Index

계약, 업무범위

개인적인 경험이지만 보안관제 수행인력은 고객과 어떠한 계약을 기반으로 업무범위가 어떻게 책정 되는지 알기 힘들다.
계약 내용을 수행인력에게 공개하지 말아야 하는 이유는 필자도 알 수 없다.
하지만, 대신할 서류로 보안관제 규격서, 제안요청서 등을 참고하면 좋다.

입찰공고

주로 나라장터 또는 ALIO에서 입찰공고에 '관제'라고 검색하면 관련 데이터들을 볼 수 있다.

제안서 샘플

여기서 보안관제 수행인력이 얻을 수 있는 정보는 아래와 같다.

1. Man Year(MY) 책정
2. 통상적인 업무 범위
3. 그 외 처우

예시(임시)

더 좋은 예시가 있으면 그것으로 바꿀 것

• 다올저축은행, 2025년 보안관제 서비스 고도화 사업, PDF 다운로드: 금액 명시와 디테일한 설명은 안되어 있지만 단순 명료한 제안요청서다.
• 한국사회보장정보원, 2025년 한국사회보장정보원 보안관제 운영, HWP 다운로드: 금액 명시는 되어 있지 않지만 업무 범위에 대한 내용은 충실하다.
• 문화체육관광부, 자동화 기반의 지능형 차세대 보안관제시스템 구축, 2020.10, HWP 다운로드: 내용을 보면 성향이 좀 다르다.
• 동국대학교, 보안관제서비스를 위한 규격서, 2020년, HWP 다운로드
• 서울특별시, 2017년 서울시 통합보안관제 운영 용역, 2017년, PDF 다운로드
• (재)노사발전재단, 정보보호시스템 보안관제 및 IDC 운영, 2017년, HWP 다운로드
• 중소기업기술정보진흥원, 2015년 중소기업청 사이버보안관제센터 운영용역, 2015, HWP 다운로드

의문, 포지션 변경

보안관제를 N년 수행하고 매너리즘에 빠진 관제인력 A가 있다. 그는 자신이 속한 회사에서 다른 포지션으로 변경해달라고 요청했지만 회사(상사)로부터 나온 답변은 '거부'였다. 이유는 무엇일까?

여러가지 이유가 있겠지만 아래와 같은 이유로 설명할 수 있을 것 같다.

1. 고객의 눈치(PM): 고객은 특별한 사유가 아니면 인력 변경을 원하지 않는다.
   PM 성향마다 다르지만, PM의 경우 원활한 프로젝트 수행과 고객을 우선시 하는 경향이 클 수 밖에 없다.
   이로 인하여 관제인력은 대체로 더 나은 커리어를 위해 퇴사를 선택하게 된다.
2. 프로젝트 계약(회사): '특별한 사유가 없는 한 인력 교체가 불가'하다고 명시가 되어있고,
   '인력교체 필요 시 인력교체 안정화 및 품질저하방지 대책을 마련'에 대한 내용이 덧붙였으면 회사에서 머리가 아파지는 부분이다. 후자의 경우, 회사에서 어떻게 해줄 수 있겠지만 번거로운 영역에 있는 것이고 전자의 경우는 회사에서 어떻게 하기가 힘든 부분이 크다.
   • 참고: 보험개발원(2025, 24시간 상시 통합보안관제 사업 제안요청서)

의문, 누출금지 대상?

이것을 고민하는 사람이라면 분명 이직을 꿈꾸는 사람일 것이다.
무엇을 하지 말아야 할까? 그 해당 사항에 대한 목록은 아래와 같다.

