문화체육관광부 대중문화교류위원회
문화체육관광부
대중문화교류위원회

사업 수행기반

4.1 수행환경
  • 데이터 표준 및 클라우드 서버
  • 도메인·SSL, 백업 및 복구
  • 웹로그 분석 기능
4.2 보안 요구사항
  • 보안정책, 일반 보안대책
  • 물리·네트워크·자료·전산장비 보안
  • 개인정보 보호 및 침해사고 대응
4.3 제약사항
  • 최신 지침 및 표준 준수
  • 저작권 및 지식재산권 보호
  • 기타 제약사항
04

데이터 표준 준수, 설계, 구축

Key Message
공공기관 데이터베이스 표준화 지침을 준수하여 명명 규칙(Naming Convention)을 수립하고, eGovFrame 표준에 맞는 데이터 설계로 유지보수성과 확장성을 확보합니다.
데이터 표준화 원칙
구분 표준 적용 예시
테이블 명명 영문 대문자 + 언더스코어 TB_BOARD, TB_USER, TB_ATTACH
컬럼 명명 영문 소문자 + 언더스코어 user_id, created_at, file_name
PK 명명 테이블명_PK TB_BOARD_PK, TB_USER_PK
FK 명명 테이블명_FK TB_BOARD_FK01, TB_ATTACH_FK01
인덱스 명명 테이블명_IDX TB_BOARD_IDX01, TB_USER_IDX01
기술 스택 구성
🖥️
Frontend
Vue.js 3.4+
Composition API
Vue Router, Pinia
⚙️
Backend
eGovFrame 4.2
전자정부 표준
Spring Boot 기반
🗄️
Database
PostgreSQL 15
오픈소스 RDBMS
정부24 적용 사례
🌐
Web Server
Nginx 1.24+
리버스 프록시
정적 파일 서빙
eGovFrame + Vue.js 하이브리드 구조
영역 기존 eGov 방식 제안 하이브리드 방식
화면 렌더링 JSP (서버 사이드) Vue.js SPA (클라이언트)
API 통신 Form Submit REST API (JSON)
다국어 Properties 파일 Vue i18n + AI 번역

클라우드 서버

Key Message
한국문화정보원 클라우드 기반의 안정적인 인프라를 구축합니다. 인프라 계정은 위원회 명의로 생성하고, 모든 관리 권한과 데이터는 위원회에 온전히 이관됩니다.
목표 시스템 구성도
사용자 접점
PC 브라우저
모바일 브라우저
태블릿
▼ HTTPS (SSL/TLS)
Application Layer
Vue.js 3 (SPA)
eGovFrame 4.x
PostgreSQL 15
Cloud Infrastructure
한국문화정보원 클라우드 (G-Cloud)
클라우드 인프라 구성
구분 구성요소 사양 비고
서버 Web Server vCPU 2Core / RAM 4GB / SSD 50GB Nginx
WAS Server vCPU 4Core / RAM 8GB / SSD 100GB Tomcat 10
DB Server vCPU 4Core / RAM 16GB / SSD 200GB PostgreSQL 15
스토리지 Object Storage 500GB (확장 가능) 이미지/영상 저장
CDN 콘텐츠 전송 무제한 트래픽 정적 리소스 배포

도메인 및 SSL 관리

Key Message
공식 도메인을 연결하고 SSL 인증서(HTTPS)를 설치하여 모든 데이터 통신을 암호화합니다. 도메인 및 SSL 비용은 수행사가 부담합니다.
도메인 설정
구분 내용 비고
도메인 형식 위원회 공식 도메인 또는 신규 도메인 등록 위원회 협의
DNS 설정 A레코드, CNAME 설정 및 관리 수행사 담당
서브도메인 개발/스테이징 환경용 서브도메인 구성 dev.*, staging.*
비용 부담 도메인 등록 및 갱신 비용 수행사 부담
SSL 인증서 관리
구분 내용 비고
인증서 종류 OV(Organization Validation) 또는 EV(Extended Validation) SSL 공공기관 권장
암호화 수준 TLS 1.2 이상, 256bit 암호화 보안 필수
갱신 관리 만료 30일 전 갱신 알림 및 자동 갱신 설정 무중단 운영
비용 부담 SSL 인증서 발급 및 갱신 비용 수행사 부담
HTTPS 적용 범위

