1. 핵심 개념 정리
수탁사 시나리오 설계 원칙
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 1 | 수탁사 시나리오의 목적 | 체크리스트 각 항목(점검 내역·증적)을 채우기 위한 가상의 수탁사 현황을 설계하는 작업 | 시나리오가 현실적이어야 체크리스트 결과와 보안 대책이 설득력을 가짐 |
| 2 | 시나리오 선정 기준 | 개인정보가 많이 처리되는가 / 현황이 잘 나오는가 / 실제 회사와 유사한가 | 세 기준을 모두 충족하는 수탁사가 컨설팅 보고서의 완성도를 높임 |
| 3 | 취약·양호·최적 분포 | 체크리스트 결과를 취약(30%) / 양호(50%) / 최적(20%) 비율로 구성 | 너무 완벽하거나 너무 취약한 시나리오는 현실성이 없어 보고서 설득력이 떨어짐 |
| 4 | AI 프롬프트 설계 | 체크리스트 항목(구분·범주·영역·점검 항목·점검 방법·법령 조항)을 구조화해 AI에 전달 | 프롬프트 품질이 시나리오 품질을 결정함. 여러 AI 툴에 동일 프롬프트를 돌려 비교 선별 |
| 5 | I열(점검 내역) 채우기 | 시나리오 기반으로 각 체크리스트 항목의 현황을 기술하고 증적명을 매핑하는 핵심 작업 | 점검 내역이 구체적일수록 실사 기반 컨설팅처럼 보임. 임팩트 있는 증적 중심으로 구성 |
클라우드 보안 점검 항목 (신규 추가)
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 6 | SaaS 계정 접근통제 (4.1) | 업무용 SaaS(협업툴·메일·CRM 등) 계정에 MFA 의무 적용 여부 점검 | SaaS 해킹의 90%는 직원 계정 탈취에서 시작. MFA 점검은 SaaS 보안의 핵심 |
| 7 | SaaS 외부 공유 통제 (4.2) | 클라우드에 저장된 개인정보 파일을 외부 공유할 때 접근 암호·유효기간·다운로드 제한 적용 여부 | 구글 드라이브·노션 등 ‘링크 있는 모든 사용자 공개’ 설정으로 개인정보가 검색에 노출되는 사고가 빈번함 |
| 8 | 클라우드 재위탁 관리 (4.3) | 수탁사가 위탁받은 개인정보를 SaaS에 저장할 경우 이를 재위탁으로 간주하여 위탁사 사전 승인 획득 여부 | 수탁사가 고객사 몰래 해외 SaaS에 개인정보를 올리면 국외 이전 및 무단 재위탁 문제 발생 |
| 9 | 국외 이전 이슈 | 개인정보를 해외 서버에 저장·처리하는 경우 정보주체 동의 또는 법적 근거 필요 | 클라우드 서비스 특성상 데이터가 어느 국가 서버에 저장되는지 반드시 확인해야 함 |
| 10 | 퇴사자 SaaS 계정 처리 | 퇴사자 발생 시 SaaS 계정 즉시 차단 및 회수 프로세스 이행 여부 | 퇴사자 계정 미삭제는 내부자 위협의 대표적 사례. 온프레미스와 SaaS 계정 모두 동시에 처리해야 함 |
케이터링 수탁사 핵심 보안 특성
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 11 | 민감정보 처리 구조 | 종교식·알레르기·건강정보(식이 제한)가 처리되어 일반 수탁사 대비 민감정보 비중이 높음 | 민감정보는 동의·암호화·접근통제 모든 항목에서 일반 개인정보보다 높은 기준 적용 필요 |
| 12 | IT·현장 보안 격차 | ERP 중심 IT 인프라는 우수하나, 조리 현장(주방)의 물리적 보안이 매우 취약한 이중 구조 | 기술적 통제가 아무리 강해도 현장 출력물·공용 계정·스마트폰 촬영 하나로 모두 무력화됨 |
