2024-12-23 08:50 (월)
[G-PRIVACY 2019] "J-TOPS, 용역 사업 보안관리와 일일보안점검 이슈 해소"
상태바
[G-PRIVACY 2019] "J-TOPS, 용역 사업 보안관리와 일일보안점검 이슈 해소"
  • 길민권 기자
  • 승인 2019.04.14 13:29
이 기사를 공유합니다

안병현 좋을 연구소장 "J-TOPS의 '용역 사업 보안관리 리스트' 관리 기능 및 '일일보안점검' 자동화 기능으로 정보보호 담당자들 업무 효율성과 만족도 향상"

▲ G-PRIVACY 2019. 안병현 좋을 연구소장이 '일일보안 점검과 용역사업 보안관리 방안'에 대해 강연을 진행하고 있다. G-PRIVACY 2019에는 1천400여 명의 보안실무자들이 대거 참석했다.
▲ G-PRIVACY 2019. 안병현 좋을 연구소장이 '일일보안 점검과 용역사업 보안관리 방안'에 대해 강연을 진행하고 있다. G-PRIVACY 2019에는 1천400여 명의 보안실무자들이 대거 참석했다.
데일리시큐가 주최하는 상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2019가 4월 10일 1천400여 명의 보안실무자들이 참석한 가운데 양재동 더케이호텔서울 가야금홀에서 성황리에 개최됐다.

이 자리에서 좋을 안병현 연구소장은 '일일보안점검 for 용역사업 보안관리'를 주제로 세션발표를 진행했다.

용역사업에 있어서 보안관리는 정보보호 부서 담당자들의 중요 업무 부담이 되어 왔다. 정보보호 관리실태 점검에서도 용역사업에 관련된 다양한 항목들이 점검 항목에 포함되어 있다. 각종 정보보호 인증 과정에서도 용역사업에 대한 관리 업무량은 상당한 수준이다.

▲ 안병현 좋을 연구소장의 일일보안점검 관련 강연 발표자료.
▲ 안병현 좋을 연구소장의 일일보안점검 관련 강연 발표자료.
정보보호 관리실태 점검에 대비하는 증빙 자료 준비에는 개략적으로 입찰 및 계약 단계 5종, 수행 단계 33종, 완료 단계 5 종 등 합계 45 종의 문서가 필요하다. 수행되는 각 용역 사업의 특성에 따라 전체 문서 중에서 일부만을 선택적으로 적용하는 경우도 있다. 이러한 문서들은 정보보호 담당자가 직접 작성하기보다는 현장에서 근무하는 용역 사업 PM이 중심이 되어서 작성되어야 하는 측면이 강하다. 정보보호 부서가 각 부서에서 집행되는 용역 사업에 대해서 관련 문서들을 필요한 시점에 철저히 준비하는 것은 현실적인 어려움이 많이 있었다.

이에 J-TOPS는 이러한 현실적인 어려움들을 시스템화를 통해서 해결하도록 구성되어 있다. 모든 사업마다 각기 다른 환경 설정을 통해 필요한 보안 문서들을 지정하고 사업담당자와 PM에게 설정된 문서 목록을 공유해서 세부 문서들에 대한 작성과 등록을 수행하도록 '용역사업 보안관리 리스트' 관리 기능을 지원한다.

단계별 제한된 기간에 맞추어 작성된 문서는 시스템에 등록해 수정할 수 없도록 관리한다. 사업의 완료 후 철수를 위해서는 필요한 모든 문서들을 모두 등록하고 정보보호 부서 담당자들의 검증을 선행하도록 관리되고 있다. 사업이 완료되어 철수된 이후에도 필요한 모든 증빙 자료들을 사전에 확보하였기 때문에 매년 수행되는 각종 감사 준비에도 효율적으로 대비할 수 있다. 적은 시간의 투입으로도 필요한 모든 감사 준비를 완료할 수 있기 때문에 정보보호 부서 담당자들의 업무 만족도를 높이고 업무 강도와 기간을 최소화해서 높은 ROI를 확보할 수 있다.

▲ G-PRIVACY 2019. 안병현 좋을 연구소장 강연현장.
▲ G-PRIVACY 2019. 안병현 좋을 연구소장 강연현장.
안병현 연구소장은 "2018년부터 정보보호 분야 수행 업무에 있어서 '일일보안점검'이 이슈로 부각되고 있다. 그 동안 형식적으로 진행되어 왔던 일일보안점검을 실질적으로 수행해야 한다는 인식의 전환이 진행되고 있는 것으로 판단된다. 올해는 금융분야에서도 ‘일일보안점검’ 을 강화하라는 취지의 권고 사항들이 나타나고 있다"고 밝혔다.

J-TOPS는 이러한 트렌드에 맞추어 다수의 중앙부처를 중심으로 실질적인 ‘일일보안점검’ 기능을 개발했고, 용역 사업 참여 외주인력들에게 이미 적용되어 사용되고 있다.

