관리 체계 마련