문서 보안 RFP 작성 가이드 — 공공·금융 실무자를 위한 기능 요구사항 템플릿 (95항목)

CDR·콘텐츠 보안 솔루션 도입의 성패는 RFP 설계 단계에서 80% 이상 결정된다. 기능 요구가 모호하면 기술 평가가 서류 경쟁으로 전락하고, 성능 기준이 느슨하면 벤더가 제출한 카탈로그 수치를 그대로 믿을 수밖에 없으며, 인증 요구가 불명확하면 CC 인증 없는 벤더와 EAL4+ 인증 벤더가 동일 선상에서 경쟁하는 부당한 구조가 만들어진다. 이 글은 나라장터 공개 RFP 사례, 국가계약법 및 협상에 의한 계약 규정, CSAP·KISA·TTA·CC 인증 체계, Gartner Market Guide for Content Disarm and Reconstruction의 40개 글로벌 벤더 평가 관점, 전자금융감독규정·금융보안원 취약점 점검 기준까지를 통합해, 공공·금융 실무자가 그대로 복사-붙여넣기 가능한 95항목 RFP 템플릿을 제시한다. 기능 50·성능 15·인증 10·호환 10·SLA 10의 모든 항목은 실제 조달 현장에서 반복적으로 요구되는 실무 요건에 근거한다.

95항

RFP 템플릿 항목
기능50·성능15·인증10·호환10·SLA10

309

파일 포맷 커버리지
시큐레터 공식^[1]

Gartner CDR 벤더
Market Guide 인정^[2]

99.9%

SLA 권장 가용성
공공·금융 표준

1 왜 RFP가 도입 성패를 결정하는가

공공기관·금융권 보안 담당자들이 반복적으로 겪는 실패 패턴은 놀라울 만큼 유사하다. "인증 받은 제품이라 도입했는데 현장 업무 파일이 깨진다", "카탈로그 상 50ms라 했는데 실제 피크 타임에 3초가 걸린다", "HWP만 본다고 해서 샀는데 PDF 내부 매크로는 전혀 건드리지 못한다". 이들 사례의 공통 원인은 운영 단계가 아니라 RFP 설계 단계에 있다.

RFP 실패의 5대 패턴

기능 요구의 일반화 — "CDR 기능 보유"만 기술, 실행 요소 유형별 제거 수준을 검증 불가
성능 기준의 카탈로그 의존 — 벤더 제출 수치에 대한 독립 실측 요구 없음
인증 요구의 중복·모순 — CSAP 상·중·하 등급과 CC EAL 혼용, 공공 필수와 가점 구분 부재
호환성 요구의 현장 미반영 — 실제 메일 서버·그룹웨어·망연계 시스템과의 연동 검증 누락
SLA의 형식화 — "99.9%"만 명시, 측정 방식·패널티·예외 조항 부재

💡 RFP는 "입찰 안내서"가 아니라 "운영 설계도"

공공 조달 평가위원들이 공통적으로 지적하는 핵심 — "RFP는 입찰 단계 문서가 아니라, 향후 5~10년 운영의 품질 기준을 사전 규정하는 설계도". 이 관점이 없으면 RFP가 벤더 자격 확인서 수준으로 축소되고, 평가는 서류 합치 여부에 그친다. 좋은 RFP는 운영 단계에 발생할 모든 질문에 대한 답을 평가 단계에 미리 끌어오는 장치다.

2 RFP 구조 프레임워크 — 7부 구성

공공·금융 CDR RFP의 표준 구조는 7부 구성으로 수렴한다. 국가계약법 시행령 제43조(협상에 의한 계약)와 행정안전부 협상에 의한 계약 체결 기준에 근거한 순서다^[3].

섹션	포함 내용	권장 분량
제1부 사업 개요	발주 배경 · 사업 명칭 · 계약 기간 · 예산 · 수행 장소	2-3쪽
제2부 현황 및 목표	조직 현황 · 문제 정의 · 도입 목표 · KPI	3-5쪽
제3부 기능 요구사항	필수 기능 · 선택 기능 · 포맷 커버리지 · 제거 정책	8-15쪽
제4부 비기능 요구사항	성능 · 가용성 · 보안 · 호환 · 운영 · 지원	6-10쪽
제5부 공급사 요건	인증 · 레퍼런스 · 재무 · R&D · 기술지원 인력	3-5쪽
제6부 평가 기준	기술·가격 가중치 · 항목별 배점 · PoC/BMT 절차	4-6쪽
제7부 제출물 및 일정	제안서 목차 · 양식 · 마감 · 질의응답 절차	2-3쪽

공통 부록 (5종)

부록 A — 요구사항 매트릭스 (RFP 항목 ID · 필수/선택 · 배점)
부록 B — PoC/BMT 시나리오 및 평가 지표
부록 C — 제안서 양식 (가격·기술·이행계획)
부록 D — SLA 계약서 초안
부록 E — 보안 서약서 및 비밀유지계약(NDA) 양식

3 공공 vs 금융 — 결정적 차이 7가지

같은 CDR 솔루션을 도입해도 공공기관과 금융기관의 RFP는 구조적으로 다르다. 규제 프레임워크와 조달 절차가 근본적으로 다르기 때문이다.

