📄 2026.03.12 (Day 90) - 프로젝트 전체 산출물 구조 파악 및 증적 자료·사업제안서 템플릿 작성
1. 핵심 개념 정리
컨설팅 프로젝트 산출물 체계
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 1 | 프로젝트 전체 산출물 구조 | 수탁사 기준(시나리오·체크리스트·결과보고서) → 위탁사 기준(계약서·전체결과보고서) → 리베로 기준(사업제안서) → 5조 기준(WBS·PPT·수행계획서·요구사항정의서)의 4개 레이어로 구성 | 레이어별 산출물의 기준 주체(수탁사/위탁사/리베로/5조)가 다르므로, 작성 시 시점과 입장을 혼동하지 않는 것이 핵심 |
| 2 | 사업제안서 (Proposal) | 리베로가 하랑항공에 컨설팅 서비스를 제안하는 문서. 프로젝트 배경·목적·범위·방법론·일정·투입 인력·기대효과를 담음 | RFP에 대한 응답 문서. 고객이 “왜 리베로인가"를 납득할 수 있도록 논리와 차별점을 명확히 구성해야 함 |
| 3 | 요구사항 정의서 | 프로젝트 수행을 위해 고객사(하랑항공)가 요구하는 기능·보안·준수 사항을 체계화한 문서 | 요구사항이 명확해야 범위 분쟁(Scope Creep)을 방지 가능. 체크리스트 항목의 상위 기준이 됨 |
| 4 | 위·수탁 계약서 | 하랑항공(위탁사)과 각 수탁사 간의 개인정보 처리 위탁 계약. 목적 외 처리 금지·감독·기술적·관리적 보호조치·재위탁 제한 등 필수 보안 조항 포함 | 개인정보 보호법 제26조 기준 필수 조항 누락 시 법적 책임이 위탁사에게도 귀속됨. 계약서가 점검 기준의 출발점 |
| 5 | 전체 결과 보고서 | 6개 수탁사 전체에 대한 점검 결과를 종합한 보고서. 위탁사 입장과 5조(리베로) 입장 두 가지 버전으로 작성 | 개별 수탁사 보고서를 단순 합본하는 것이 아니라, 공통 취약점·개선 우선순위·전사적 권고안을 별도로 도출해야 함 |
증적 자료 개념 및 유형
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 6 | 증적 자료 (Evidence) | 점검 항목의 이행 여부를 입증하는 자료. 문서·사진·로그·캡처·서명본 등 다양한 형태 존재 | 증적이 없으면 이행 사실이 인정되지 않음. “말로만 했다"는 주장은 컨설팅 현장에서 통하지 않음 |
| 7 | WORM 스토리지 | Write Once Read Many. 한 번 기록하면 변경·삭제가 불가능한 저장 방식. 접속기록·로그의 위·변조 방지 목적으로 활용 | 금융권에서 접속기록 무결성 보장 수단으로 요구됨. 증적 자료 중 기술적 보호조치의 핵심 항목 |
| 8 | HSM / KMS | HSM(Hardware Security Module): 암호화 키를 물리적 하드웨어에서 관리하는 장치. KMS(Key Management Service): 클라우드 기반 키 관리 서비스(AWS KMS 등) | 암호화 키 관리대장과 함께 HSM/KMS 설정 화면 캡처가 증적으로 요구됨. 키 관리 체계 미비는 암호화 자체의 신뢰성을 훼손 |