백업 및 복구

Key Message
데이터 유실 방지 및 장애 발생 시 신속한 복구를 위해 자동 백업 체계를 구축하겠습니다. 정기 자동 백업과 보관 정책을 기본으로 운영하겠습니다.
백업 정책
구분 백업 대상 주기 보관 기간
DB 백업 PostgreSQL 전체 DB 정기 자동 실행 7일 (최근 7개 보관)
파일 백업 업로드 파일, 이미지 정기 증분 백업 30일
소스코드 Git 저장소 커밋 시 자동 전체 이력 보관
설정 파일 서버 설정, 환경변수 변경 시 버전 관리
복구 절차
단계 작업 내용 소요 시간 담당
1단계 장애 감지 및 원인 분석 확인 후 수행 모니터링 시스템
2단계 복구 시점 결정 상황별 결정 운영 담당자
3단계 백업 데이터 복원 복구 범위별 시스템 관리자
4단계 서비스 정상화 확인 확인 절차 수행 QA 담당자
복구 목표

로그 분석

Key Message
홈페이지 이용현황을 체계적으로 분석하여 운영 효율성을 높이겠습니다. 방문자 수, 페이지 조회수, 접속 경로 등 주요 지표를 관리자 화면에서 직관적으로 확인할 수 있도록 구현합니다.
웹로그 분석 기능
방문자 통계 일별/주별/월별 방문자 수(UV), 신규/재방문 비율 분석 페이지 조회수(PV) 메뉴별·콘텐츠별 조회수 집계로 인기 콘텐츠 파악
접속 경로 분석 유입 경로(검색엔진, 직접, 외부링크) 및 이탈률 분석 접속 기기 분석 PC/모바일/태블릿 비율, 브라우저·OS별 현황
관리자 통계 기능
기능 설명
기간별 통계 일간/주간/월간/연간 단위 조회, 기간 직접 설정 가능
메뉴별 통계 1depth/2depth 메뉴별 방문·조회 현황 제공
대시보드 시각화 차트·그래프 기반 핵심 지표 한눈에 확인
데이터 내보내기 Excel/CSV 형식 통계 데이터 다운로드 지원
권한별 통계 조회

보안정책 및 보안지침 준수

Key Message
국가정보원, 행정안전부, 개인정보보호위원회 등에서 제정한 최신 보안 지침을 준수하여 안전한 사업을 수행합니다.
준수 보안정책 및 지침
기관 지침명
국가정보원 국가 정보보안 기본지침, 국가·공공기관 용역업체 보안관리 가이드라인
행정안전부 소프트웨어 개발보안 가이드, 소프트웨어 보안약점 진단가이드
개인정보보호위원회 홈페이지 개인정보 노출방지 안내서, 개인정보의 안전성 확보조치 기준
문화체육관광부 개인정보 보호지침, 보안업무규정 시행세칙
한국인터넷진흥원 시스템 개발·운영자를 위한 개인정보보호 가이드라인
이행 방안

일반 보안대책

Key Message
물리적·관리적·기술적 보안대책을 수립하고, 비밀유지 계약 및 보안서약을 통해 정보 누출을 방지합니다.
보안대책 수립
누출금지 대상정보
분류 대상 정보
시스템 정보 IP주소 현황, 시스템 구성 현황, 정보통신망 구성도
접근 정보 계정·비밀번호 등 접근권한 정보, 보안시스템 설정 정보
취약점 정보 취약점 분석·평가 결과물
개발 산출물 용역 결과물 및 프로그램 소스코드
개인정보 개인정보보호법 제2조제1호에 따른 개인정보

인원 및 물리적 보안관리

Key Message
참여인력 신원 확인 및 보안서약, 사업 수행 장소의 물리적 보안을 철저히 관리합니다.
인원 보안관리
물리적 보안관리
원격 개발 보안
항목 보안 조치
접속 단말 지정 단말기에서만 접속, 다른 목적의 인터넷 접속 차단
통신 경로 온라인 용역통제시스템 경유, 소통구간 보호·통제
접근 인원 해당 단말기에 대한 접근인원 통제

네트워크 보안관리

Key Message
업무망과 인터넷망을 물리적으로 분리하고, SSL 암호화 통신을 적용하여 네트워크 보안을 강화합니다.
망 분리 및 접근 통제
무선 보안
암호화 통신
구간 암호화 방식 적용 대상
외부 통신 SSL/TLS 1.3 사용자 인증정보, 비밀번호, 개인정보 연동
내부 통신 사설 네트워크 WAS ↔ DB 구간
관리자 접속 VPN / IP 제한 CMS 관리자 접속