| 13 | 라벨 출력물 취약점 | 특수식 명단이 종이 라벨로 출력되어 조리대에 방치되는 구조. 이면지 재사용·파쇄 미흡 문제 포함 | 디지털 보안이 아무리 강해도 종이 출력물 단계에서의 노출이 핵심 위험 요소가 됨 |
| 14 | 무승인 재위탁 | 식자재 공급업체에 특수식 명단을 카카오톡으로 전달하는 관행 (위탁사 서면 승인 없음) | 개인정보보호법 제26조 위반. 재위탁 계약서 필수 조항 누락 시 과태료 및 손해배상 발생 |
| 15 | KC&D 사례 적용 | Oracle EBS 미패치로 인한 해킹 시나리오를 실제 KC&D 사고 사례에서 차용 | 실제 사고 사례를 시나리오에 반영하면 컨설팅 보고서의 현실성과 설득력이 크게 높아짐 |
물류 수탁사 핵심 보안 특성
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 16 | 지입차주 재위탁 구조 | 물류 현장에서 지입차주(개인 차주)에게 고객 정보를 카톡으로 전달하는 관행 | 지입차주는 사실상 재위탁 관계이나 계약서 미비·승인 절차 부재로 법적 공백 발생 |
| 17 | PDA 공용 계정 | 창고 현장에서 공용 PDA를 단일 계정으로 전 직원이 공유. 사고 발생 시 책임 추적 불가 | 계정 개인화가 되지 않으면 접속 로그가 있어도 누가 무엇을 했는지 특정 불가 |
| 18 | API 스크래핑 취약점 | 화물 조회 페이지에 해외 IP 대량 요청이 들어와도 방화벽 차단이 미흡한 상태 | Rate Limiting, IP 차단, CAPTCHA 등 API 보호 대책이 없으면 대규모 데이터 수집 공격에 무방비 |
| 19 | 차량·이동 중 보안 | 배송 트럭 조수석에 화물 지시서를 방치하고 차량 문을 잠그지 않는 관행 | 물리적 이동 과정에서의 정보 유출은 기술적 통제로 막을 수 없음. 운영 절차와 교육이 핵심 |
| 20 | WMS 중앙 보안 강점 | WMS DB 암호화(AES-256), WORM 로그, SIEM 이상 탐지 등 중앙 IT 인프라는 최적 수준 | 중앙 시스템이 강해도 현장(창고·PDA·하청)이 취약하면 전체 보안 수준은 현장 수준으로 결정됨 |
2. 프로젝트 활동 정리
활동 1: 수탁사 최종 선정
확정된 수탁사 구성 (3개 팀, 6개 수탁사):
- 팀 1 - 최호준(팀장), 임, 박, 명
- 케이터링 : 하랑 케이터링
- 물류 : 온다 로지스
- 팀 2 - 원팀장, 김, 오, 강
- CS (콜센터 상담·녹취)
- 금융 (쿠콘 - 계좌인증)
- 팀 3 - 서팀장, 안, 정
- IT - 키오스크
- 탑승 수속 수탁 업체 (지상조업)
수탁사 선정 기준 (팀장 기준):
- 개인정보가 많이 넘어가는가?
- 현황(시나리오)이 잘 나오는가?
- 실제 회사들과 유사한 구조인가?
제외된 후보:
- 클라우드(SaaS 기반) : 단독 수탁사로는 범위 설정이 애매하여 제외
- → 단, 클라우드 보안 항목(4.1~4.3)은 체크리스트에 추가
- 마케팅(설문조사) : 투표 수 저조(1명)
- 스카이패스 : 투표 수 저조(2명)
활동 2: 케이터링 시나리오 작업 (하랑 케이터링)
수탁사 개요:
- 회사명 : 하랑 케이터링
- 위탁업무 : 기내식 제조·탑재, 특수식(알레르기·종교·VIP) 분류·포장·배송, 식수 산정
- 처리 개인정보 : 승객명, 연락처, 식이 제한(건강정보), 좌석등급, 항공편·일정, 마일리지 등급
- 회사 규모 : 중기업 (약 200~300명, 임직원 + 조리 현장직 포함)
개인정보 처리 흐름:
- 수집 : 항공 예약·운항시스템 → SFTP/TLS 암호화 전송 (출발 24시간 전)
