이 자리에서 좋을 안병현 연구소장은 '일일보안점검 for 용역사업 보안관리'를 주제로 세션발표를 진행했다.
용역사업에 있어서 보안관리는 정보보호 부서 담당자들의 중요 업무 부담이 되어 왔다. 정보보호 관리실태 점검에서도 용역사업에 관련된 다양한 항목들이 점검 항목에 포함되어 있다. 각종 정보보호 인증 과정에서도 용역사업에 대한 관리 업무량은 상당한 수준이다.
이에 J-TOPS는 이러한 현실적인 어려움들을 시스템화를 통해서 해결하도록 구성되어 있다. 모든 사업마다 각기 다른 환경 설정을 통해 필요한 보안 문서들을 지정하고 사업담당자와 PM에게 설정된 문서 목록을 공유해서 세부 문서들에 대한 작성과 등록을 수행하도록 '용역사업 보안관리 리스트' 관리 기능을 지원한다.
단계별 제한된 기간에 맞추어 작성된 문서는 시스템에 등록해 수정할 수 없도록 관리한다. 사업의 완료 후 철수를 위해서는 필요한 모든 문서들을 모두 등록하고 정보보호 부서 담당자들의 검증을 선행하도록 관리되고 있다. 사업이 완료되어 철수된 이후에도 필요한 모든 증빙 자료들을 사전에 확보하였기 때문에 매년 수행되는 각종 감사 준비에도 효율적으로 대비할 수 있다. 적은 시간의 투입으로도 필요한 모든 감사 준비를 완료할 수 있기 때문에 정보보호 부서 담당자들의 업무 만족도를 높이고 업무 강도와 기간을 최소화해서 높은 ROI를 확보할 수 있다.
J-TOPS는 이러한 트렌드에 맞추어 다수의 중앙부처를 중심으로 실질적인 ‘일일보안점검’ 기능을 개발했고, 용역 사업 참여 외주인력들에게 이미 적용되어 사용되고 있다.
‘일일보안점검’은 개별 외주 인력의 PC 상에서 발생되는 각종 보안 위협에 대한 사전 점검의 성격으로써 “PC 보안”, “인터넷 통제”, “시스템 통제” 등의 항목 유형들을 통해 세밀하게 점검하고 점검 결과를 별도로 취합하도록 구성되어 있다. 취합된 취약 항목에 대해서는 철저한 검증을 수행할 수 있도록 취약 사유에 대한 세부 정보까지 수집하고 있다.
특히 기존의 내 PC 지킴이가 설치된 많은 공공기관, 공기업에서도 J-TOPS의 ‘일일보안점검’을 활용해 외주 인력들에 대한 보안관리 수준에 대해 강화를 추진하고 있다. 점검 기관의 증빙자료로 제출되는 문서 형태에서 세부 취약사항을 파악하고 대비할 수 있는 시스템으로 확장되어 확실한 보안관리 효과를 얻을 수 있다.
안 소장은 "J-TOPS의 '용역 사업 보안관리 리스트' 관리 기능 및 '일일보안점검'과 더불어 정보보호 담당자들의 업무 효율성과 만족도를 향상시킬 수 있는 다양한 요구사항들을 반영할 수 있도록 더욱 노력하겠다"고 강조했다.
오주형 대표는 "J-TOPS 제품 도입을 통해 각 기관들의 정보보호 부서 담당자들은 업무 편의성을 극대화시키면서 각종 보안점검에 체계적이고 효율적으로 대응할 수 있는 환경을 구축하게 되었다"며 "기존 고객들과 중요 중앙부처를 중심으로 요구사항들을 적극적으로 파악하여 반영함으로써 정보보호 업무 담당자들을 위한 플랫폼으로 더욱 발전시켜 나아갈 것"이라고 밝혔다.
'통합 IT 외주인력 관리 플랫폼 J-TOPS'는 공공기관과 공기업 등에서 수행하는 IT 용역사업에 참여하고 있는 외주인력에 대한 PC Agent 기반 보안관리를 위한 통합 플랫폼이다.
인력관리, 작업관리, 사업관리, 자산관리 등의 주요 기능을 토대로 에이전트를 활용한 PC 에 대한 완벽한 통제와 보안감사 대비 각종 증빙 자료 준비와 일일보안점검 기능들을 각 용역 사업별로 편리하게 관리할 수 있는 체계를 갖춘 솔루션이다.
J-TOPS는 보안담당자를 위한 외주인력 관리 플랫폼으로 용역사업에 대한 보안감사를 대비하는 인력투입부터 사업종료 및 철수까지의 모든 업무를 통합 관리할 수 있도록 지원한다. 각 용역 사업 담당자들에게 필요한 권한과 책임을 위임해 관리하고 향후 보안감사에 필요한 모든 증빙 자료와 로그들을 관리할 수 있는 기능을 제공한다.
2018년 중에 다양한 보안감사 항목 중에서 “용역사업 보안관리 리스트” 관리 기능과 “일일보안점검”에 관한 이슈가 제기되고 있다. 따라서 2019년에는 체계적인 “용역사업 보안관리 리스트에 대한 관리 시스템”을 통해 효율적인 정보보호 업무 수행을 지원하고 편의성을 높일 수 있도록 지원한다는 계획을 갖고 있다.
또한 “일일보안점검” 기능을 통해 “PC 보안”, “인터넷 통제”, “시스템 통제” 등의 환경에서의 네트워크 접속 이력, USB 매체 접속이력, 키워드 기반의 기밀문서 검색, 화면보호기 설정 등 다양한 보안 위협에 대해 점검해 결과를 수집하고 사유 등록을 통해 사후 관리까지 지원하고 있다.
올해 좋을은 금융분야에서 요구되는 외주인력 보안 관리 강화 방침에 맞춰 기존 고객사와 협력을 통해 금융분야에도 적극적으로 사업을 확장할 계획이다.
그리고 2018년 중앙부처와 협력으로 개선된 “용역사업 보안관리 리스트”의 관리 시스템과 “일일보안점검”을 통해 산하 기관들의 보안 관리 체계 확립을 위해 적극 지원할 계획이다. 더욱이 기존 납품된 30여 개 고객사에 대한 밀착 지원과 신속한 업그레이드를 수행해 신규 개발된 다양한 기능들의 활용도를 높여갈 수 있도록 지원할 계획임을 밝혔다.
좋을 안병현 연구소장의 G-PRIVACY 2019 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
[의료기관 컨퍼런스 안내]
국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2019
-MPIS 2019 사전등록: http://conf.dailysecu.com/conference/mpis/2019.html
▶의료기관 및 메디컬 관련 기업 개인정보보호 및 정보보안 실무자만 참석 가능
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
★정보보안 대표 미디어 데일리시큐!★