| 9 | 와이핑 (Wiping) | 데이터를 복구 불가능한 수준으로 완전 삭제하는 기술. 단순 파일 삭제와 달리 덮어쓰기 방식으로 원본 데이터 흔적 제거 | 개인정보 파기 증적으로 와이핑 툴 도입 화면 및 파기 로그를 제출해야 함. “삭제했다"는 진술만으로는 불충분 |
| 10 | 배치 오류 로그 | 정기적으로 실행되는 배치 작업(예: DB 파기 작업)의 오류 기록. 90일 초과 잔존 데이터가 발견되면 파기 절차 미이행의 직접적 증거 | 파기 절차서와 실제 파기 로그를 교차 확인하는 것이 점검의 핵심. 잔존 데이터 건수(예: 2,341건)는 수치로 명시해야 함 |
수탁사별 핵심 증적 특성
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 11 | 하랑 케이터링 특화 증적 | 특수식 처리구역·서버실 물리적 출입통제 사진, 현장직·외부 파견인력 보안서약서, 생산지시서·특수식 라벨 마스킹 사진, 출력물 파기 대장 및 세절기 사진 | 현장 중심 업종이므로 물리적 보안과 하드카피 관리 증적이 핵심. IT 시스템 증적보다 현장 실사 자료의 비중이 높음 |
| 12 | 해랑 금융 특화 증적 | 결제 DB·API Gateway 접속기록, WORM 스토리지 설정 화면, DB 암호화 정책서·암호화 키 관리대장(HSM/KMS 포함), 전자금융거래법·신용정보법 기준 분리 보관 DB 현황, 재위탁 계약서·하랑항공 서면 승인 문서 | 금융 업종 특성상 기술적 보호조치 증적이 가장 복잡하고 세밀함. 법령별 요구 증적을 구분하여 관리 필요 |
| 13 | 다온 컨택 특화 증적 | 개인정보 보유기간·파기 관련 규정 녹취 파일, 보안 관리 현황(저장 위치·암호화 여부·접근 권한), 분리 DB 접근권한 현황, 배치 오류 로그+90일 초과 잔존 데이터 2,341건+파기 절차서 | 콜센터 업종 특성상 녹취 파일이 개인정보이자 증적의 이중 역할을 함. 잔존 데이터 수치 기반 지적이 핵심 |
| 14 | 패스트레인(키오스크) 특화 증적 | 비인가 S/W 설치·실행 차단 정책 설명자료, 예외 정책 적용 S/W 현황 및 보안대책 자료, 단말기 보조저장매체(USB) 차단 정책 캡처, 키오스크 화면 마스킹 캡처, 키오스크 물리적 보호 현장 사진 | 단말 중심 업종이므로 엔드포인트 보안 증적이 핵심. USB 차단·SW 통제·화면 마스킹이 3대 주요 점검 항목 |
| 15 | 플라이메이트(지상조업) 특화 증적 | 개인정보 처리 위탁계약서(사본), 개인정보취급자 명단(현행화 여부), 백신 설치 및 자동 업데이트 설정 캡처, 시스템 화면 내 개인정보 마스킹 캡처, 침해사고 대응절차서 및 비상연락망 | 위탁계약 관계가 복잡한 업종이므로 계약서 사본과 취급자 명단의 최신성이 핵심 증적 |
2. 활동 내용 정리
활동 90-1: 팀 회의 - 프로젝트 전체 산출물 구조 파악 및 진행도 점검
목표: 최종 발표까지 필요한 산출물 전체를 파악하고, 현재 진행도를 기준으로 우선순위 확정
프로젝트 전체 흐름 정리:
[ 산출물 생산 순서 ]
[ 1단계 - 수탁사 기준 ]
- 시나리오 > 수행계획서 > 체크리스트 > 증적 자료
[ 2단계 - 수탁사 기준 ]
- 수탁사별 결과 보고서 ( 6개 수탁사 개별 )
[ 3단계 - 리베로 기준 ]
- 사업제안서 ( 하랑항공에 대한 컨설팅 제안 )
