1. 핵심 개념 정리
보안 컨설팅 유형과 구조
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 1 | 관리 컨설팅 | 정책·지침·조직 체계 등 관리적 보안을 점검하는 컨설팅. 물리 보안 포함 | ISMS-P, 개인정보 관리체계 수립이 대표적 산출물. 오늘 프로젝트의 주 영역 |
| 2 | 기술 컨설팅 | 모의해킹, CCE(인프라 취약점 점검) 등 기술적 보안을 점검하는 컨설팅 | 수탁사 점검에서 인프라 취약점까지 다루지는 않음. 관리 점검이 중심 |
| 3 | 컨설팅 3단계 방법론 | 문서 검토 -> 인터뷰 -> 실사 순으로 진행. 각 단계 결과를 현황분석서로 도출 | 인터뷰 대상은 조직도를 기반으로 설정. 현장 실사는 물리적 보안 확인에 활용 |
| 4 | 현황 분석 단계 구성 | 정보자산목록 식별 -> 개인정보 흐름도 작성 -> 우려사항(예상 결함) 도출 | 자산 식별이 선행되어야 이후 체크리스트 점검이 의미 있어짐 |
| 5 | 경계보안 -> 제로 트러스트 | 전통적 경계 기반 보안에서 N2SF(Zero Trust) 패러다임으로 전환 중 | 클라우드·원격근무 확산으로 경계가 사라지면서 모든 접근을 검증하는 방식으로 변화 |
현황 분석 - 정보자산 및 개인정보 흐름
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 6 | 정보자산 목록 식별 | H/W, S/W, HR, DB, Network, WEB/WAS, Cloud, 개인정보 취급자, 중요문서, 물리 설비(소화기·스프링클러)까지 포함 | 자산 식별 범위가 넓을수록 이후 위험 분석의 완성도가 높아짐 |
| 7 | 개인정보 흐름도 | 수집 -> 보유/이용 -> 제공(제3자 제공/위탁/제공) -> 파기 단계로 구성 | 개인정보 영향평가 수행안내서 49p 참고. 외부 노출 정보는 별도 표시 필요 |
| 8 | 우려사항 도출 | 흐름도 하단에 예상되는 결함·위험 요소를 기재 | 점검 전에 예상 결함을 미리 정리해두면 체크리스트 작성과 인터뷰 설계에 활용 가능 |
| 9 | 보안 솔루션 레이어 | H/W : DDoS -> F/W -> IPS/IDS / S/W : 인증서, 키보드 보안 등 | 컨설팅 시 고객사의 보안 솔루션 현황을 파악하는 것이 현황 분석의 출발점 |
| 10 | 시큐어 코딩 | 개발 단계에서 보안 취약점을 사전에 제거하는 코딩 방식 | 컨설팅 업무에서도 개발 용어와 시큐어 코딩 개념은 기본으로 알아야 함 |
수탁사 점검 프로세스
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 11 | 체크리스트 결과값 | P(Pass/양호), N(Not Pass/취약), N/A(해당 없음) 세 가지로 구분 | N 항목에 대해서는 단순 지적이 아닌 보안 대책(개선 방안)을 함께 제시해야 함 |
| 12 | 제3자 제공 점검 제외 | 제3자 제공은 ‘던지면 끝’. 관리감독 의무가 없으므로 수탁사 점검 대상 아님 | 위탁 관계에만 관리감독 의무가 발생. 제3자 제공은 동의·공개로 처리 |
| 13 | 수탁사 진단 vs ISMS-P | 이번 프로젝트의 업무는 수탁사 진단 또는 ISMS-P 중 하나로 설정 | 수탁사 진단은 위탁자의 관리감독 이행을 위한 점검. ISMS-P는 인증 취득을 위한 심사 |