항목	공공 RFP	금융 RFP
근거 법령	국가계약법 · 조달사업법	전자금융거래법 · 전자금융감독규정
조달 경로	나라장터(G2B) 공개 입찰 원칙^[3]	수의계약 또는 제한경쟁 가능
필수 인증	CSAP · CC EAL · GS(TTA)	금융보안원 취약점 점검 · ISMS-P
망 분리	국가망 · 업무망 · 인터넷망 3단계	논리 망분리 또는 물리 망분리
SaaS/클라우드	CSAP 상/중/하 등급별 허용 범위	전자금융감독규정 제14조의2 클라우드 기준
평가 가중치	기술 90 : 가격 10 (협상에 의한 계약)	기술 70 : 가격 30 (일반적)
계약 방식	협상에 의한 계약 · 2단계 경쟁	수의 · 지명 · 제한경쟁 혼재

공공 RFP 특수 요구사항

CSAP 인증 — 클라우드 서비스 보안 인증 (과기정통부·KISA). 공공 SaaS CDR 도입 시 필수^[4]
CC 인증 (EAL) — 국가정보원 IT보안인증사무국. 침입차단·VPN 등 주요 보안 제품 필수
중소기업자 간 경쟁 제품 — 중소벤처기업부 지정 품목 확인 (CDR 솔루션 대부분 해당)
국가망 요구 — 온프레미스 배치 원칙, 외부 업데이트 채널 통제 방식 명시
N2SF 대응 — 2026년 확대되는 국가망 보안 프레임워크 연계^[5]

금융 RFP 특수 요구사항

전자금융감독규정 제11조 — 해킹 등 방지대책: 악성코드 침입 탐지·차단 체계 요구
제14조의2 클라우드 — 금융회사 클라우드 이용 시 위험평가 결과 제출
금융보안원 취약점 점검 — FSI 공식 점검 통과 여부
논리 망분리 호환 — 대부분 금융사가 논리 망분리 체계, CDR이 망연계 구간에 배치 가능해야 함
ISMS-P 연계 — 관리체계 인증과의 통제항목 연관성 명시

4 기능 요구사항 50항 — 카피 가능 템플릿

실제 RFP에 붙여넣을 수 있도록 ID·요건·필수/선택 구분 형태로 구성했다. 각 항목은 나라장터 공개 CDR RFP 3종과 금융권 RFP 2종에서 반복 출현한 공통 분모 기반이다.

F1. 파일 포맷 커버리지 (F-01 ~ F-10)

ID	요구사항	필수
F-01	한국어 문서 포맷(HWP · HWPX) 원본 수준 완전 지원	필수
F-02	MS Office(DOC/DOCX/XLS/XLSX/PPT/PPTX) 레거시·OOXML 모두 지원	필수
F-03	PDF 1.x 전 버전 · 암호화 PDF · 첨부 포함 PDF 처리	필수
F-04	압축 포맷(ZIP · 7Z · RAR · ALZ · GZ · TAR) 재귀적 처리	필수
F-05	이미지 포맷(JPG · PNG · GIF · TIFF · BMP · EMF · WMF) 메타데이터 제거	필수
F-06	이메일 포맷(EML · MSG · MBOX) 헤더·본문·첨부 분해 처리	필수
F-07	CAD(DWG · DXF) · 3D(STL · 3DS) 실행 요소 제거	선택
F-08	실행 가능 파일(LNK · MSC · JSE · VBS · PS1) 유형 분류 및 차단	필수
F-09	총 지원 포맷 수: 300종 이상(시큐레터 SLF 기준 309종^[1])	필수
F-10	신규 포맷 추가에 대한 정기 업데이트 체계 (분기 1회 이상)	필수

F2. 실행 요소 제거 정책 (F-11 ~ F-25)