‘일일보안점검’은 개별 외주 인력의 PC 상에서 발생되는 각종 보안 위협에 대한 사전 점검의 성격으로써 “PC 보안”, “인터넷 통제”, “시스템 통제” 등의 항목 유형들을 통해 세밀하게 점검하고 점검 결과를 별도로 취합하도록 구성되어 있다. 취합된 취약 항목에 대해서는 철저한 검증을 수행할 수 있도록 취약 사유에 대한 세부 정보까지 수집하고 있다.

특히 기존의 내 PC 지킴이가 설치된 많은 공공기관, 공기업에서도 J-TOPS의 ‘일일보안점검’을 활용해 외주 인력들에 대한 보안관리 수준에 대해 강화를 추진하고 있다. 점검 기관의 증빙자료로 제출되는 문서 형태에서 세부 취약사항을 파악하고 대비할 수 있는 시스템으로 확장되어 확실한 보안관리 효과를 얻을 수 있다.

안 소장은 "J-TOPS의 '용역 사업 보안관리 리스트' 관리 기능 및 '일일보안점검'과 더불어 정보보호 담당자들의 업무 효율성과 만족도를 향상시킬 수 있는 다양한 요구사항들을 반영할 수 있도록 더욱 노력하겠다"고 강조했다.

▲ G-PRIVACY 2019 좋을 전시부스.
▲ G-PRIVACY 2019 좋을 전시부스.
한편 좋을(오주형 대표)은 “통합 IT 외주인력 관리 플랫폼 J-TOPS” 제조사로서 많은 공공기관과 공기업, 의료기관, 금융 기관 등에 납품해 운영을 지원하고 있다.

오주형 대표는 "J-TOPS 제품 도입을 통해 각 기관들의 정보보호 부서 담당자들은 업무 편의성을 극대화시키면서 각종 보안점검에 체계적이고 효율적으로 대응할 수 있는 환경을 구축하게 되었다"며 "기존 고객들과 중요 중앙부처를 중심으로 요구사항들을 적극적으로 파악하여 반영함으로써 정보보호 업무 담당자들을 위한 플랫폼으로 더욱 발전시켜 나아갈 것"이라고 밝혔다.

'통합 IT 외주인력 관리 플랫폼 J-TOPS'는 공공기관과 공기업 등에서 수행하는 IT 용역사업에 참여하고 있는 외주인력에 대한 PC Agent 기반 보안관리를 위한 통합 플랫폼이다.

인력관리, 작업관리, 사업관리, 자산관리 등의 주요 기능을 토대로 에이전트를 활용한 PC 에 대한 완벽한 통제와 보안감사 대비 각종 증빙 자료 준비와 일일보안점검 기능들을 각 용역 사업별로 편리하게 관리할 수 있는 체계를 갖춘 솔루션이다.

J-TOPS는 보안담당자를 위한 외주인력 관리 플랫폼으로 용역사업에 대한 보안감사를 대비하는 인력투입부터 사업종료 및 철수까지의 모든 업무를 통합 관리할 수 있도록 지원한다. 각 용역 사업 담당자들에게 필요한 권한과 책임을 위임해 관리하고 향후 보안감사에 필요한 모든 증빙 자료와 로그들을 관리할 수 있는 기능을 제공한다.

2018년 중에 다양한 보안감사 항목 중에서 “용역사업 보안관리 리스트” 관리 기능과 “일일보안점검”에 관한 이슈가 제기되고 있다. 따라서 2019년에는 체계적인 “용역사업 보안관리 리스트에 대한 관리 시스템”을 통해 효율적인 정보보호 업무 수행을 지원하고 편의성을 높일 수 있도록 지원한다는 계획을 갖고 있다.

또한 “일일보안점검” 기능을 통해 “PC 보안”, “인터넷 통제”, “시스템 통제” 등의 환경에서의 네트워크 접속 이력, USB 매체 접속이력, 키워드 기반의 기밀문서 검색, 화면보호기 설정 등 다양한 보안 위협에 대해 점검해 결과를 수집하고 사유 등록을 통해 사후 관리까지 지원하고 있다.

올해 좋을은 금융분야에서 요구되는 외주인력 보안 관리 강화 방침에 맞춰 기존 고객사와 협력을 통해 금융분야에도 적극적으로 사업을 확장할 계획이다.

그리고 2018년 중앙부처와 협력으로 개선된 “용역사업 보안관리 리스트”의 관리 시스템과 “일일보안점검”을 통해 산하 기관들의 보안 관리 체계 확립을 위해 적극 지원할 계획이다. 더욱이 기존 납품된 30여 개 고객사에 대한 밀착 지원과 신속한 업그레이드를 수행해 신규 개발된 다양한 기능들의 활용도를 높여갈 수 있도록 지원할 계획임을 밝혔다.

좋을 안병현 연구소장의 G-PRIVACY 2019 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

[의료기관 컨퍼런스 안내]
국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2019
-MPIS 2019 사전등록:
http://conf.dailysecu.com/conference/mpis/2019.html
▶의료기관 및 메디컬 관련 기업 개인정보보호 및 정보보안 실무자만 참석 가능
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★