자료 보안관리

Key Message
자료 인계인수 대장 관리, 암호화 저장, 클라우드/메신저 사용 금지 등 철저한 자료 보안을 시행합니다.
자료 관리 원칙
금지 사항
분류 금지 대상
자료 공유 P2P, 웹하드, 웹오피스, 클라우드 서비스, 파일공유사이트
통신 수단 상용 메일, 메신저 (자체 전자우편 사용, 첨부파일 암호화)
소스코드 비밀번호 등 중요정보 직접 하드코딩
암호화 요구사항

전산장비 보안관리

Key Message
전산장비 반입·반출 관리, 보안 프로그램 설치, 사업 종료 시 자료 완전 삭제를 시행합니다.
장비 관리
보안 프로그램 설치
구분 필수 설치 항목
보안 SW 보안USB, SW관리, 백신, 자료저장방지 프로그램
PC 설정 비밀번호 설정, 윈도우 화면보호기 설정
저장매체 수요기관 제공 보안USB만 사용, 개인 USB 사용 금지
사업 종료 시

소프트웨어 개발보안 준수

Key Message
행정안전부 시큐어코딩 가이드를 준수하고, OWASP Top 10 등 주요 보안약점을 제거합니다.
주요 보안약점 대응
보안약점 대응 방안
SQL Injection Prepared Statement 사용, 입력값 검증
XSS 출력값 인코딩, CSP 헤더 적용
중요정보 평문저장 AES-256 암호화, 비밀번호 해시화
하드코딩된 비밀번호 환경변수 또는 암호화된 설정파일 사용
오류메시지 정보노출 사용자 정의 에러페이지, 상세 로그 내부 저장
취약점 점검

개인정보 보호강화

Key Message
게시 콘텐츠 내 개인정보 포함 여부를 정기 점검하고, 발견 시 가명처리 또는 삭제를 시행하겠습니다.
개인정보 보호 조치
개인정보 보호 체계
단계 보호 조치
수집 최소 수집 원칙, 수집 목적 명시, 동의 획득
저장 암호화 저장, 접근권한 최소화
이용 접속 로그 기록 (최소 1년), 목적 외 이용 금지
파기 보유기간 만료 시 파기 절차 수행, 백업데이터 생성 제한
준수 지침

개인정보 처리 단계별 보호조치

Key Message
개인정보의 수집, 이용, 보관, 파기 단계별 통제 기준을 명확히 하여 법령 위반과 정보 노출 위험을 사전에 차단합니다.
처리 단계별 통제 기준
단계 주요 보호조치 점검 기준
수집 최소 수집, 수집 목적 고지, 필수/선택 항목 분리 동의 문구 및 입력 항목 검토
이용 업무 목적 범위 내 이용, 권한별 접근 범위 제한 관리자 권한표와 이용 로그 확인
보관 암호화 저장, 접근기록 보관, 백업 데이터 보호 암호화 적용 및 로그 보존 확인
파기 보유기간 만료 시 파기 절차 수행, 파기 결과 기록 파기 이력 및 증적 관리
운영 적용 원칙

개인정보 접근통제 및 마스킹

Key Message
관리자 권한, 접속 로그, 화면 마스킹을 결합하여 개인정보 접근을 최소화하고 사후 추적 가능성을 확보합니다.
접근권한 관리
업무 역할별 권한을 분리하고 개인정보 조회 기능은 최소 인원에게만 부여합니다.
접근기록 관리
관리자 로그인, 조회, 수정, 삭제 이력을 IP·시간·작업 내용과 함께 기록합니다.
마스킹 처리
전화번호, 이메일 등 식별 가능 정보는 화면 표시 시 일부 마스킹합니다.
점검 항목
구분 점검 내용 산출물
권한 관리자 등급별 개인정보 접근 메뉴와 기능 분리 권한 매트릭스
로그 접속·조회·변경 이력 보관 및 이상 접근 확인 접근 로그
화면 목록·상세·다운로드 화면의 개인정보 노출 여부 점검 화면 점검표

보안 아키텍처 상세

Key Message
네트워크, 시스템, 애플리케이션, 데이터 계층별 보안 대책을 구성하여 단일 지점 장애나 공격에 의존하지 않는 방어 체계를 적용합니다.
다계층 보안 구조
네트워크
방화벽, 접근 허용 IP 제한, 불필요한 포트 차단, HTTPS 강제 전환
시스템
OS 보안 설정, 패치 관리, 계정 권한 최소화, 백신 및 모니터링 적용
애플리케이션
입력값 검증, 세션 보호, 관리자 접근통제, 오류정보 노출 방지
데이터
DB 접근권한 관리, 백업 암호화, 개인정보 마스킹, 접속 로그 보존
보안 적용 범위
영역 적용 내용 확인 방법
HTTPS, 보안 헤더, 입력값 검증, 파일 업로드 제한 보안 설정 점검
관리자 권한 분리, 로그인 이력, 주요 작업 로그 관리자 기능 점검
인프라 클라우드 보안 설정, 접근통제, 백업·복구 점검 운영 점검표