ID	요구사항	필수
F-11	VBA 매크로 · Excel 4.0 매크로(XLM) 제거	필수
F-12	OLE 객체(임베디드 · 링크) 전면 제거 옵션	필수
F-13	DDE(Dynamic Data Exchange) 필드 제거	필수
F-14	자동 실행 하이퍼링크(file:// · mailto: · 외부 URL) 정규화	필수
F-15	PDF JavaScript · Launch Action · GoToR · URI 액션 제거	필수
F-16	PostScript · EPS 임베디드 제거	필수
F-17	HWP OLE 스트림 · PrvText · 숨김 객체 분해 처리	필수
F-18	LNK 쇼트컷 내부 명령어 인자 sanitize	필수
F-19	MSC(관리 콘솔) · CHM · HTA 실행 가능 유형 차단	필수
F-20	이미지 EXIF · GPS · 스테가노그래피 가능 메타데이터 제거	선택
F-21	QR 코드 · 바코드 추출 및 URL 검증 옵션	선택
F-22	암호화 파일 처리 정책 (차단 · 알림 · 예외 승인)	필수
F-23	다중 레이어 압축(ZIP 내부 ZIP) 최소 10단계 재귀 처리	필수
F-24	파일 형식 위장(확장자-시그니처 불일치) 탐지 및 처리	필수
F-25	정책별 예외 화이트리스트 (송신자 · 도메인 · 해시)	필수

F3. 재구성 및 가독성 보존 (F-26 ~ F-35)

ID	요구사항	필수
F-26	텍스트 · 표 · 이미지 · 서식 · 하이퍼링크 가독성 보존	필수
F-27	원본 포맷 유지(PDF → PDF, DOCX → DOCX) 옵션	필수
F-28	변환 포맷 옵션 (PDF 변환, 이미지 변환)	선택
F-29	한글 폰트 · 한자 · 특수문자 깨짐 없는 처리	필수
F-30	수식 편집기(수식/MathType/OMML) 보존	선택
F-31	차트 · 그래프 데이터 소스 제거 후 이미지 보존	필수
F-32	디지털 서명 파일 처리 정책 (보존 · 재서명 · 차단)	필수
F-33	워터마크 · 머리글/바닥글 · 페이지번호 보존	필수
F-34	양식(Form) 필드 보존 및 스크립트 제거	필수
F-35	리다이렉션·트래킹 URL sanitize 수준 설정	필수

F4. MARS 급 분석·리버스엔지니어링 (F-36 ~ F-42)

ID	요구사항	필수
F-36	리버스엔지니어링 기반 정적 분석 엔진 병행 탑재	선택/가점
F-37	행위 기반 악성 여부 판정 (샌드박스 · 정적 분석 조합)	선택/가점
F-38	플랫폼 버전 비의존 분석 (Office 2013~2024 등)	선택
F-39	위협 인텔리전스 연동 (IoC · YARA · STIX/TAXII)	선택
F-40	0-day 탐지 능력 입증 (공식 보고서 또는 CVE 기여 이력)	가점
F-41	제로-트러스트 · N2SF 통제항목 매핑 문서 제출	가점
F-42	CDR과 분석 엔진의 병렬 처리 (결과 통합 리포트)	선택

F5. 관리·감사 (F-43 ~ F-50)

ID	요구사항	필수
F-43	처리 파일별 원본 해시 · 재조립 해시 자동 기록	필수
F-44	제거된 객체 유형 · 개수 · 위치 상세 로그	필수
F-45	관리자 · 감사자 · 운영자 역할 분리 (RBAC)	필수
F-46	감사 로그 무결성 보장 (해시 체인 또는 디지털 서명)	필수
F-47	로그 보관 기간 설정 (전자금융 5년 · 공공 3년 이상)	필수
F-48	대시보드 (실시간 처리 통계 · 위협 탐지 현황)	필수
F-49	레포트 자동 생성 (일간 · 주간 · 월간)	필수
F-50	감사 증적 SIEM 연동 (Syslog · CEF · JSON)	필수

5 성능 요구사항 15항 — 실측 기준

성능 요구사항의 핵심은 "카탈로그 수치"가 아니라 "BMT 실측 기준"이다. 벤더가 제출한 자료가 아닌, 발주기관이 제공한 샘플 파일 세트로 BMT를 수행해 동일 조건에서 비교 가능해야 한다.