| 14 | 이행 점검 | 최초 점검 후 취약 항목에 대해 개선 여부를 한번 더 확인하는 절차 | 보고서 완성도를 높이는 요소. 프로젝트 내 이행 점검 시나리오를 포함하기로 결정 |
| 15 | 증적 관리 | 체크리스트 각 항목에 대한 근거 자료. 표지만 있어도 되는 것과 내용이 필요한 임팩트 있는 증적을 구분 | 모든 증적을 상세하게 작성하기보다, 핵심 항목에 집중하여 설득력 있는 증적 구성 |
프로젝트 산출물 체계
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 16 | 수행계획서 | 프로젝트 전체 계획을 담은 문서. WBS 포함. 1차 멘토링 산출물 | 결과보고서에 들어갈 내용을 미리 설계하는 문서 |
| 17 | 점검계획서 | 언제, 누가, 어디서 점검할지를 명시한 문서. 샘플 제공 예정 | 수탁사별로 별도 작성하거나 통합본으로 구성 가능 |
| 18 | 수탁사 보안수준 진단 체크리스트 | 수탁사 현황을 P/N/N/A로 채운 점검 결과 문서. 클라우드 항목 일부 포함 권장 | 너무 많은 항목 추가는 지양. 핵심 항목 중심으로 구성 |
| 19 | 수탁사 관리체계 | 수탁사 선정·관리 거버넌스, 관리 현황, 표준 계약서(보안 요구사항) 포함 | 고객사(위탁사)가 앞으로 수탁사를 어떻게 관리해야 하는지에 대한 마스터플랜 |
| 20 | 최종보고서 | 전체 프로젝트 절차·흐름·소감 + 수탁사 관리체계 포함한 종합 문서 | 5차 멘토링 최종 산출물. 수탁사별 결과보고서를 통합하는 구조 |
2. 프로젝트 활동 정리
활동 1: 오전 멘토링 - 보안 컨설팅 개념 강의
핵심 내용:
컨설팅 현황분석 단계:
-
정보자산목록 식별
- H/W, S/W, HR, DB, Network, WEB/WAS, Cloud
- 개인정보 취급자, 중요문서, 소화기·스프링클러 등 물리 자산 포함
-
개인정보 흐름도 작성
- 수집 -> 보유/이용 -> 제공(제3자제공/위탁/제공) -> 파기
- 흐름도 하단에 우려사항(예상 결함) 기재
- 참고: 개인정보 영향평가 수행안내서 49p
-
보안 솔루션 현황 파악
- H/W 레이어 : DDoS -> F/W -> IPS/IDS
- S/W 레이어 : 인증서, 키보드 보안 등
멘토 추천 학습 자료:
- ISRM (정보보호 위험관리) - 컨설팅 단계 이해에 핵심
- 보안기사 - 컨설팅 전반 이해에 도움
- 그림으로 배우는 보안구조 (교보문고)
- 개인정보포털 자료실 (안내서)
- 금융보안원
보안 인사이트:
- 컨설팅은 기술보다 의사소통이 핵심. 말을 소심하게 하면 안 되고, 자신감 있게 전달해야 함
- 개발 지식이 전혀 없어도 되는 게 아니라, 시큐어 코딩 용어 정도는 기본으로 알아야 함
- 영어 잘하면 번역 업무가 생길 수 있음 (현업 팁)
활동 2: 오후 멘토링 - 산출물 및 프로젝트 방향 확정
목표: 프로젝트 산출물 전체 목록 확정 및 위탁사·수탁사 구조 최종 결정
확정된 프로젝트 구조:
-
A사 (우리 팀 = 컨설팅 회사)
- 점검 수행 ->
-
B사 (고객사 = 위탁사, 항공사)
- 위탁 관계 ->
-
수탁사 5~6개 (점검 대상)
-
위탁사는 이름·업종 정도로만 설정. 핵심은 수탁사.
-
제3자 제공은 프로젝트 범위 외.