- 이용·보관 : CMS/ERP 업로드 → 생산팀 최소 조회 (특수식 별도 권한)
- 현장 처리 : 특수식 라벨 출력 → 조리대 부착 → 기내식 박스 탑재
- 파기 : 운항 종료 7일 내 자동 삭제 / 백업 30일 후 파기 / 로그 1년 보관
체크리스트 결과 요약 (취약 30% / 양호 50% / 최적 20%):
| 구분 | 상태 | 주요 항목 |
|---|---|---|
| 최적 (10개) | 🟢 | CPO 임원 지정, DB AES-256 암호화, WORM 로그 2년, MFA VPN, 서버실 이중 통제, 파기 확인서 제출 등 |
| 양호 (25개) | 🟡 | 내부관리계획 현행화 미비, 파트타임 교육 누락, 퇴사 계정 2~3일 지연, 로그 점검 룰셋 미구체화 등 |
| 취약 (15개) | 🔴 | 무승인 재위탁(카톡 전달), 공용 계정 공유, Oracle EBS 미패치, 라벨 출력물 방치, USB 무통제, 파기 대장 미작성 등 |
핵심 취약점:
- 재위탁 무승인 : 식자재 업체에 특수식 명단을 카톡으로 공유 (법 위반)
- 공용 계정 : 주방 PC admin/1234 전 직원 공유 → 책임 추적 불가
- Oracle EBS 미패치 : KC&D 유사 해킹으로 3만 명 데이터 유출 가능
- 현장 출력물 : 라벨 방치·이면지 재사용·파쇄 미흡
- 스마트폰 촬영 : 일용직의 특수식 명단 자유 촬영 허용
활동 3: 물류 시나리오 작업 (온다 로지스)
수탁사 개요:
- 회사명 : 온다 로지스
- 위탁업무 : 수하물 이동·적재, 화물 입출고·탑재 확인, 기내식 운송 지원
- 처리 개인정보 : 승객명, 연락처·주소, 여권번호·AWB, 수하물 태그, 화물 내용·항공편
- 회사 규모 : 중기업 (약 300~500명, 본사 IT + 물류 현장/지입차주 포함)
개인정보 처리 흐름:
- 수집 : 운항·수하물 시스템 → 내부망 API 실시간 연동
- 이용·보관 : WMS 조회 (태그 중심, 연락처는 관리자 한정)
- 제공/재위탁 : 하역업체 협력 (승인 절차 필요) / 지입차주 배송
- 파기 : 운송 완료 14일 내 삭제 / 로그 6개월 보관
체크리스트 결과 요약 (취약 30% / 양호 50% / 최적 20%):
| 구분 | 상태 | 주요 항목 |
|---|---|---|
| 최적 (10개) | 🟢 | CPO 지정, DB·API TLS 암호화, WORM 로그, MFA VPN, 서버실 통제, 파기 확인서 제출 등 |
| 양호 (25개) | 🟡 | 하청업체 점검 부정기, 협력 인력 교육 증적 누락, PDA 잠금 10분 과다, SIEM 미도입 등 |
| 취약 (15개) | 🔴 | 무승인 재위탁(지입차주 카톡), 공용 PDA 방치, API 스크래핑 무방비, 차량 문 미잠금, 파기 쓰레기통 투입 등 |
핵심 취약점:
- 재위탁 무승인 : 지입차주에게 고객 정보를 카톡으로 전달 (법 위반)
- 공용 PDA : 창고 단일 계정 공유 → 사고 시 책임 추적 불가
- API 스크래핑 : 해외 IP 대량 공격 방어 미흡 → 대규모 화물 정보 수집 가능
- 이동 중 보안 : 배송 트럭 대시보드에 지시서 방치, 차량 문 미잠금
- 파기 관리 : 파기 대장 미작성, 서류 쓰레기통 투입 관행
3. 비교·분석 표
케이터링 vs 물류 수탁사 보안 특성 비교
| 항목 | 케이터링 (하랑) | 물류 (온다) | 공통 취약점 |
|---|---|---|---|
| 처리 정보 특수성 | 민감정보(건강·종교) 포함 | 여권번호·AWB 포함 | 일반 수탁사 대비 고위험 개인정보 처리 |