취약점 대응 체계

Key Message
OWASP Top 10과 공공 웹 보안 기준을 반영하여 취약점 발견, 조치, 재검증까지 추적 관리합니다.
취약점 점검 프로세스
1
진단
자동화 도구 및 체크리스트 점검
2
분석
위험도 분류 및 조치 우선순위 지정
3
조치
코드 수정, 설정 변경, 패치 적용
4
검증
재점검 및 조치 결과 보고
주요 대응 항목
취약점 대응 방안
접근통제 취약 서버 측 권한 검증, 관리자 메뉴 접근 제한, 권한 변경 이력 관리
Injection Prepared Statement, 파라미터 바인딩, 입력값 허용목록 검증
XSS 출력값 인코딩, 스크립트 입력 제한, 보안 헤더 적용
설정 오류 디렉터리 리스팅 차단, 불필요한 테스트 파일 제거, 오류정보 비노출

보안 점검 체크리스트

Key Message
개발 단계별 보안 점검 항목을 체크리스트화하여 오픈 전 취약점과 설정 누락을 사전에 제거합니다.
단계별 점검 항목
단계 점검 항목 증적
설계 권한 모델, 데이터 흐름, 개인정보 처리 위치 검토 설계 검토서
개발 시큐어코딩, 파일 업로드 제한, 오류 메시지 통제 코드 점검표
테스트 SQL Injection, XSS, 인증 우회, 세션 취약점 점검 취약점 진단 결과
오픈 불필요 파일 제거, 운영 설정 확인, 백업·복구 점검 오픈 점검표
필수 산출물
취약점 조치 내역
취약점 발견 항목, 조치 담당자, 완료일, 재검증 결과를 기록합니다.
보안 설정표
서버, DB, 웹서버, 관리자 기능의 운영 설정을 문서화합니다.
오픈 승인 기록
보안 점검 완료 후 발주처 확인과 오픈 승인 이력을 남깁니다.

침해사고 대응 절차

Key Message
침해사고 발생 시 탐지, 초동조치, 분석, 보고, 재발방지까지 일관된 절차로 피해 확산을 최소화합니다.
대응 프로세스
1
탐지/인지
이상 징후 확인, 사고 여부 판단
2
초동조치
확산 차단, 증거 보존, 담당자 공유
3
분석/복구
원인 분석, 취약점 제거, 서비스 복구
4
보고/개선
결과 보고, 재발방지 대책 반영
사고 유형별 조치
사고 유형 초동조치 보고 기준
해킹/침입 접속 차단, 영향 시스템 격리, 로그 보존 확인 즉시 보고
DDoS 트래픽 확인, 방어 정책 적용, 인프라 협조 요청 확인 즉시 보고
개인정보 노출 노출 차단, 범위 확인, 통지·신고 필요성 검토 확인 즉시 보고

보안 운영 및 조치 추적

Key Message
보안 점검과 조치 이력을 운영 단계까지 추적하여 지적사항이 반복되지 않도록 관리합니다.
조치 추적 관리
관리 항목 관리 내용 확인 주기
취약점 조치 발견 항목, 위험도, 조치 담당자, 완료 여부 관리 주간
패치 관리 OS, DB, 웹서버, 프레임워크 보안 패치 적용 현황 확인 월간
접근 로그 관리자 로그인, 주요 설정 변경, 이상 접속 이력 검토 월간
지적사항 발주처 및 관계기관 지적사항의 원인·조치·재검증 관리 발생 시
운영 보고 기준
긴급 보고
침해 의심, 개인정보 노출, 서비스 중단 등 중대 이슈는 확인 즉시 공유하겠습니다.
정기 보고
점검 결과, 조치 현황, 패치 내역, 접근 로그 요약을 월간 보고에 포함합니다.