[ 4단계 - 위탁사 기준 ]
- 위 · 수탁 계약서 + 전체 결과 보고서 ( 위탁사 입장 )
[ 5단계 - 5조 기준 ]
- WBS / PPT & 시연 영상 / 수행계획서
- 요구사항 정의서 / 전체 결과 보고서 ( 5조 입장 )
현재 진행도 및 다음 회의 분담:
[ 다음 회의 준비 분담 ]
리베로 기준
- 사업제안서 형식 제작 : 2명 담당
5조 기준
- 수행계획서 : 2명 담당
- 요구사항 정의서 : 2명 담당
활동 90-2: 수탁자별 증적 자료 리스트 작성
목표: 6개 수탁사별로 필요한 증적 자료를 항목화하여 수집·생성 우선순위 확정
수탁자별 핵심 증적 요약:
[ 하랑 케이터링 ]
- CPO 임명장 및 조직도
- 현장직 · 외부 파견인력 보안서약서
- 특수식 처리구역 · 서버실 물리적 출입통제 증적
- 현장 PDA · 단말기 화면보호기 ( 타임아웃 ) 설정 캡처
- 생산지시서 · 특수식 라벨 마스킹 적용 사진
- 현장 하드카피 파기 대장 및 세절기 사진
[ 온다 로지스 ]
- 최고경영자 결재 이력
- 개인정보 파기 증적
- 인도장 출입통제 장치 사진 & 문서 이동용 보안 씰 캡처
- 로그 보존 설정 화면 - 주기적 점검결과 자료
- 와이핑 툴 도입 증적
[ 다온 컨택 ]
- 접속기록 로그 파일
- 암호통제 정책 · 암호화 적용현황
- 개인정보 보유기간 · 파기 관련 규정 녹취 파일
- 보안 관리 현황 ( 저장 위치 · 암호화 여부 · 접근 권한 )
- 배치 오류 로그 ( DB 삭제 로그 ) + 90일 초과 잔존 데이터 **2,341건** + 파기 절차서
- 보안패치 점검 로그 · 보안패치 관리 정책 문서
[ 해랑 금융 ]
- 결제 DB · API Gateway 접속기록 + **WORM 스토리지** 설정 화면
- DB 암호화 정책서 + 암호화 키 관리대장 ( HSM / KMS 포함 )
- 분리 DB 접근권한 현황
- 전자금융거래법 · 신용정보법 기준 분리 보관 DB 현황 + 접근권한 설정 내역
- 재위탁 계약서 + 하랑항공 서면 승인 문서 ( B사 회계법인 관련 )
[ 패스트레인 키오스크 ]
- 개인정보 보호 교육 결과보고서 및 참석자 명단
- 비인가 S/W 설치 · 실행 차단 정책 설명자료
- 예외 정책 적용 S/W 현황 및 보안대책 자료
- 단말기 보조저장매체 ( USB ) 차단 정책 캡처
- 키오스크 물리적 보호 현장 사진
- 키오스크 화면 마스킹 캡처
[ 플라이메이트 지상조업 ]
- 유지보수 인력 보안 ( 비밀유지 ) 서약서
- 개인정보 처리 위탁계약서 ( 사본 )
- 개인정보취급자 명단 ( 현행화 여부 )
- 백신 설치 및 자동 업데이트 설정 캡처
- 시스템 화면 내 개인정보 마스킹 캡처
- 침해사고 대응절차서 및 비상연락망
활동 90-3: 사업제안서 템플릿 작성
목표: 리베로가 하랑항공에 제출하는 사업제안서의 기본 구조 및 양식 설계
사업제안서 구성 요소:
[ 사업제안서 기본 구조 ]
1. 제안 개요
- 제안 배경 및 필요성
- 프로젝트 목적 및 목표
- 컨설팅 범위 ( 6개 수탁사 )
2. 과제 이해도
- 하랑항공의 개인정보 처리 현황
- 위 · 수탁 관계 분석
- 주요 리스크 식별
3. 수행 방법론