ID	항목	권장 기준
P-01	1MB HWP 평균 처리 지연	100ms 이하(시큐레터 34ms 사례^[1])
P-02	5MB PDF 평균 처리 지연	500ms 이하
P-03	10MB DOCX + 매크로 평균 처리 지연	1,000ms 이하
P-04	50MB ZIP (중첩 3단계) 평균 처리 지연	5,000ms 이하
P-05	이메일 + 첨부 5MB 평균 처리 지연	2,000ms 이하 (시큐레터 12.02초 3분 대비 차별^[1])
P-06	P95 응답시간 (동시 100 요청)	P50의 3배 이내
P-07	피크 타임(3배 부하) 성능 저하	50% 이내
P-08	시간당 처리 건수 (장비당)	BMT 측정값 명시 요구
P-09	일일 처리 용량 (장비당)	BMT 측정값 명시 요구
P-10	CPU 사용률 (평균 부하)	70% 이내
P-11	메모리 사용량 (최대)	물리 메모리 80% 이내
P-12	디스크 I/O 대역폭	BMT 환경 기준 명시
P-13	수평 확장 (클러스터 노드 추가 시 선형성)	90% 이상 선형 증가
P-14	타임아웃 처리 정책 (처리 불가 파일)	30초 기본, 설정 가능
P-15	처리 실패율	0.1% 이하 (처리 가능 포맷 중)

✅ 성능 기준 설계 원칙 3
"평균"이 아닌 "P95/P99"로 정의 — 평균은 꼬리 지연을 숨긴다. P95·P99 응답시간을 반드시 요구
카탈로그 수치 금지 — 모든 성능 수치는 발주기관 BMT 샘플 기반 실측으로 검증
피크 타임 시나리오 포함 — 평균 부하가 아닌 3~5배 부하에서의 성능 저하율 측정

6 보안·인증 요구사항 10항 — CC · CSAP · KISA · TTA 매핑

한국 공공·금융 조달에서 반복적으로 요구되는 핵심 인증 체계를 매핑한다. 각 인증은 요구 성격과 취득 난이도가 다르므로 필수·가점 구분이 필수다.

ID	인증/평가	공공	금융
S-01	CC 인증(Common Criteria) EAL2 이상	필수	가점
S-02	CC 인증 EAL4+ (상위 등급)	가점	가점
S-03	CSAP 인증 (SaaS 도입 시)^[4]	필수(SaaS)	선택
S-04	KISA 악성코드 탐지율 공식 인증^[1]	필수/가점	가점
S-05	TTA GS 인증 (소프트웨어 품질 성능)	필수	가점
S-06	ISO/IEC 15408 준거 (CC의 국제 표준)^[6]	가점	가점
S-07	ISO/IEC 27001 · ISO/IEC 27017 (벤더 관리체계)	가점	필수
S-08	ISMS-P 인증 (벤더 클라우드 서비스 시)	필수	필수
S-09	금융보안원 취약점 점검 통과	—	필수
S-10	SOC 2 Type II (글로벌 SaaS 시)	선택	가점

CSAP 등급별 적용 범위

CSAP 하 — 중앙부처 공개 정보 처리 가능
CSAP 중 — 중앙부처 비공개·지자체 전반
CSAP 상 — 국가·공공기관 주요 시스템

과기정통부 · KISA가 공동 운영하는 CSAP는 클라우드 CDR 도입 시 배제 불가능한 1차 관문이다^[4]. 단, 온프레미스 구축의 경우 CSAP 요구는 불필요하고 CC 인증이 중심이 된다.

CC 인증 EAL 등급 매핑

EAL2 — 구조적 테스트. 상용 보안 제품 최소 수준
EAL3 — 방법론적 테스트·점검. 공공 일반 필수 수준
EAL4 — 방법론적 설계·테스트·검토. 주요 보안 제품 권장
EAL4+ — 추가 보증 요구. 국가 중요 시스템

⚠️ "인증 보유"만 명시한 RFP의 함정

RFP에 "CC 인증 보유"만 기재하면 EAL2와 EAL4+가 동일 선상에서 경쟁한다. 반드시 등급·대상 제품·인증서 번호·인증 범위까지 명시 요구해야 한다. CSAP도 "하" 등급과 "상" 등급은 보안 수준이 근본적으로 다르므로 발주 환경에 맞는 최소 등급을 명시해야 한다. KISA 악성코드 탐지율 인증은 100% 탐지율 공식 기록^[1]과 같이 구체적 수치 확인이 가능하므로 가점 항목에 수치 기준을 포함하는 것이 좋다.

7 호환·통합 요구사항 10항

ID	요구사항	필수
C-01	메일 서버 연동 (Exchange · Postfix · 국산 그룹웨어)	필수
C-02	웹 업로드 연동 (REST API · 리버스 프록시)	필수
C-03	망연계 시스템 연동 (NAC · DLP · 파일 전송 솔루션)	필수
C-04	매체 제어 솔루션 연동 (USB · 외장매체)	선택
C-05	SIEM 연동 (Syslog · CEF · LEEF · JSON 표준)	필수
C-06	IAM/SSO 연동 (SAML · OIDC · LDAP · AD)	필수
C-07	온프레미스 · 하이브리드 · SaaS 아키텍처 옵션 제공	선택
C-08	물리 망분리 · 논리 망분리 환경 모두 호환	필수(금융)
C-09	국산 OS · 국산 DB · 국산 브라우저 호환성	필수(공공)
C-10	Kubernetes · Docker 컨테이너 배포 지원	선택