| IT 중앙 보안 | AES-256, WORM, MFA → 최적 | AES-256, SIEM, MFA → 최적 | 중앙 인프라는 양호 |
| 현장 보안 | 주방 출력물·공용 PC·촬영 → 매우 취약 | 창고 PDA·지입차주·차량 → 매우 취약 | 현장이 전체 보안 수준 결정 |
| 재위탁 문제 | 식자재 업체 카톡 전달 | 지입차주 카톡 전달 | 두 수탁사 모두 무승인 재위탁 공통 발생 |
| 책임 추적 | 공용 PC admin/1234 | 공용 PDA 단일 계정 | 공용 계정으로 인한 책임 추적 불가 |
| 파기 관리 | 이면지 재사용·파쇄 미흡 | 쓰레기통 투입·대장 미작성 | 파기 절차 및 증적 관리 공통 취약 |
| 실제 사고 연계 | KC&D Oracle EBS 해킹 적용 | API 스크래핑 대규모 공격 | 실제 사례 기반 시나리오 구성 |
클라우드 보안 점검 항목 (체크리스트 추가 항목)
| 항목 | 점검 내용 | 점검 방법 | 핵심 리스크 |
|---|---|---|---|
| 4.1 SaaS 계정 접근통제 | MFA 의무 적용 여부, 퇴사자 계정 즉시 차단 | SaaS 관리자 설정 화면 확인, 퇴사자 처리 프로세스 확인 | 계정 탈취 시 전체 SaaS 데이터 노출 |
| 4.2 SaaS 외부 공유 통제 | 공개 링크 설정 여부, 암호·유효기간·다운로드 제한 적용 | 클라우드 스토리지 공유 설정 화면 확인 | 개인정보가 검색 엔진에 노출되는 사고 |
| 4.3 클라우드 재위탁 관리 | 해외 SaaS 사용 시 위탁사 사전 승인 획득 여부 | 이용 중인 클라우드 서비스 목록 확인, 계약서 내 명시 여부 확인 | 국외 이전·무단 재위탁 법 위반 |
4. 심화 분석
두 수탁사의 공통 구조적 문제 분석
공통 패턴 :
- IT 중앙 인프라 (최적) → 현장 작업 환경 (매우 취약) → 재위탁 관리 (법 위반 수준)
결론 : 두 수탁사 모두 “중앙은 강하고 현장은 무너진” 동일한 구조적 문제를 공유함. 이는 항공 관련 수탁사의 전형적인 패턴으로, IT 부서와 현장 운영 부서 간의 보안 인식·통제 수준 격차가 핵심 원인.
컨설팅 보고서에서 이 패턴을 명확히 지적하고 “현장 중심의 보안 교육·절차 강화” 를 핵심 권고사항으로 제시해야 함.
KC&D 사례를 시나리오에 적용하는 방식
실제 사고 → 시나리오 적용 방법 :
-
KC&D 사고 개요
- Oracle EBS 취약점 미패치로 인한 외부 해킹
- 고객 개인정보(이름·연락처 등) 대규모 유출
-
케이터링 시나리오 적용
- 하랑 케이터링의 ERP도 Oracle EBS 기반
- 동일한 취약점 미패치 상태 설정
- “KC&D 유사 사고 발생 시 3만 명 데이터 유출 가능” 시나리오 구성
-
보고서 활용 방법
- 취약점 설명 시 실제 사고 사례 인용 → 경영진 설득력 강화
- “이 취약점을 방치할 경우 KC&D와 동일한 피해가 발생할 수 있습니다” 문구 활용
5. 실무/보안 적용
보안 전문가 관점 - 케이터링·물류 수탁사 점검 핵심 포인트
| 점검 영역 | 케이터링 핵심 포인트 | 물류 핵심 포인트 | 공통 대응 방안 |
|---|---|---|---|
| 재위탁 | 식자재 업체 카톡 전달 차단, 공식 승인 절차 수립 | 지입차주 계약서에 개인정보 조항 필수 포함 | 재위탁 현황 관리 대장 작성·정기 업데이트 |
| 계정 관리 | 주방 공용 PC 제거, 사원증 태그 출력 시스템 도입 | PDA 계정 개인화(ID/PW 개인 발급) | 퇴사자 계정 즉시 삭제 프로세스 전산화 |