- 현황 분석 > 평가 > 보호대책 수립 3단계 방법론
- 수탁사별 점검 프로세스
- Y / P / N / NA 판정 기준
4. 수행 일정 ( WBS 연계 )
- 단계별 산출물 및 일정
- 마일스톤 ( 중간점검, 최종발표 )
5. 투입 인력 구성
- 팀 리베로 구성원 및 역할
- M/M 투입 계획
6. 기대 효과
- 법적 리스크 감소
- 수탁사 보안 수준 향상
- 개인정보보호법 준수 체계 확립
3. 비교·분석 표
산출물 기준 주체별 비교
| 기준 주체 | 주요 산출물 | 작성 관점 | 현재 진행도 |
|---|---|---|---|
| 수탁사 | 시나리오, 체크리스트, 증적 자료, 수탁사별 결과보고서 | 수탁사의 보안 현황 기술 | 체크리스트 완료, 증적 리스트 작성 중 |
| 리베로 | 사업제안서 | 리베로가 하랑항공에 제안하는 입장 | 템플릿 작성 완료 |
| 위탁사 | 위·수탁 계약서, 전체 결과 보고서 | 하랑항공이 수탁사를 관리하는 입장 | 계약서 완료, 전체 보고서 진행 중 |
| 5조 전체 | WBS, PPT, 시연 영상, 수행계획서, 요구사항 정의서, 전체 결과보고서 | 프로젝트 팀 관리 입장 | WBS 완료, 수행계획서·요구사항정의서 착수 예정 |
수탁사별 증적 난이도 비교
| 수탁사 | 증적 특성 | 핵심 증적 | 난이도 |
|---|---|---|---|
| 하랑 케이터링 | 현장 중심, 물리적 보안 위주 | 출입통제 사진, 마스킹 적용 사진, 파기 대장 | 중 |
| 온다 로지스 | 물류 현장, 문서 이동 보안 | 보안 씰 캡처, 와이핑 툴 증적 | 중 |
| 다온 컨택 | 녹취 파일 이중 역할, 파기 지적 핵심 | 잔존 데이터 2,341건 로그, 녹취 파일 | 높음 |
| 해랑 금융 | 기술적 보호조치 최복잡 | WORM 스토리지, HSM/KMS 관리대장, 분리 DB | 높음 |
| 패스트레인 | 단말 중심, 엔드포인트 보안 | USB 차단, SW 통제, 키오스크 마스킹 | 중 |
| 플라이메이트 | 계약 관계 복잡, 취급자 최신성 | 위탁계약서 사본, 취급자 명단 현행화 | 중 |
4. 심화 분석
사업제안서 vs 수행계획서 차이
[ 사업제안서 ]
- 작성 시점 : 수주 전 ( 제안 단계 )
- 목적 : 고객사 설득 ( "왜 리베로를 선택해야 하는가" )
- 분량 : 핵심 30 ~ 40p ( 발표용 요약 )
- 강조점 : 차별화, 방법론, 기대효과
- 독자 : 하랑항공 의사결정자
[ 수행계획서 ]
- 작성 시점 : 수주 후 ( 착수 단계 )
- 목적 : 프로젝트 관리 ( "어떻게 수행할 것인가" )
- 분량 : WBS · 일정 · 인력 포함 상세 문서
- 강조점 : 일정, 인력, 산출물, 품질관리
- 독자 : 프로젝트 팀 + 고객사 담당자
증적 자료의 법적 의미
[ 개인정보 보호법 관점에서의 증적 ]
제29조 ( 안전조치 의무 )
- 개인정보 처리자는 안전성 확보에 필요한 조치를 해야 함
- 증적은 이 조치를 이행했음을 입증하는 수단
제26조 ( 위탁 시 조치 )
- 수탁사가 안전조치를 이행하는지 감독할 의무
- 점검 결과 + 증적이 감독 이행의 근거
침해사고 발생 시
- 증적이 없으면 "이행했다"는 주장 불인정
