국가정보보안기본지침을 준수한 온라인 용역통제 시스템

 

📝 국가·공공기관의 제품 도입 결정

국가·공공기관에선 특정 제품을 도입할 때, 업체 선정부터 가격비교, 그리고 해당 제품이 관련 법 규정을 제대로 준수하고 있는지 등 여러 단계를 밟아가며 해당 제품을 사용하는 것이 타당한지 검토합니다. 특히 정보보안담당관님 혹은 보안담당관님들은 도입하고자 하는 제품이 국가정보원이 규정한 기준에 부합하는지 굉장히 많은 관심을 가질 수밖에 없을 것입니다. 여러 규정 중 대표적으로 '국가 정보보안 기본지침'과 '국가·공공기관 용역업체 보안관리 가이드라인'을 신경 쓰실 것입니다.

​

일반적으로 국가·공공기관에서는 하나의 제품을 도입하더라도 굉장히 복잡한 절차를 거쳐야 하는데, 국가의 보안 안보와 국민들의 개인정보를 보호하는 정보보호제품에는 더욱더 많은 신경을 쓸 수밖에 없습니다. 만약, 정보보호제품 중 국가에서 제시한 기준들을 모두 충족하고 있는 제품이 존재한다면, 이러한 부담을 조금이나마 덜 수 있지 않을까요?

---

🔐 2023년 1월 개정된 국가 정보보안 기본지침

2023년 1월, 개정된 '국가 정보보안 기본지침'은 '소프트웨어 개발보안'과 '원격지 개발보안' 등 변화하는 보안 환경에 맞추어 여러 분야에서 보안이 추가되고 강화되었습니다. 따라서, 이번 게시글은 용역업체를 통해, '온라인 개발보안' 혹은 '온라인 유지보수'를 진행하고자 하는 담당자님께 꼭 필요한 게시글일 것입니다.

​

이번 게시글을 통해 홍보할 아란타의 위즈헬퍼원은 '국가 정보보안 기본지침'을 준수할 뿐만 아니라, '국가·공공기관 용역업체 보안관리 가이드라인'을 모두 준수해 상급기관과 공공기관에 납품한 다수의 실적을 가지고 있습니다. 또한 구간보안제품군으로 과학기술정보통신부의 '정보보호제품 신속확인서'를 받은 제품입니다. 즉, 위즈헬퍼원은 납품실적과 기술인증을 바탕으로 보안성과 성능이 보장된 온라인 용역통제시스템입니다.

---

📝 국가 정보보안 기본지침을 준수한 온라인 용역통제시스템, 위즈헬퍼원

수많은 납품실적과 기술인증을 자랑하지만, 이 게시글에선 '국가 정보보안 기본지침'을 중심으로 설명드리겠습니다. 위즈헬퍼원과 같은 '온라인 용역통제시스템'을 도입할 땐 크게 두가지 기준을 확인해야 합니다.

🔎 제28조의2 (원격지에서의 온라인 개발)

제 28조에 따른 원격지 개발에서 각급기관의 장이 필요하다고 판단하고 용역업체가 다음 각 호에 따른 보안대책에 서면으로 동의하는 경우에 한하여, 각급기관의 장은 용역업체에게 원격지에서 인터넷을 통해 발주기관 정보시스템에 온라인 접속한 상태의 개발 작업을 허용할 수 있다.

🔎 제52조 (지정 단말기를 통한 온라인 유지보수)

제51조제3항에 따른 지정된 단말기를 통해 유지보수를 함에 있어 각급기관의 장이 필요하다고 판단하고 용역업체가 다음 각 호에 따른 보안대책에 서면으로 동의하는 경우에 한하여, 각급기관의 장은 용역업체에게 내부망을 포함하여 소관 정보시스템(제42조제1항에 따른 보안·네트워크장비는 제외한다)에 대하여 인터넷을 통한 온라인 유지보수를 허용할 수 있다.

​

두 기준인 '제28조의2'와 '제52조'에 대한 세부 조건은 아래와 같으며, 아란타의 위즈헬퍼원은 6가지 세부 조건을 모두 만족하고 있습니다.