| 출력물 보안 | 라벨 출력 후 즉시 회수, 파쇄기 확충 | 화물 리스트 사원증 인증 출력, 보안 파우치 사용 | 출력물 파기 관리 대장 작성 의무화 |
| 민감정보 | 특수식 정보 접근 권한 최소화, 암호화 전송 | 여권번호·AWB 조회 로그 상세 기록 | 민감정보 처리 동의·암호화·접근통제 집중 점검 |
| 현장 교육 | 주방 일용직 대상 개인정보 보호 실무 교육 | 하역 협력 인력 대상 교육 증적 관리 | 파트타임·용역·협력업체까지 교육 대상 확대 |
체크리스트 작업 진행 가이드
수탁사별 체크리스트 작업 순서 :
-
기본 구조 확인
- 구분 / 범주 / 영역 / 점검 항목 / 점검 방법 / 법령 조항 확인
-
시나리오 기반 I열(점검 내역) 작성
- 최적 : “~을 완벽히 이행하고 있습니다”
- 양호 : “~을 수행하나 [구체적 미비사항]이 존재합니다”
- 취약 : “[구체적 위반 행위]가 확인되었습니다”
-
증적명 매핑
- 최적/양호 : 실제 증적 문서명 기재 (예 : 내부관리계획서_2024.pdf)
- 취약 : 증적 부재 또는 부적절한 증적 기재
-
클라우드 항목 추가 여부 결정
- 수탁사별로 SaaS 사용 현황 반영하여 4.1~4.3 항목 포함
-
최종 검토
- 취약 30% / 양호 50% / 최적 20% 비율 확인
- 현실적인 시나리오인지 팀 내 크로스 체크
6. 배운 점 및 인사이트
새로 알게 된 점
- SaaS 클라우드 재위탁 개념: 수탁사가 위탁받은 개인정보를 구글 드라이브·노션 등 SaaS에 올리는 행위 자체가 무단 재위탁이 될 수 있다는 점. 클라우드 보안 항목이 단순 기술 점검이 아닌 법적 위반 방지 항목임을 이해
- IT·현장 격차의 구조적 문제: 케이터링·물류 두 수탁사 모두 동일하게 “중앙 IT는 강하고 현장은 취약"한 패턴을 보임. 이는 항공 관련 수탁사의 전형적 구조적 문제
- 실제 사고 사례의 활용: KC&D 해킹 사례를 시나리오에 직접 적용하면 보고서의 현실성과 경영진 설득력이 크게 높아짐
- 지입차주의 법적 위치: 물류 현장에서 개인 차주(지입차주)에게 정보를 전달하는 행위가 실질적으로 무승인 재위탁임을 구체적 사례로 이해
- 공용 계정의 법적 문제: 공용 계정 사용은 단순 보안 취약점이 아니라 개인정보보호법상 접근권한 관리 의무 위반이자 사고 발생 시 책임 추적을 불가능하게 만드는 구조적 문제
이전 학습과의 연결고리
- Day 81~83 위수탁·컨설팅 학습과 연계: 이론으로 배운 재위탁 무승인·공용 계정·파기 미이행이 오늘 시나리오에서 구체적인 현장 사례로 구현됨
- 기술적 보호조치 학습과 연계: 접근통제·암호화·접속기록 관리가 체크리스트 각 항목으로 정확히 매핑됨을 확인
- ISMS-P와 연계: ISMS-P 관리체계 항목(내부관리계획·교육·재위탁 관리)이 수탁사 체크리스트 관리적 항목과 동일한 구조임을 재확인
실무 적용 아이디어
보안 전문가 관점:
- 현장 보안 교육의 실효성: 기술적 통제가 강해도 현장 작업자의 행동(촬영·방치·공용 계정)이 모든 통제를 무력화함. 현장 맞춤형 교육이 기술 대책만큼 중요함
- 재위탁 발견 방법론: 실제 컨설팅에서 재위탁 현황을 파악할 때 계약서만 보는 것이 아니라 “실제로 어디에 정보를 전달하고 있는지” 인터뷰와 현장 확인이 핵심
프로젝트 리더 관점:
- AI 프롬프트 표준화: 각 팀이 서로 다른 프롬프트로 시나리오를 생성하면 체크리스트 품질이 팀마다 달라짐. 공통 프롬프트 양식을 먼저 정립한 후 팀별로 분기하는 방식이 효율적