- 과징금 · 과태료 부과 시 감경 사유도 증적으로 입증
5. 실무/보안 적용
보안 전문가 관점 - 증적 자료 수집 전략
| 증적 유형 | 수집 방법 | 주의사항 | 우선순위 |
|---|---|---|---|
| 문서류 | 원본 스캔 또는 사본 수집, 결재 이력·서명 포함 | 개인정보 포함 문서는 별도 보안 관리 | 높음 |
| 화면 캡처 | 시스템 설정 화면·로그 화면 캡처, 날짜·시간 포함 | 캡처 일시가 점검일과 일치해야 함 | 높음 |
| 현장 사진 | 출입통제 장치·보호구역·파기 장면 등 촬영 | 개인정보 포함 정보가 사진에 노출되지 않도록 주의 | 중 |
| 로그 파일 | 시스템 접속기록·파기 로그 등 파일 추출 | 로그 무결성 확인(해시값 등) 필요 | 높음 |
| 제도·규정류 | 내부관리계획서·파기절차서 등 정책 문서 | 최신 버전 여부 확인 필수 | 높음 |
6. 배운 점 및 인사이트
새로 알게 된 점
-
산출물 레이어의 중요성: 오늘 처음으로 수탁사·리베로·위탁사·5조 4개 기준으로 산출물을 분류해보니, 같은 “결과 보고서"라도 작성 입장이 다르면 내용과 강조점이 완전히 달라진다는 것을 명확히 이해했다. 입장을 혼동하면 보고서 전체의 논리가 무너진다.
-
증적의 수탁사별 특수성: 하랑 케이터링은 현장 사진 중심, 해랑 금융은 기술적 로그·정책 문서 중심이듯, 업종마다 증거의 형태와 중요도가 다르다. 모든 수탁사에 동일한 증적 기준을 적용하는 것은 비효율적임을 확인했다.
-
다온 컨택의 잔존 데이터 2,341건: 숫자 하나가 점검 보고서의 설득력을 완전히 바꾼다. “파기 지연이 있었다"는 서술과 “90일 초과 잔존 데이터 2,341건이 확인됐다"는 서술은 고객사에 미치는 영향이 다르다. 수치 기반 서술의 중요성을 다시 실감했다.
-
사업제안서 템플릿 작성의 실질적 어려움: 구조를 잡는 것보다, 리베로만의 차별점과 논리를 어떻게 녹여낼지가 실제 어려운 부분임을 작업하면서 체감했다. 형식보다 내용의 설득력이 핵심이다.
이전 학습과의 연결고리
-
Day 88 RFP 프로세스와 연결: 어제까지 개념으로만 알던 사업제안서를 오늘 직접 템플릿으로 설계했다. RFP → 사업제안서 → 수주 → 수행계획서 흐름이 실제 작업으로 연결됐다.
-
Day 87~89 체크리스트·증적 학습과 연결: 수탁사별로 작성했던 체크리스트의 미흡 항목들이 오늘 증적 리스트의 수집 대상으로 직접 이어졌다. 체크리스트의 N·P 판정 항목이 증적의 우선순위를 결정하는 구조임을 확인했다.
-
컨설팅 3단계 방법론과 연결: 현황 분석(시나리오·체크리스트) → 평가(Y/P/N/NA 판정·증적) → 보호대책 수립(결과보고서·개선권고)의 흐름이 오늘 프로젝트 전체 구조 파악에서 명확하게 드러났다.
실무 적용 아이디어
보안 전문가 관점:
-
증적 수집 체크리스트 활용: 수탁사별 증적 리스트를 체크리스트 형태로 관리하면, 수집 완료·미완료 항목을 한눈에 파악하고 마감 전 누락을 방지할 수 있다.
-
사업제안서 재활용 가능성: 이번에 만든 사업제안서 템플릿은 향후 다른 위탁사 대상 컨설팅 프로젝트에서도 기본 구조로 재활용 가능하다. 배경·방법론·기대효과 파트는 특히 범용성이 높다.