✅	지정된 장소에 설치된 단말기에서만 접속 및 해당 단말기에 대한 접근인원 통제
✅	지정 단말기는 제3호에 따른 온라인 용역 통제시스템 접속 전용으로 운용하고 다른 목적의 인터넷 접속은 차단
✅	발주기관내 온라인 용역 통제시스템을 경유하여 유지보수 대상 정보시스템에 접속하는 등 소통구간 보호·통제
✅	접속사실이 기록된 로그기록을 1년 이상 보관
✅	유지보수 계약 시행일로부터 종료 후 30일이 경과하는 날까지의 기간 중 발주기관, 발주기관의 상급기관 및 국가정보원장의 정기 또는 수시 보안 점검(불시 점검을 포함한다) 수검
✅	기타 국가정보원장이 배포한 '국가·공공기관 용역업체 보안관리 가이드라인'에서 제시된 온라인 유지보수에 관련된 보안대책 준수

---

👨‍🏫 국가 정보보안 기본지침 준수를 위한 위즈헬퍼원의 기능

위즈헬퍼원이 단순히 6가지 세부 기준을 충족하고 있다고 말씀드리는 것보다, 실제로 어떤 기능을 바탕으로 해당 기준들을 충족하고 있는지 설명드리는 것이 더욱 효과적일 것입니다. 따라서 위즈헬퍼원이 어떻게 해당 세부 기준을 충족했는지 설명드리겠습니다.

1️⃣ 지정된 장소에 설치된 단말기에서만 접속 및 해당 단말기에 대한 접근인원 통제

위즈헬퍼원은 지정IP를 사용하여 지정된 외주업체의 단말기에서만 유지보수 대상서버로 접속할 수 있도록 하기에 비인가자는 접속이 불가능합니다. 또한 유지보수 대상서버로 접근할 때 관리자로부터 유지보수 등록 작업에 대한 승인이 필요하기에 접근인원 통제가 가능합니다.

​

2️⃣ 지정 단말기는 제3호에 따른 온라인 용역통제시스템 접속 전용으로 운용, 다른 목적의 인터넷 접속 차단

위즈헬퍼원은 발주기관의 관리자가 용역업체의 PC에 대해 네트워크를 차단할 수 있는 권한 기능을 제공하고 있기에 다른 목적의 인터넷 접속을 차단할 수 있습니다.

​

3️⃣ 발주기관 내 온라인 용역 통제시스템을 경유하여 유지보수 대상 정보시스템에 접속하는 등 소통구간 보호·통제

위즈헬퍼원은 제로 트러스트(Zero-Trust) 기반의 비에이전트 방식을 채택하여 모든 접속 시도에 대해 관리자의 실시간 승인 없이는 접속할 수 없습니다. 또한 간접접속 방식을 사용하여 용역 지정 단말에서 정보 시스템으로의 직접 접근을 금지하기에 소통구간에 대한 보호와 통제가 이루어집니다.

 

4️⃣ 접속사실이 기록된 로그기록을 1년 이상 보관

위즈헬퍼원은 작업 로그를 기록하고 작업 영상을 보존하는 기능을 제공합니다.

​

5️⃣ 유지보수 계약 시행일로부터 종료 후 30일이 경과하는 날까지의 기간 중에 발주기관, 발주기관의 상급기관 및 국가정보원장의 정기 또는 수시 보안 점검(불시 점검을 포함한다) 수검

위즈헬퍼원은 유지보수 대상서버로 접근하는 모든 외부 단말기에 보안 검사를 실시하며, 유지보수 작업자에게 보안서약서를 징구하도록 하는 기능을 제공합니다. 또한 작업이 끝나면 해당 작업의 내용을 작성할 수 있는 작업일지 기능까지 제공하고 있습니다.

​

6️⃣ 기타 국가정보원장이 배포한 「국가·공공기관 용역업체 보안관리 가이드라인」에서 제시된 온라인 개발에 관련된 보안대책의 준수

위즈헬퍼원은 국가·공공기관 용역업체 보안관리 가이드라인에 따른 제3절 온라인 유지보수의 9개의 관리적 보안대책과 10개의 기술적 보안대책을 모두 철저히 따르고 있습니다.

 

 

---

 

위즈헬퍼원은 이러한 6가지 세부 기준에 대한 보안 기능뿐만 아니라 보안 강화와 관련된 수많은 기능들을 제공하고 있습니다. 그로 인해 단순히 보안 강화에 그치지 않고 업무의 효율성 향상도 기대할 수 있습니다. 실제로 이러한 성과를 인정받아 수많은 국가·공공기관에 위즈헬퍼원을 납품하게 되었습니다.

​

 

온라인 용역통제시스템 위즈헬퍼원은 계속해서 보안성 강화와 업무 효율 향상을 위해 발전되고 있습니다. 한국 정보통신 기술협회(TTA)의 'GS인증 1등급'부터, 국가정보원의 '국가 정보보안 기본지침' 준수, 과학기술정보통신부의 '정보보호제품 신속확인서' 발급까지. 위즈헬퍼원은 공신력 있는 국가기관의 기술력 인증을 바탕으로 수많은 국가·공공기관 및 지자체가 선택한 아란타의 대표 제품입니다.

 

---

국가 정보보안 기본지침을 준수한 대한민국 대표 온라인 용역통제시스템 위즈헬퍼원

아래의 연락처를 확인하여 연락주시면 친절히 도입 상담을 도와드리겠습니다!