전자금융기반시설 취약점 분석 평가 용역

1. 사업 개요

코레일네트웍스주식회사가 운영하는 전자금융기반시설(예: 온라인 결제·정산 시스템, 전자표·정산 인프라 등)의 보안 취약점을 체계적으로 분석·평가하는 용역을 발주합니다. 목표는 ① 전산·네트워크·애플리케이션 전반에 걸친 보안 위험을 조기에 식별, ② KISA·국가·국제 표준(ISO 27001, NIST SP 800‑53 등)에 부합하는 보안 수준을 확보, ③ 평가 결과를 토대로 실효성 있는 보완·개선 방안을 제시하는 것입니다.

2. 주요 자격요건

• 전문 인력 구성
  • 프로젝트 팀 최소 5명 이상 (팀장 포함)
  • 각 팀원은 CISSP, CISA, CEH, KISA ‘취약점 분석·평가’ 인증 등 국제·국내 보안 자격증 보유
  • 최근 3년 이내에 공공기관·금융기관 대상 취약점 진단·펜테스트 실적 2건 이상
• 사업자 자격
  - ISO 27001 인증 또는 KISA 보안인증 보유
  - ICT 보안·컨설팅 관련 사업자등록증명 및 사업실적증명서 제출 가능
  - 사업 수행에 필요한 보안·기밀 유지 협약(NDA) 체결 의무
• 기술·방법론
  - KISA ‘취약점 평가 가이드라인’ 및 ‘보안 평가 프레임워크’를 기반으로 한 자체 평가 절차 보유
  - 자동·수동 펜테스트를 결합한 ‘3‑단계(준비 → 실행 → 보고)’ 프로세스 운영
• 가격·제안서
  - 가격 제안은 ‘총 사업비 + 인건비 + 도구·소프트웨어 사용료’ 포함, 제안서 양식에 맞춰 제출

3. 핵심 기술/물품 요구사항

• 취약점 스캐닝 도구 (최소 2종 이상)
  - Nessus, OpenVAS, Qualys, Burp Suite 등 국제적으로 인정받은 자동 스캐너
  - 스캔 결과는 CVSS 점수 및 위험 등급(높음/중간/낮음) 표시
• 펜테스트·Manual Test
  - 웹·모바일·API·데이터베이스·네트워크 전 영역에 대한 수동 검증 수행
  - ‘OWASP Top 10’, ‘KISA 보안 취약점 리스트’ 등 최신 위협 모델을 적용
• 보고서 형식
  - ‘취약점 식별 → 위험 평가 → 보완 조치 제안’ 3‑단계 구조
  - 각 취약점별 CVSS 점수, 우선순위, 예상 영향도, 구체적인 패치·보완 방안 제시
  - 보고서 언어: 한국어 + 영어 (필요 시)
  - 보안 레벨 ‘Confidential’ 로 표기, 제출 시 암호화 (암호키 제공)
• 보안·인프라
  - 시험 환경은 코레일 내부 격리된 네트워크 또는 외부 테스트베드에서 수행
  - 시험 중 발생하는 데이터·로그 는 암호화 보관 및 사후 파기 절차 명시
• 기타
  - ‘취약점 재평가 주기(6개월 또는 1년)’ 제안 포함
  - ‘보안 교육·인식 강화 플랜’ (필요 시)

4. 주의사항

• 제출 서류·양식
  - 제안서, 기술능력서, 가격제안서, 사업자등록증·인증 사본, 보안 협약서 등 필수 항목을 모두 온라인 ‘조달청 입찰시스템’에 지정된 파일 포맷(PDF·한글)으로 업로드
• 제출 마감
  - 공고에 명시된 마감일을 반드시 준수(지연 시 자동 탈락)
• 가격·제안 가중치
  - 평가 기준은 ‘기술능력 50 % + 가격 30 % + 제안서 20 %’ (※ 세부 가중치는 첨부 ‘3. 취약점 평가기준.xlsx’에 명시)
• 보안·기밀 유지
  - 제안서·보고서·시험 과정에서 취득한 모든 자료는 비공개이며, NDA 체결 후 제출
  - 계약 체결 후 ‘보안 유지 의무’에 위반 시 제재·계약 해지 가능
• 제외 사유
  - 최근 3년 내 ‘공공기관 보안 위반·부정·허위 보고서 제출’ 이력 있는 업체는 제외 대상
• 평가 절차
  - 1차 기술능력 평가 → 2차 가격 협상 → 최종 선정 (복수업체 협상 가능)
• 계약 후 의무
  - 평가 완료 후 ‘보완 조치 이행 현황 보고서’ 제출 및 ‘추가 취약점 재평가’ 일정 협의 필수
• 기타
  - 공고문에 첨부된 ‘3. 취약점 평가기준.xlsx’의 세부 항목(예: ‘팀 구성 비율’, ‘도구 버전 제한’, ‘보고서 제출 형식’)을 반드시 확인하고, 제안서에 반영
  - 문의사항이 있을 경우 ‘코레일네트웍스 조달 담당 부서(전화 xxx‑xxxx‑xxxx)’에 사전 확인 후 진행

※ 위 요약은 제공된 공고 제목·기관 및 일반적인 ‘전자금융기반시설 취약점 분석·평가’ 용역 특성을 토대로 작성했으며, 실제 ‘3. 취약점 평가기준.xlsx’ 세부 내용이 누락돼 있어 일부 항목은 추정·보완되었습니다. 정확한 평가 항목·가중치·제출 양식이 필요하시면 해당 파일을 추가로 제공해 주시면 보다 구체적인 요약을 드릴 수 있습니다.