산출물 확정 목록:
| 멘토링 주 | 산출물 |
|---|---|
| 1차 | 프로젝트 수행계획서 (WBS 포함) |
| 2차 | 개인정보보호 협약서 |
| 2차 | 수탁사 보안수준 진단 체크리스트 |
| 3차 | 개인정보 취급 수탁사 현황 관리 양식 |
| 3차 | 수탁사 보안수준 진단 체크리스트 (현황 작성 버전) + 증적 |
| 4차 | 수탁사 보안수준 진단 결과보고서 |
| 4차 | 프로젝트 결과보고서 (초안) |
| 5차 | 프로젝트 결과보고서 (최종본) |
활동 3: 위탁사·수탁사 후보 확정 논의
위탁사 확정: 항공사
투표 결과 : 항공사 7명, 보험사 2명, 금융 1명 -> 항공사로 확정
참고 처리방침:
- 대한항공, 제주항공, 진에어, 티웨이항공, 에어부산, 에어서울, 에어로케이
최종 수탁사 후보 리스트:
-
케이터링 (LSG Sky Chefs Korea, CJ프레시웨이)
- 처리 정보 : 기저질환, 알레르기 정보 (민감정보 포함)
- 수탁하는 정보 범위를 알레르기·기저질환 체크 수준으로 한정
-
클라우드 (AWS)
- 웹 서버·DB 등 전산 자원 아웃소싱
-
물류 (한진택배 등)
- 지연·파손 수하물 사후 배송, 공항-숙소 간 배송
-
CS (콜센터)
- 채팅·전화 상담, 예약·발권 업무
- 규모가 가장 큼. 반드시 포함
-
금융 (쿠콘)
- 계좌 유효성 확인, 예금주 성명 조회
- 쿠콘 별도 조사 필요
-
마케팅 (설문조사)
- 고객 행동 분석, 설문 조사
-
IT - 키오스크 (이스페이스 등)
- 키오스크 보안, 탈출(이스케이프) 취약점
-
탑승 수속 수탁 업체 (유니에스, 에어코리아 등)
- 탑승자 정보 일부 위탁
-
스카이패스 (마일리지 관련)
수탁사 현황 시나리오 생성 방향:
AI 활용 방법:
- 체크리스트 점검 기준을 AI에게 제공
- 업종·클라우드 환경·조건을 다양하게 설정하여 수탁사 현황 시나리오 생성 요청
- 생성된 시나리오에서 ‘취약·양호·최적’ 분포가 적절한 것을 선별
- 체크리스트 항목 (구분, 범주, 영역, 점검 항목, 점검 방법, 법령 조항, 점검 내역, 증적명) 기준으로 I열(점검 내역)과 증적을 채워나가는 방식
핵심 : 프롬프트를 얼마나 잘 만드느냐가 시나리오 품질을 결정함
3. 비교·분석 표
산출물 성격별 분류
| 산출물 | 성격 | 제공 주체 | 우선순위 |
|---|---|---|---|
| 수행계획서 + WBS | 프로젝트 전체 계획 | 샘플 제공 예정 | 1차 멘토링까지 |
| 점검계획서 | 수탁사별 점검 일정·담당자 | 샘플 제공 예정 | 2차 전까지 |
| 체크리스트 | 수탁사 보안수준 진단 도구 | 기제공 (엑셀) | 2차까지 완성 |
| 수탁사 현황 시나리오 | 점검 대상 가상 시나리오 | 팀이 직접 작성 | 즉시 착수 |
| 보안 대책 | 취약 항목 개선 방안 제시 | 팀이 직접 작성 | 수탁사별 워드 보고서 |
| 증적 | 체크리스트 항목별 근거 자료 | 팀이 직접 구성 | 임팩트 있는 것 중심 |
| 최종보고서 | 전체 절차·흐름·수탁사 관리체계 | 팀이 직접 작성 | 5차 최종 |
수탁사 유형별 특수 개인정보 처리 현황