8 지원·운영 요구사항 + SLA 10항

지원·운영

기술지원 인력 규모 — 국내 상주 엔지니어 수, 자격증 보유자 수
24/7 지원 체계 — 핫라인, 원격 지원, 긴급 출동 SLA
교육 프로그램 — 관리자 교육, 운영자 교육, 보안 담당자 교육 제공
문서화 — 한국어 설치·운영·관리자 가이드 제공
업데이트 정책 — 시그니처·패치·버전 업그레이드 주기

SLA 10항 — 측정 가능한 기준

ID	SLA 항목	권장값
L-01	서비스 가용성 (월 기준)	99.9% 이상 (다운타임 월 43분)
L-02	핵심 시간(업무시간) 가용성	99.95% 이상
L-03	장애 접수 후 초동 대응	30분 이내
L-04	긴급 장애 복구 (Severity 1)	4시간 이내
L-05	중요 장애 복구 (Severity 2)	8시간 이내
L-06	일반 장애 복구 (Severity 3)	1영업일
L-07	패치 적용 공지	7일 전 사전 공지
L-08	취약점 보안 패치	CVSS 9.0+ 72시간, 7.0+ 14일
L-09	월간 운영 리포트 제출	익월 5영업일 이내
L-10	SLA 미준수 시 페널티	월 계약금 10~30% 차감

9 평가 방법론 — 정량·정성 혼합

평가 가중치 표준 모델

평가 영역	공공 RFP	금융 RFP
기능 요구사항 충족도	30%	30%
성능 · BMT 실측	20%	15%
보안·인증	20%	15%
호환·통합	10%	10%
공급사 역량·레퍼런스	10%	10%
가격 · TCO (5년)	10%	20%

정량 평가 원칙

모든 기능 요구는 충족/미충족/부분충족 3단계 평가
성능은 BMT 측정값을 점수화 (구간 보간 방식)
인증은 등급별 차등 점수 (EAL2=60, EAL3=80, EAL4=100)
가격은 최저가 대비 편차로 점수 산출 (협상에 의한 계약 기준)

정성 평가 원칙

제안서 품질 · 이행계획 구체성 · 조직 이해도
PT 발표 평가 (질의응답 포함)
평가위원 5~7인, 내부·외부 전문가 혼합
정성 평가 편차 관리 (위원별 점수 표준편차 허용 범위 설정)

10 가점 요소 설계

필수 요건만으로는 벤더 차별이 어렵다. 조직의 운영 품질을 끌어올리는 방향으로 가점 요소를 설계하는 것이 RFP의 핵심 노하우다.

가점 항목	공공 가점	금융 가점
CC EAL4+ 보유	+5점	+3점
KISA 탐지율 100% 공식 인증	+5점	+5점
Gartner Market Guide 등재^[2]	+3점	+5점
국내 개발·국산 제품	+5점	+2점
핵심 기술 특허 3건 이상	+3점	+3점
국내 상주 기술지원 인력 10인 이상	+3점	+3점
동종 규모 레퍼런스 3건 이상	+5점	+5점
0-day 대응 연구 레퍼런스 (CVE 기여 · 공식 보고서)	+3점	+3점
중소기업자간 경쟁 제품 지정	+5점	—
ISO/IEC 27001 · 27017 취득	+2점	+3점

💡 가점 설계의 3원칙

① 중복 가점 방지 — CC EAL2와 CC EAL4+를 동시 가점 처리하지 않는다. ② 운영 품질 지표 중심 — 단순 자격이 아닌 현장 운영 품질(기술지원 인력·레퍼런스)에 높은 가점. ③ 총 가점 상한 — 전체 평점의 10~15% 범위 내에서 설계. 상한 없이 가점을 누적하면 가점만으로 순위 역전이 발생해 본 평가의 의미가 훼손된다.

11 실제 공공 RFP 사례 분석 — 나라장터

나라장터(조달청 G2B)에 공개된 공공 CDR 조달 RFP에서 반복되는 공통 요건을 분석한다^[3]. 기관명·금액·연도는 비공개 처리한다.

