Week 18 — 파이널 프로젝트: 하랑케이터링 현장 실사 및 증적자료 작성
프로젝트 전체 자료는 GitHub에서 확인할 수 있습니다. hojjang98 / skshielders-rookies-28 — projects/week_18
이번 주 목표
Week 17 에서 수탁사 시나리오 9개를 스케치했다면, 이번 주는 팀장 담당 수탁사인 하랑케이터링을 대상으로 실제 진단 작업을 수행 하는 단계다.
구체적으로는 다음 산출물을 완성하는 것이 목표였다:
1. WBS (Work Breakdown Structure) 작성
2. 점검보고서 초안 작성
3. 현장 실사 기반 증적자료 5종 작성
팀원들이 각자 담당 수탁사를 진행하는 동안, 팀장으로서 하랑케이터링 전체 점검 예시를 완성하여 참고 자료로 제공 하는 역할을 맡았다.
산출물 구조
week_18 /
- 레포 WBS 현행화 _ v1.0 .xlsx ( # WBS )
- 현행화 점검 보고서 .docx ( # 점검보고서 초안 )
[ 증적 자료 폴더 ]
- 01 _ 물적 출물 현황 .html ( # 물적 출물 현장 실사 )
- 02 _ 공정 점검 결과 .html ( # 계정 관리 점검 )
- 03 _ ERP 로그 점검 결과 .html ( # 접속 기록 점검 )
- 04 _ 교육 이수 현황 .html ( # 개인정보 보호 교육 이수 )
- 05 _ 파기 절차 현황 .html ( # 파기 절차 점검 )
증적자료 1 — 특수식 출력물 관리현황 (1.4.3 / 2.7.2)
점검 일시: 2026.03.20 | 대상: 인천공항 인근 하랑케이터링 주방 현장
| 점검 장소 | 확인 사항 | 판정 |
|---|---|---|
| 주방 현장 작업대 (특수식 포장라인) | 승객 명단·특수식 라벨 개방 방치 — 알레르기·종교식 정보 포함 라벨이 4시간 이상 노출, 외부 협력업체 인원 접근 가능 | N |
| 배송팀 트럭 (국제선 기내식 배송) | 배송 기사 이탈 중 지시서(승객명·좌석·특수식 정보) 조수석 방치, 차량 잠금 미이행 | N |
| 조리 지시서 (현장직 소지품) | 퇴근 시 지시서 개인 가방 소지 확인, 출구 보안 검색 절차 부재 | N |
| 세절기 배치 현황 | 주방 생산 라인(2~3층) 세절기 미배치, 사용 완료된 특수식 주문서 이면지 재사용 관행 | N |
즉시 조치 권고:
① 주방 작업대: 특수식 라벨 작업 직후 즉시 수거 → 잠금 보관함 운영
② 배송 차량: 이탈 시 전 좌석 잠금 의무화 + 지시서 봉투 밀봉 정책 수립
③ 출구 보안: 현장 퇴근 시 문서 소지 확인 절차 도입
④ 주방 라인(2~3층) 세절기 즉시 추가 배치 (크로스 커팅 방식)
적용 법령: 개인정보보호법 제21조 (파기), 제29조 (안전성 확보조치)
증적자료 2 — 공용계정 점검결과 (2.1.6)
점검 일시: 2026.03.18 | 대상: Oracle EBS R12.2 CMS/ERP, 주방 현장 공용 PC
| 점검 항목 | 확인 결과 | 판정 |
|---|---|---|
| 주방 공용 PC 계정 현황 | 현장 직원 전원이 단일 공용 계정 사용 (개인 식별 불가, 책임 추적 불가) | N |
| 사무직 계정 현황 | 직원별 개인 계정 부여, 접근권한 직무별 구분 적용 | Y |
| 배송팀 태블릿 계정 현황 | 일부 계정 공유 잔존, 개선 중 | P |
| 퇴사자 계정 회수 현황 | 퇴사 후 72시간 이내 회수 절차 존재하나 증적 부재 | P |
핵심 이슈: 주방·현장 직군에서 공용 계정 운영이 관행화되어 있어, 개인정보 접근 주체를 특정할 수 없는 구조적 문제가 존재한다.
적용 법령: 개인정보보호법 제29조 (접근권한 최소화, 책임 추적성 확보)
증적자료 3 — ERP 접속기록 점검결과 (2.2.1 / 2.2.2 / 2.2.3)
점검 일시: 2026.03.18 | 대상: Oracle EBS R12.2 기반 CMS/ERP
| 점검 항목 | 기준 | 판정 |
|---|---|---|
| 로그 필수 항목 포함 여부 | 식별자·접속일시·접속지 IP·처리 정보주체·수행업무 | N |
| 정기 점검 수행 | 월 1회 이상 이상행위 검토 | P |
| 로그 보관 기간 | 민감정보 취급 시 2년 이상 | P |
세부 발견 사항:
- 접속지 IP 항목 미기록: 현재 로그에 IP 정보가 저장되지 않아
침해사고 발생 시 경로 추적 불가
- 정기 검토: 월 1회 담당자 수기 검토는 이루어지나 증적 미구비
- 로그 보관: 현재 90일 보관 정책 → 민감정보 취급 업무 특성상
2년 보관 기준 미충족
적용 법령: 개인정보보호법 제29조, 안전성 확보조치 기준 제8조 (접속기록 보관·점검)
증적자료 4 — 교육이수 현황 (1.3.3)
점검 기준: 개인정보의 안전성 확보조치 기준 제4조 제2항 (연 1회 이상)
| 대상 구분 | 대상 인원 | 이수 인원 | 이수율 | 비고 |
|---|---|---|---|---|
| CPO (이수진 이사) | 1 | 1 | 100% | 한국CPPG협회 외부 교육 (2024.06) |
| 정보보안 담당자 | 2 | 2 | 100% | 직무별 수료증 구비 |
| 경영지원팀 사무직 | 50 | 48 | 96% | 미이수 2명 (출장) |
| 주방·생산 현장직 | 24 | 20 | 83% | 미이수 4명 (야간 조업) |
| 배송팀 기사·보조 | 18 | 10 | 56% | 지입차주 포함 여부 불명확 |
| 파트타임·용역직 | 32 | 7 | 22% | 교육 대상 포함 여부 미정립 |
핵심 이슈: 현장직·파트타임·용역직의 교육 이수율이 현저히 낮다. 특히 파트타임/용역직에 대해 교육 의무 적용 범위 자체가 정립되지 않은 상태다.