| 수탁사 유형 | 처리 정보 | 민감정보 여부 | 점검 포인트 |
|---|---|---|---|
| 케이터링 | 기저질환, 알레르기, 종교(기내식) | 민감정보 포함 | 민감정보 처리 동의·암호화·접근통제 집중 점검 |
| CS (콜센터) | 예약정보, 고객 성명·연락처·결제정보 | 일반 개인정보 | 대용량 처리로 접속기록·접근권한 관리 핵심 |
| 클라우드 (AWS) | 웹·DB 전산자원 위탁 | 간접 처리 | 재위탁 현황, 물리적 보안, 접근통제 체계 |
| 금융 (쿠콘) | 계좌번호, 예금주 성명 | 금융정보 | 금융 개인정보 암호화·전송 구간 보안 |
| 물류 (한진) | 배송지, 연락처, 성명 | 일반 개인정보 | 파기 절차, 배송 완료 후 데이터 삭제 |
| 키오스크 | 탑승자 정보 입력·조회 | 일반 개인정보 | 키오스크 탈출(이스케이프) 취약점, 화면 잠금 |
| 탑승수속 | 탑승자 전체 정보 | 일반 개인정보 | 위탁 범위 명확화, 접근권한 관리 |
4. 심화 분석
SKT 사례로 보는 보안 컨설팅 프로젝트 구조
| 구분 | SKT 프로젝트 | 우리 프로젝트 적용 |
|---|---|---|
| 관리 | 전사 프로젝트, 개인정보 관리 | 수탁사 관리체계 수립, 협약서 작성 |
| 인프라 점검 | 서버·네트워크 취약점 점검 | 수탁사 기술적 보호조치 체크리스트 |
| 유통망 점검 | 대리점 위수탁 관계 점검 | 항공사 수탁사 5~6개 점검 (우리 프로젝트와 동일 구조) |
핵심 인사이트:
SKT 유통망 점검 구조(대리점 위수탁 점검)가 우리 프로젝트(항공사 수탁사 점검)와 동일한 구조임을 확인. 실제 현업에서 동일한 방식으로 수행되는 컨설팅 프로젝트라는 점에서 오늘 프로젝트 방향의 현실성이 검증된 셈이다.
수탁사 현황 시나리오 설계 방향
AI 프롬프트 구성 요소:
-
점검 대상 수탁사 업종 및 규모 설정
- 예: “케이터링 업체, 직원 500명, 클라우드 미사용, 자체 서버 운영”
-
체크리스트 점검 기준 제공
- 구분 / 범주 / 영역 / 점검 항목 / 점검 방법 / 법령 조항
-
시나리오 생성 요청
- “위 조건의 수탁사가 체크리스트 각 항목에 대해 어떤 현황을 가지고 있는지 시나리오를 작성해줘”
- 취약/양호/최적이 적절히 분포하도록 설정 요청
-
결과 검토 및 선별
- 너무 완벽하거나 너무 취약한 시나리오 제거
- 현실적인 분포를 가진 시나리오 채택
-
I열(점검 내역)과 증적명 채우기
- 시나리오 기반으로 각 항목의 현황 기술
- 증적 자료 목록 작성
5. 실무/보안 적용
보안 전문가 관점 - 컨설팅 수행 단계별 핵심 포인트
| 단계 | 핵심 활동 | 산출물 | 주의사항 |
|---|---|---|---|
| 준비 | 수탁사 현황 파악, 체크리스트 구성, 점검계획서 작성 | 수행계획서, 점검계획서 | 수탁사 업종별 특수성 사전 파악 필수 |
| 현황 분석 | 문서 검토 -> 인터뷰 -> 실사 | 현황분석서, 정보자산목록 | 인터뷰 대상은 조직도 기반으로 설정 |
| 점검 수행 | 체크리스트 기반 P/N/N/A 판정 | 체크리스트 결과, 증적 | 감사가 아닌 컨설팅이므로 지적이 아닌 개선 방향 제시 |