- 크로스 체크 필요성: 내가 만든 시나리오를 다른 팀원이 검토해야 현실성과 법적 정확성을 동시에 확보할 수 있음
7. Quick Reference
수탁사별 핵심 취약점 요약
케이터링 - 하랑 케이터링
- 치명적 : 재위탁 무승인(카톡) / 공용 계정 / ERP 미패치
- 주요 : 라벨 방치 / 스마트폰 촬영 / 파기 대장 미작성
물류 - 온다 로지스
- 치명적 : 재위탁 무승인(지입차주) / 공용 PDA / API 스크래핑 무방비
- 주요 : 차량 문 미잠금 / 파기 쓰레기통 투입 / 사고 보고 지연
공통 핵심 권고사항
- → 현장 인원 대상 개인정보 보호 실무 교육 즉시 실시
- → 재위탁 현황 관리 대장 작성 및 공식 승인 절차 수립
- → 공용 계정 제거 및 개인 계정 발급
- → 출력물 파기 관리 대장 의무화
클라우드 보안 체크리스트 요약
| 항목 | 핵심 키워드 | 위반 시 리스크 |
|---|---|---|
| 4.1 SaaS 계정 접근통제 | MFA 의무화, 퇴사자 즉시 차단 | 계정 탈취 → 전체 데이터 노출 |
| 4.2 SaaS 외부 공유 통제 | 공개 링크 차단, 암호·기간 설정 | 개인정보 검색 엔진 노출 |
| 4.3 클라우드 재위탁 관리 | 해외 SaaS 사전 승인, 국외 이전 확인 | 무단 재위탁·국외 이전 법 위반 |
다음 회의 준비 체크리스트
즉시 착수:
- 수탁사별 체크리스트 추가 항목 검토 (클라우드 4.1~4.3 포함 여부)
- WBS 작성 시작 (권순영 팀장님 자료 참고)
- 팀 내 공통 프롬프트 양식 정립
다음 회의 안건:
- 체크리스트 추가 항목 팀별 공유
- WBS 초안 작성
8. 트러블슈팅
| 문제 | 원인 | 해결 방법 |
|---|---|---|
| AI 프롬프트 양식 통일 어려움 | 팀원마다 프롬프트 작성 방식이 달라 시나리오 품질과 형식이 제각각 | - 공통 프롬프트 템플릿을 먼저 정립 후 팀별로 분기 - 체크리스트 항목(구분·범주·영역·점검 항목·점검 방법·법령 조항)을 프롬프트에 구조화하여 포함 - 여러 AI 툴 결과물을 비교하여 최적 형식 선별 |
| 현황 작성 방향성 불확실 | 시나리오 기반으로 점검 내역(I열)을 어떻게 채워야 하는지 기준이 불명확 | - 최적/양호/취약 각각의 서술 패턴을 먼저 예시로 정립 - 팀 내 샘플 항목 1~2개를 함께 작성하면서 기준을 맞춤 - 멘토님께 초안 제출 후 피드백으로 방향 확정 |
| 시나리오 현실성 검증 어려움 | 가상 시나리오이므로 실제 업계 현황과 맞는지 확인하기 어려움 | - 실제 회사 개인정보 처리방침과 뉴스 사고 사례를 참고하여 현실성 보완 - KC&D 등 실제 사고 사례를 직접 적용하여 구체성 확보 - 팀원 간 크로스 체크로 “이런 회사가 실제로 있을 것 같은가"를 검토 |
Today’s Insight:
오늘은 이론이 실전으로 전환되는 날이었다. 그동안 법령과 개념으로만 배웠던 재위탁 무승인·공용 계정·파기 미이행이 케이터링 주방의 카카오톡, 물류 창고의 공용 PDA라는 구체적인 현장 장면으로 살아났다. 특히 두 수탁사가 동일하게 “중앙 IT는 강하고 현장은 취약"한 구조를 보인다는 발견이 인상적이었다. 기술적 보안이 아무리 정교해도 현장 작업자의 행동 하나가 모든 통제를 무력화할 수 있다는 것, 이것이 컨설팅에서 현장 실사와 인터뷰가 문서 검토만큼 중요한 이유다. 프롬프트 양식과 현황 작성 방향이 아직 정비되지 않은 부분은 이번 주 안에 팀 내 기준을 세우는 것이 최우선 과제다.