적용 법령: 개인정보보호법 제26조 제4항 (수탁자 교육·관리·감독 의무)
증적자료 5 — 개인정보 파기현황 (3.3.1 / 3.3.2 / 3.3.3)
점검 일시: 2026.03.20 | 대상: Oracle EBS DB, 현장 출력물
| 파기 대상 | 파기 방법 | 판정 |
|---|---|---|
| Oracle EBS DB (전자 파일) | 보유기간 경과 후 즉시 파기 | P |
| 특수식 주문서 (종이 출력물) | 크로스 커팅 세절기 사용 | N |
| 파기 결과 보고 | 파기 후 CPO 보고·증적 구비 | P |
세부 발견 사항:
- 전자 파일 (P): 파기 기준(3년)은 수립되어 있으나 실제 파기 실행 여부에 대한
정기 모니터링 및 증적이 불충분
- 종이 출력물 (N): 세절기는 사무동에만 배치, 주방 라인에서 발생하는 특수식
주문서는 이면지 재사용 또는 일반 쓰레기통 투기 관행 확인
- 파기 보고 (P): CPO 보고 절차 존재하나 보고 주기·양식이 비정형
적용 법령: 개인정보보호법 제21조 (파기 의무)
점검 결과 종합
| 증적자료 | 체크리스트 항목 | N (취약) | P (부분) | Y (양호) |
|---|---|---|---|---|
| 출력물 관리 | 1.4.3 / 2.7.2 | 4 | 0 | 0 |
| 계정 관리 | 2.1.6 | 1 | 2 | 1 |
| ERP 로그 | 2.2.1 / 2.2.2 / 2.2.3 | 1 | 2 | 0 |
| 교육이수 | 1.3.3 | 2 | 2 | 2 |
| 파기 현황 | 3.3.1 / 3.3.2 / 3.3.3 | 1 | 2 | 0 |
| 합계 | 9 | 8 | 3 |
전체 20개 점검 항목 중 취약(N) 9개, 부분(P) 8개, 양호(Y) 3개로, 하랑케이터링의 개인정보 관리 수준은 전반적으로 미흡한 상태다.
반복적으로 발견된 핵심 취약 패턴:
1. 물리적 보안 의식 부재
현장 직군에서 "잠깐이니까 괜찮다"는 인식이 출력물 방치·차량 미잠금으로 이어짐
2. 현장직·파견직에 대한 관리 체계 미흡
교육, 보안서약서, 퇴사 계정 회수 등이 사무직 중심으로만 운영
3. 로그·증적 관리의 형식화
절차는 있으나 이행 증적이 없어 실질적 통제 기능 상실
작업 후기
증적자료를 직접 만들면서, 체크리스트 항목과 실제 현장 데이터를 연결하는 작업이 단순한 문서 작성이 아님을 느꼈다.
- 어떤 항목을 N으로 판정할 것인가 (취약의 기준 설정)
- 발견 사항을 어느 수준의 구체성으로 기술할 것인가
- 어떤 법령 조항을 근거로 지적할 것인가
이 세 가지를 동시에 고려하면서 증적자료 하나를 완성하는 과정이, 실제 컨설팅 현장에서 보고서 한 페이지를 만드는 것과 같은 작업이라는 걸 체감했다.
또한 팀원들에게 참고 예시 로 제공하는 자료이기 때문에, 지나치게 이상적인 사례보다 현실적인 취약점 분포 를 설계하는 것이 중요했다. 모든 항목이 N이어도, 모든 항목이 Y이어도 학습 효과가 낮기 때문이다.
학습 성과 정리
| 영역 | 학습 내용 |
|---|---|
| 증적자료 작성 | 체크리스트 항목 번호와 실사 결과를 연결하는 구조 이해 |
| 현장 리스크 | 물리적 보안 취약점이 기술적 통제보다 현실에서 더 빈번함 확인 |
| 법령 적용 | 개인정보보호법 제21조·제26조·제29조의 실무 적용 사례 체득 |
| WBS 작성 | 프로젝트 일정을 업무 단위로 분해하고 담당자·기간 배분 |
| 팀 리더십 | 예시 자료 완성을 통해 팀원 작업 가이드 역할 수행 |
다음 주 예고 — Week 19: 체크리스트 최종 판정 및 수탁사별 진단보고서 작성
하랑케이터링 증적자료를 기반으로 체크리스트 53개 항목 전체 판정을 확정 하고, 각 팀원의 수탁사별 진단결과와 합산하여 최종 통합 보고서 작성을 시작한다.