최신 지침 및 표준 준수

Key Message
공공기관 홈페이지로서 행정안전부, 과기정통부, 문체부의 각종 지침과 표준을 따라야 합니다. 웹 표준, 접근성, 모바일 대응, 개인정보 보호 등 관련 규정을 빠짐없이 적용합니다.
준수 지침 및 표준 (행정안전부)
지침/표준명 적용 범위
대국민 모바일 서비스 구축 가이드라인 모바일 환경 최적화 서비스 구현
모바일 전자정부 서비스 관리 지침 모바일 서비스 운영 및 관리
전자정부 웹사이트 품질관리 지침 공공 웹사이트 품질 기준 및 평가
행정기관 및 공공기관 정보시스템 구축·운영 지침 전자정부 표준 프레임워크 적용
공공기관의 데이터베이스 표준화 지침 DB 설계 및 관리 표준
클라우드컴퓨팅서비스 이용 기준 및 안전성 확보 고시 클라우드 서비스 보안/안전성
기타 관계 기관 지침
접근성 관련
  • 장애인·고령자 정보 접근 및 이용 편의 증진 고시 (과기정통부)
  • W3C 국제표준 적용
저작권 관련
  • 공공저작물 저작권 관리 및 이용 지침 (문체부)
  • 개인정보 보호법 (개인정보보호위원회)
추가 지침 대응
사업기간 내 추가 발표되는 지침·가이드라인은 제안요청서에 없더라도 적극 반영하여 개발 및 적용합니다.

저작권 및 지식재산권 보호

Key Message
웹사이트에 들어가는 이미지, 폰트, 영상 등 콘텐츠는 정식 라이선스 사용 여부를 확인하겠습니다. 저작권 문제가 발생하지 않도록 사전 검토하고, 지식재산권은 계약 및 관련 지침에 따라 처리하겠습니다.
저작권 보호 원칙

사용되는 디자인, 콘텐츠, 폰트가 저작권법에 위배되지 않도록 사전에 확인하겠습니다. S/W 라이선스와 매뉴얼, 설치 프로그램을 함께 제공하고, 납품 이후 저작권 관련 이슈가 확인되면 계약 및 관련 법령에 따라 협의하겠습니다. 데이터 수집, 구축, 운영에 필요한 비용은 본 사업 범위 내에서 처리하며, 지식재산권상 문제가 없는 자료만 사용하겠습니다.

지식재산권 귀속
법적 근거
  • 기획재정부 계약예규 "용역계약일반조건" 제56조
  • 행정기관 및 공공기관 정보시스템 구축·운영지침 제60조
  • 계약 목적물 기술자료 임치 (제57조)
권리 귀속
  • 산출물의 저작권·지식재산권은 계약 및 관련 지침에 따라 처리
  • 본 사업 관련 취득 정보 유출·누설 금지
  • 타 기관 공동 활용 계획 없음
제3자 권리 침해 대응
산출물이 제3자의 특허권 또는 저작권을 침해하지 않도록 사전 검토하고, 관련 이슈 발생 시 계약 및 법령에 따라 대응하겠습니다.

기타사항

Key Message
보안 취약점은 구축 단계에서 철저히 점검하고, 운영 중 문제가 발견되면 확인 후 보완하겠습니다. 구축 과정의 안전관리와 기존 장비 보호 기준을 준수하며, 제안요청서에 명시된 사항을 성실히 이행하겠습니다.
보안 및 품질 관련

홈페이지 구축 시 보안 검토를 충분히 수행하여 취약점 발생을 사전에 방지하겠습니다. 구축 후 미비점이 발견되면 확인 후 보완하고, 테스트 및 운영 중 속도 저하, 장애, 기능 미비 등 문제가 있으면 발주처 요구에 따라 신속히 조치합니다. 제안요청서에 명시되지 않은 사항이라도 서비스에 도움이 되는 기능이 있다면 적극적으로 제안하겠습니다.

책임 및 비용 관련
안전사고 책임
  • 구축 관련 안전사고 및 기존 장비·시설 피해는 계약 및 관련 법령에 따라 처리
  • 검수 완료 후 확인되는 이슈는 하자보수 기준에 따라 협의·조치
비용 부담
  • S/W 설치, 구축, 개발 등 일체의 경비는 본 사업에 포함
  • 산출물 제본 및 배송 비용은 계약상대자 부담
계약 이행 의무
수행 근거
  • 사업수행에 필요한 모든 요건은 "제안요청서"에 명시된 사항을 근거로 수행
  • 명시되지 않은 사항은 관련 법규 및 고시 준용
불이행 시 조치
  • 정당한 이유 없이 계약 불이행 시 계약 해제·해지
  • 부정당업체 제재 등 필요 조치 가능
세부 품목 명시
제안하는 세부 품목별 개발사, 모델, 상세규격을 명확히 구분하여 제시합니다.