지침: 국가사이버안보센터, 국가정보보안기본지침(2023.1.31부): 제13조(제안요청서 기재사항) 참고

1. 전산시스템의 내·외부 IP주소 현황
2. 세부 정보시스템 구성현황 및 정보통신망 구성도
3. 사용자 계정 및 비밀번호 등 정보시스템 접근 권한 정보
4. 정보통신망 취약점 분석·평가 결과물 / 침해사고 발생 현황 및 대응 보고서
5. 용역사업 결과물 및 프로그램 소스코드
6. 보안시스템 및 정보보호시스템 도입현황
7. 침입차단시스템·방지시스템(IPS) 등 정보보호제품 및 라우터·스위치 등 네트워크 장비 설정 정보
8. 공공기관의 정보공개에 관한 법률 제9조제1항에 의해 비공개 대상 정보로 분류된 기관의 내부문서
9. '개인정보보호법' 제2조1호의 개인정보
10. ｢보안업무규정｣ 제4조에 따른 비밀 및 ｢보안업무규정 시행규칙｣ 제16조제3항에 따른 대외비
    • 추가 참고문서: 보험개발원(2025, 24시간 상시 통합보안관제 사업 제안요청서)
    • 추가 참고문서: 한국조폐공사(2025, 사이버 보안관제 위탁운영 용역)

비상소집/추가작업

현업에 있는 분들은 갑작스럽게 고객 또는 PM의 요청으로 갑자기 집에서 불려나가는 경우가 있다.
계약 예시는 아래와 같으나, 추가 잔업 비용에 대한 내용이 담기지 않는 건 실제 프로젝트 계약서를 봐야 알 수 있다.

• 참고 문서 (인천국제공항공사, 사이버보안관제 및 정보보호 운영관리 용역, 2025년 中)
• 다음 사항에 대하여 계약자에게 비상소집 등의 협조를 요청 할 수 있으며, 계약자는 적극 협조해야 한다.
  • 풍수해 등 천재지변 발생 시 시설복구
  • 국가적으로 시행하는 사업
  • 긴급을 요하는 사고 또는 상급기관의 수시/불시 점검
• 필요 시 계약자는 공사와 협의하여 예방점검(법정점검)을 위한 야간작업을 실시할 수 있다.

프로젝트 고도화

보안관제 수행인력이 특정 기술을 활용하거나, 프로세스 고도화를 수행하려고 할 때 자원이 없다는 이유로 거부당하는 부분이 있던 경험은 있을 것이다. 이게 실제 프로젝트 계약에 있던 내용인지 재차 확인이 필요하다.

• 참고 문서 (인천국제공항공사, 사이버보안관제 및 정보보호 운영관리 용역, 2025년 中)
  해당 프로젝트의 경우 인프라는 고객사에서 준비해야 하는 경우가 있다.
  1. 계약자의 업무 수행 상 필요한 때에는 공사가 보유하고 있는 특수공구를 포함한 전용장비 및 공작설비를 업무의 능률을 향상시키기 위하여 대여할 수 있다.
  2. 과업수행에 필요한 업무용 차량, PC, 프린터, 복사기 등의 장비는 계약자에서 확보함을 원칙으로 하나, 공사에서 보유하여 운영 중인 서버 및 네트워크 관련 장비를 이용할 수 있다.

공공기관 법령/지침

대체로 파견관제로 시작하기 때문에 고객사의 규정에 대해 알 수가 없다. 대신 ALIO에서 공공기관 법령/지침을 확인할 수 있다.

또한 정확한 기관내규(사규)를 알고 싶다면 공공기관 사이트에 접속하여 사규를 확인한다.

우리 보안관제 수행인력이 얻을 수 있는 것은 소위 말하는 해도 되는 것, 하지 말아야 하는 것을 구분 할 수 있는 것을 얻을 수 있다.

예시

만약 시간이 아깝다면 '보안업무규칙'과 같은 것을 중점적으로 보면 되나, 다른 문서 또한 참고하면 사회의 규칙을 알게 되어 좋다.

• KISA 기관내규(사규)
  • 정보보안을 하는 우리와 가장 가까운 공공기관이다. 고로 참고 대상이 될 수 있다.