공공 CDR RFP의 공통 패턴

필수 인증: CC 인증(EAL2 이상) + TTA GS 인증 + KISA 인증 3종 필수 출현
포맷 커버리지: 200종 이상 요구가 기본, 최근 300종 이상으로 상향 추세
성능: 파일 평균 처리 지연 100ms 이하가 다수 기관의 공통 기준선
망연계: 국가망 환경에서 온프레미스 구축 원칙, SaaS는 CSAP 상 등급 필수
레퍼런스: 최근 3년 내 공공 동종 규모 레퍼런스 3건 이상
기술 지원: 국내 상주 기술지원 조직 필수, 해외 벤더의 국내 대리점 체계 상세 요구

최근 변화 트렌드

N2SF 연계 요구 — 2026년 확대되는 국가망 보안 프레임워크(176→260 통제항목)^[5]와의 매핑 문서 요구 증가
AI 기반 탐지 — 전통적 시그니처 외 머신러닝·LLM 기반 보조 탐지 요구 등장
제로데이 대응 — 알려진 CVE 대응뿐 아니라 구조 기반 방어(CDR 원리) 명시 요구
한국어 포맷 강화 — HWP/HWPX 전용 처리 능력이 별도 항목화
공급망 보안 — NIST SP 800-161 기반 공급망 리스크 평가 요구^[7]

12 금융 RFP 요구사항 예시

금융권 CDR RFP는 전자금융감독규정 제11조·제14조의2와 직결된다. 공공과 달리 민간 계약의 유연성이 있으나 규제 준수 책임은 오히려 더 무겁다.

금융 RFP 특수 항목

항목	요구 내용
전자금융감독규정 제11조	"해킹 등 방지대책"에 부합하는 악성코드 탐지·차단 체계 입증
제14조의2 클라우드	금융회사 클라우드 이용 가이드 준수, 위험평가 결과 제출
금융보안원 점검	최근 2년 이내 FSI 취약점 점검 통과 확인서
논리 망분리	업무망-인터넷망 연계 구간 CDR 배치 검증
ISMS-P 통제항목	2.5.2(보안시스템 운영)·2.9.2(악성코드 대응) 등 매핑
개인정보보호법	처리 과정에서의 개인정보 비저장 원칙 명시
국외 이전 금지	원본·재조립 파일의 국외 서버 이전 금지 (금융 특수)
감사 증적	5년 이상 보관, 감독당국 조회 대응 가능

금융권 공통 요구 포맷

금융권에서 특히 민감하게 다루는 포맷: HWP(공문) · PDF(계약서·명세서) · XLSX(매크로 포함 분석 파일) · EML(고객 커뮤니케이션) · ZIP(다건 전송). 이 5종에 대한 처리 품질이 실제 업무 품질과 직결된다.

13 RFP 항목 체크리스트 매트릭스

앞에서 정리한 95항목을 한 눈에 볼 수 있는 체크리스트 매트릭스다. 공공·금융 각각의 필수/가점 구분이 다르므로 두 버전을 분리 제시한다.

섹션	항목 수	공공 가중치	금융 가중치
F1. 파일 포맷 커버리지	10 (F-01~10)	10%	8%
F2. 실행 요소 제거	15 (F-11~25)	12%	12%
F3. 재구성·가독성	10 (F-26~35)	8%	10%
F4. MARS급 분석	7 (F-36~42)	—(가점)	—(가점)
F5. 관리·감사	8 (F-43~50)	—(필수)	—(필수)
성능 (P-01~15)	15	20%	15%
보안·인증 (S-01~10)	10	20%	15%
호환·통합 (C-01~10)	10	10%	10%
SLA (L-01~10)	10	—(필수)	—(필수)
공급사 역량	—	10%	10%
가격 · TCO	—	10%	20%
합계	95+운영	100%	100%

실무 체크리스트 — RFP 공개 직전 최종 점검

RFP 배포 전 점검 10

필수/선택 구분 명확성모든 요구에 필수/선택/가점 명시 여부
기본
측정 방식 정의모든 성능 수치에 측정 조건(파일 크기·유형·부하) 명시
핵심
인증 등급 구체화CC EAL 등급 · CSAP 등급 명시 여부
함정 방지
레퍼런스 기준 구체화"동종 규모" 정의, 공개 가능 여부 확인
평가 기준
BMT 시나리오 첨부샘플 파일 세트 · 평가 지표 · 측정 방식 부록 포함
필수 부록
가중치 총합 100%정량+정성+가점 상한까지 모두 포함 계산
산수 검증
SLA 측정·보고측정 주체·방식·보고 주기 명시
운영 준비
계약 해지 조항SLA 미준수 · 품질 미달 시 해지 요건
리스크
지적재산권·소스코드커스텀 개발 부분 IP 귀속 명시
법무
비밀유지·보안 서약BMT 및 제안 과정 NDA 양식 포함
보안

14 PoC/BMT 실무 설계

RFP의 가치는 PoC/BMT 단계에서 입증된다. 서류 평가만으로는 실제 품질 검증이 불가능하다.