| 보고 | 수탁사별 워드 보고서 + 최종보고서 | 결과보고서, 최종보고서 | 임팩트 있는 증적 중심으로 구성 |
| 이행 점검 | 취약 항목 개선 여부 재확인 | 이행 점검 결과 | 보고서 완성도를 높이는 요소 |
컨설팅 문서 검토 체크리스트
현장 문서 검토 항목 (컨설팅 수행 시):
-
조직 관련
- 조직도 수령 및 검토
- 개인정보보호 담당자 확인
-
정책·지침 관련
- 보안 정책서 / 보안 규정 존재 여부
- 서버 보안 지침 존재 여부
- 운영 프로그램 지침 존재 여부
- 개인정보 규정 존재 여부
- 회의록 (보안 관련) 존재 여부
-
위수탁 관련
- 위탁 계약서 필수 기재사항 포함 여부
- 수탁사 관리 감독 이행 증적 존재 여부
- 재위탁 현황 파악 여부
-
기술적 보호조치 관련
- 접근권한 관리 현황
- 암호화 적용 현황
- 접속기록 보관 현황 (최소 6개월)
6. 배운 점 및 인사이트
새로 알게 된 점
- 컨설팅의 3단계 방법론: 문서 검토 -> 인터뷰 -> 실사라는 구체적인 수행 순서와 각 단계의 산출물을 처음으로 명확하게 이해함
- 수탁사 현황 시나리오의 역할: 체크리스트를 채우기 위한 가상의 수탁사 상황을 AI로 설계하는 방식이 프로젝트의 핵심 작업임을 확인
- 케이터링의 민감정보 처리: 기내식 정보에 기저질환·종교 정보가 포함되어 민감정보 처리가 발생하는 수탁사라는 점이 흥미로운 포인트
- 키오스크 보안의 특수성: 이스케이프 취약점이라는 물리적 + 기술적 복합 취약점이 존재하여 점검 포인트로서 차별성을 가짐
- 증적의 선택과 집중: 모든 증적을 상세하게 작성하기보다 임팩트 있는 핵심 증적에 집중하는 것이 실무 접근 방식임을 확인
이전 학습과의 연결고리
- Day 81~82 위수탁 학습과 연계: 이틀간 공부한 위수탁 개념과 제3자 제공 구분이 멘토링에서 그대로 적용됨을 확인. 특히 “제3자 제공은 점검 대상 아님"이 명확히 정리됨
- ISMS-P 학습과 연계: 현황 분석 단계(정보자산 식별, 흐름도, 우려사항)가 ISMS-P 인증 준비 절차와 동일한 구조임을 재확인
- 기술적 보호조치 -> 체크리스트 항목 전환: 이전에 정리한 접근통제·암호화·접속기록 항목이 수탁사 체크리스트의 실제 점검 항목으로 그대로 연결됨
실무 적용 아이디어
보안 전문가 관점:
- AI 프롬프트 설계 역량: 수탁사 현황 시나리오 생성의 품질이 프롬프트에 달려 있음. 체크리스트 항목을 구조화하여 AI에게 전달하는 방식을 연습해두는 것이 향후 실무에서도 유용함
- 케이터링 민감정보 포인트 활용: 기내식 정보에 기저질환·종교 정보가 포함된다는 사실은 컨설팅 보고서에서 “왜 이 수탁사를 선정했는가"에 대한 설득력 있는 근거가 됨
- 키오스크 취약점 차별화: 타 팀과 수탁사가 겹칠 경우 키오스크·탑승수속 수탁사처럼 차별화된 영역을 포함시키는 것이 프로젝트 완성도에 기여함
프로젝트 리더 관점:
- 방향이 잡힌 이후의 속도: 멘토링으로 방향이 확정된 만큼 다음 회의에서 WBS, 수탁사 리스트 확정, 조직도 작성을 빠르게 처리해야 함