7. Quick Reference
프로젝트 산출물 전체 목록
[ 수탁사 기준 ]
- 시나리오 ( 6개 수탁사 )
- 수행계획서 ( 수탁사용 )
- 체크리스트 ( Y / P / N / NA 판정 포함 )
- 증적 자료 ( 수탁사별 선별 구성 )
- 수탁사별 결과 보고서 ( 6개 )
[ 리베로 기준 ]
- 사업제안서
[ 위탁사 기준 ]
- 위 · 수탁 계약서
- 전체 결과 보고서 ( 위탁사 입장 )
[ 5조 기준 ]
- WBS
- PPT & 시연 영상 ( 5분 )
- 수행계획서 ( 5조용 )
- 요구사항 정의서
- 전체 결과 보고서 ( 5조 입장 )
증적 유형별 체크리스트
문서 · 서류류:
- CPO 임명장 및 조직도
- 보안서약서 ( 현장직 · 외부 파견인력 포함 )
- 위 · 수탁 계약서 ( 사본 )
- 재위탁 계약서 + 위탁사 서면 승인 문서
- 침해사고 대응절차서 및 비상연락망
시스템 · 기술류:
- 접속기록 로그 파일
- 암호화 키 관리대장 ( HSM / KMS 설정 화면 포함 )
- WORM 스토리지 설정 화면
- 배치 오류 로그 + 잔존 데이터 건수 확인
현장 · 사진류:
- 물리적 출입통제 장치 사진
- 마스킹 적용 화면 · 라벨 사진
- 세절기 및 파기 대장 사진
- 키오스크 물리적 보호 현장 사진
정책 · 설정 캡처류:
- 화면보호기 ( 타임아웃 ) 설정 캡처
- USB 차단 정책 캡처
- 백신 설치 · 자동 업데이트 설정 캡처
- 비인가 S/W 차단 정책 자료
8. 트러블슈팅
| 문제 | 원인 | 해결 방법 |
|---|---|---|
| 산출물 작성 기준 주체(수탁사/리베로/위탁사/5조)가 혼동되어 문서 방향성이 흔들리는 경우 | 4개 레이어 구분 없이 작업을 진행하여 입장과 독자가 뒤섞임 | 문서 작성 전 “이 문서는 누구의 입장에서, 누구에게 제출하는가"를 먼저 명시한 후 착수 |
| 증적 자료 수집 범위가 너무 넓어 어디서부터 시작할지 판단이 어려움 | 수탁사별 특성 반영 없이 동일한 증적 기준을 적용하려는 시도 | 체크리스트의 N·P 판정 항목을 증적 우선순위 기준으로 활용. 법적 필수 항목 → 기술적 핵심 항목 순으로 착수 |
| 사업제안서와 수행계획서의 차이를 혼동하여 내용이 중복되는 경우 | 두 문서의 작성 시점·목적·독자가 다름에도 불구하고 동일하게 작성 | 사업제안서(수주 전, 설득 목적)와 수행계획서(수주 후, 관리 목적)를 명확히 구분하고, 각 문서의 강조점을 다르게 설정 |
Today’s Insight:
오늘은 프로젝트 전체의 큰 그림을 처음으로 한 페이지에 정리한 날이었다. 수탁사·리베로·위탁사·5조라는 4개 기준으로 산출물을 분류하고 나니, 지금까지 작업해온 체크리스트·시나리오·WBS가 각각 어느 위치에 있는지가 비로소 명확해졌다. 특히 “같은 결과 보고서라도 누구의 입장에서 쓰느냐에 따라 내용이 달라진다"는 것이 오늘의 핵심 발견이었다. 또한 증적 리스트를 수탁사별로 작성하면서, 업종 특성이 곧 증적의 형태를 결정한다는 사실을 다시 확인했다. 앞으로 남은 작업에서는 산출물 레이어를 항상 먼저 확인하고, 기준 주체를 명확히 한 상태에서 작성을 시작하는 습관을 들여야겠다.