BMT 표준 설계

기간: 4~6주 (준비 1주 + 수행 2~3주 + 평가 1~2주)
샘플 세트: 발주기관 실제 업무 파일 100건 이상 (정상 + 악성 + 경계)
시나리오: 이메일 수신 · 웹 업로드 · 망연계 · 매체 반입 4종
평가 지표: 가독성 보존율 · 처리 지연 · 악성 탐지율 · 오탐율 · 처리 실패율
환경: 벤더별 동일 하드웨어·네트워크·부하 조건
결과물: 벤더 제출 보고서 + 발주기관 독립 검증 보고서

BMT 평가 지표별 기준선

지표	권장 기준
가독성 보존율	95% 이상 (원본-재조립 시각·텍스트 일치)
평균 처리 지연	100ms 이하(1MB 기준)
악성 탐지율	100%(시큐레터 KISA 인증^[1])
오탐율(정상 파일)	0.1% 이하
처리 실패율	0.5% 이하

15 자주 묻는 질문 (FAQ)

Q1. RFP 작성에 얼마나 시간이 걸리나요?

규모와 조직 의사결정 구조에 따라 4~10주. 일반적 과정: 내부 요건 수렴(1~2주) → 업계 동향 및 벤치마크 수집(1주) → 초안(1~2주) → 이해관계자 검토(1~2주) → 법무·재무 검토(1주) → 확정·공고. 처음 CDR RFP를 작성한다면 업계 표준 템플릿과 외부 컨설팅 활용이 권장된다.

Q2. 벤더가 RFP 작성 지원을 해도 되나요?

공공 조달은 특정 벤더 사전 접촉 제한이 원칙이다(국가계약법상 부정당업자 제재 사유 회피). 단, 업계 표준 기술 사양·일반 벤치마크 자료·공개 레퍼런스 수집은 가능. 민간 금융권은 더 유연하지만 편향 방지를 위해 2~3개 벤더의 사양서를 병행 검토하는 것이 표준. 시큐레터 등 주요 벤더들은 중립적 참고 자료(표준 기술 사양·평가 항목 체크리스트)를 고객 요청 시 제공한다.

Q3. PoC/BMT는 몇 개 벤더와 진행하나요?

서류 평가 통과 2~3개 벤더와 병렬 BMT가 표준. 1개 벤더 BMT는 비교 기준이 없어 객관성이 저하되고, 4개 이상은 평가 역량이 분산되어 품질이 떨어진다. 동일 하드웨어·네트워크·샘플 파일 조건에서 비교 가능하도록 환경 통제가 핵심.

Q4. CC 인증과 CSAP 인증 중 어느 것이 필수인가요?

배치 방식에 따라 다르다. 온프레미스 구축 → CC 인증 중심(EAL2~4+ 등급), CSAP는 불필요. SaaS/클라우드 도입 → CSAP 필수(하/중/상 등급 구분), CC는 가점. 하이브리드는 두 인증 모두 확인. 공공 국가망은 온프레미스 원칙이므로 CC가 절대적이지만, 지자체·공공기관 확대에 따라 CSAP 요구도 증가 추세다.

Q5. 성능 기준을 카탈로그 수치로 수용해도 되나요?

절대 권장하지 않는다. 벤더 카탈로그는 최적 조건의 이상치가 기재된다. RFP에는 "BMT 실측 기준으로 검증"이라 명시하고, 샘플 파일 세트·측정 환경을 BMT 부록에 고정. 시큐레터의 34ms 평균 처리 시간 공식 기록^[1] 같은 공식 인증 수치는 참고 기준선이 될 수 있지만, 자사 환경에서 재측정이 원칙이다.

Q6. 309 포맷 같은 커버리지 수치는 어떻게 검증하나요?

벤더가 지원 포맷 전체 리스트를 제출하고, BMT 단계에서 발주기관 실제 업무 파일 분포(예: HWP 30% · PDF 25% · DOCX 20% · ZIP 10% · 기타)에 대한 처리 능력을 실측. 커버리지 숫자 자체보다 자기 조직의 파일 분포를 모두 커버하느냐가 실질 기준. 시큐레터 SLF는 309종 지원^[1]을 공식 기록.

Q7. 금융 RFP에서 가장 중요한 규제 포인트는?

① 전자금융감독규정 제11조 — 악성코드 방지대책 입증, ② 제14조의2 — 클라우드 이용 위험평가, ③ 금융보안원 취약점 점검 통과, ④ ISMS-P 통제항목 매핑, ⑤ 국외 이전 금지(원본·처리본). 이 5개를 RFP 서두에 규제 요건 섹션으로 명시하면 벤더 선별이 구조적으로 이루어진다.