- WSTS 자료 활용: WBS 작성 전에 팀장님 자료를 반드시 참고
7. Quick Reference
프로젝트 전체 구조 요약
컨설팅 팀 역할:
- A사 (Team Libero, 컨설팅 회사) ->
- B사 (항공사, 위탁자·고객사) - 이름·업종만 설정 ->
- 수탁사 5~6개 (점검 대상)
- CS (콜센터) <- 필수 포함
- 케이터링 <- 민감정보 처리
- 클라우드 (AWS) <- 재위탁 이슈
- 물류 (한진택배) <- 파기 절차
- 금융 (쿠콘) <- 금융정보
- 키오스크 <- 기술적 취약점
- (탑승수속, 스카이패스 등 추가 검토 중)
점검 방식:
- 체크리스트 -> P / N / N/A
- N 항목 -> 보안 대책 제시 (감사 아닌 컨설팅)
- 최종 -> 이행 점검 포함
산출물 일정 요약표
| 구분 | 항목 | 핵심 키워드 | 주요 내용 | 담당 |
|---|---|---|---|---|
| 1차 | 수행계획서 | WBS 포함 | 전체 프로젝트 계획 | 팀 전체 |
| 2차 | 협약서·체크리스트 | 보안 요구사항 | 수탁사 점검 도구 | 팀 전체 |
| 3차 | 현황 관리 양식·체크리스트 | 현황 작성 + 증적 | 수탁사 시나리오 기반 | 2인 1수탁사 |
| 4차 | 결과보고서·초안 | P/N 결과 + 대책 | 수탁사별 워드 보고서 | 2인 1수탁사 |
| 5차 | 최종보고서 | 관리체계 포함 | 전체 종합 | 팀 전체 |
다음 회의 준비 체크리스트
즉시 착수:
- 수탁사 현황 시나리오 프롬프트 작성 및 테스트
- 수탁사 후보 중 최종 5~6개 선정
- 쿠콘 조사 (금융 수탁사)
- ISRM 읽어오기
- WBS 참고 자료 확인 (팀장님 자료)
다음 회의 안건:
- 수탁사 현황 시나리오 결과 공유
- 최종 수탁사 리스트 확정
- 가상 회사 이름·대표 설정
- 조직도 작성
- WBS 작성 시작
8. 트러블슈팅
오늘은 멘토링을 통해 방향이 명확하게 잡혔고 특별한 트러블슈팅 이슈는 없었음. 이전까지의 미결 사항들이 대부분 해소됨.
| 이전 미결 사항 | 멘토링 결과 | 상태 |
|---|---|---|
| 핀테크 vs 항공사 주제 결정 | 항공사로 확정 (7:2:1 투표) | 해결 |
| 제3자 제공 포함 여부 | 점검 대상 아님. 프로젝트 범위 외 | 해결 |
| 수탁사 수·구조 | 5~6개, 2인 1수탁사 구조 확정 | 해결 |
| 산출물 전체 목록 | 1차~5차 산출물 목록 확정 | 해결 |
| 멘토링 소통 방식 | 점심·저녁 시간대 연락 선호 확인 | 해결 |
Today’s Insight:
멘토링 전까지 키 없는 배처럼 느껴졌던 프로젝트가 오늘 방향타를 얻었다. 위탁사는 항공사, 수탁사는 56개, 2인 1수탁사 구조, 산출물은 1차5차 멘토링 기준으로 명확하게 확정되었다. 특히 “위탁사가 중요한 게 아니라 수탁사가 중요하다"는 멘토님의 한 마디가 프로젝트의 핵심을 정확히 짚어주었다. 이제 방향이 잡혔으니 속도를 올릴 차례다. 수탁사 현황 시나리오를 얼마나 현실적이고 촘촘하게 만드느냐가 프로젝트 전체 품질을 좌우한다는 것도 오늘의 핵심 인사이트다. 당장 프롬프트 설계부터 시작해야 한다.