Q8. 경쟁사 비교 없이 객관적으로 평가하려면?

특정 벤더 거명 없이 요구사항 기반 평가가 원칙이다. Gartner Market Guide for Content Disarm and Reconstruction^[2] 같은 중립적 3자 보고서, ISO/IEC 15408(CC)^[6]·ISO/IEC 27001 같은 국제 표준, KISA·TTA 같은 공식 기관 인증을 기준선으로 삼으면 객관성이 확보된다. 벤더별 카탈로그 비교보다 표준 준수 여부 · BMT 실측값으로 평가하는 것이 RFP 원칙.

✓ 결론 — RFP 설계 품질이 10년 운영을 결정한다

CDR·콘텐츠 보안 솔루션의 선택은 한 번의 결정이지만 그 결과는 5~10년의 운영 품질로 이어진다. RFP가 단순 입찰 안내서가 아닌 운영 설계도로 기능하려면, 기능·성능·보안·호환·지원·SLA의 6축 모두에서 측정 가능하고 검증 가능한 요구사항을 제시해야 한다.

이 글이 제시한 95항목 템플릿은 나라장터 공개 공공 RFP·금융권 RFP에서 반복 출현하는 공통 분모를 정리한 것이다. 조직 고유의 환경(파일 분포·망 구성·규제 대상)에 맞춰 가감이 필요하지만, 항목 ID 체계(F·P·S·C·L)를 유지하면 벤더 간 비교와 향후 운영 단계의 SLA 검증에서 일관성이 확보된다.

공공과 금융은 근거 법령과 가중치 구조가 다르다. 공공은 기술 90 대 가격 10의 협상에 의한 계약 원칙이, 금융은 전자금융감독규정 제11조·제14조의2의 규제 준수가 결정적이다. 인증 체계도 CC·CSAP·KISA·TTA가 공공에서, 금융보안원 점검·ISMS-P가 금융에서 각각 중심이 된다. 이 차이를 RFP 설계 초기 단계에 명확히 반영해야 벤더 선별이 구조적으로 작동한다.

시큐레터의 4개 제품군(SLF·SLE·SLCDR·ConTI)은 공공·금융 양 영역에서 KISA 100% 탐지율 인증^[1], TTA 12.027초 응답 속도^[1], Gartner CDR 40개 글로벌 벤더 인정^[2], 309 포맷 지원^[1]을 공식 기록한다. PoC·BMT 단계에서 발주기관 실제 파일 세트 기반 검증이 가능하며, RFP 설계 단계에서 업계 표준 기술 사양·평가 항목 체크리스트를 참고 자료로 제공한다.

RFP 작성 참고 자료 제공 · PoC/BMT 지원

공공·금융 CDR RFP 표준 기술 사양 · 95항목 체크리스트 · BMT 샘플 파일 세트 · 평가 항목 매트릭스 · 공급망 보안 대응 문서 공유. PoC 4주·BMT 6주 표준 절차 지원.

RFP 자료 요청 → 공공 조달 · 금융권 · 엔터프라이즈 맞춤

REFERENCES

SecuLetter Inc., SecuLetter at a Glance · Ensecure v2, 2025.12.17 — 309 포맷 · KISA 100% 탐지 · TTA 12.027s · Gartner 40 vendors · 평균 무해화 34ms (DISARM Solution Introduction KO 2025.06.13).
Gartner, Market Guide for Content Disarm and Reconstruction — gartner.com.
조달청 나라장터(G2B), 국가종합전자조달시스템 공개 RFP · 국가계약법 시행령 제43조(협상에 의한 계약) — g2b.go.kr.
과학기술정보통신부 · 한국인터넷진흥원(KISA), 클라우드 보안 인증(CSAP) 제도 — isms.kisa.or.kr.
국가사이버안보센터(NCSC), 국가망 보안 프레임워크(N2SF) 가이드라인 (Draft) — ncsc.go.kr. ZDNet N2SF 176→260: zdnet.co.kr.
ISO/IEC, ISO/IEC 15408 Information technology — Security techniques — Evaluation criteria for IT security (Common Criteria) — iso.org.
NIST, SP 800-161r1 Cybersecurity Supply Chain Risk Management Practices, 2022 — nist.gov.
금융위원회, 전자금융감독규정 제11조(해킹 등 방지대책) · 제14조의2(클라우드컴퓨팅서비스 이용) — fsc.go.kr.
금융보안원(FSI), 전자금융기반시설 취약점 분석·평가 기준 — fsec.or.kr.
한국인터넷진흥원(KISA), 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 기준 — isms.kisa.or.kr.
국가정보원 IT보안인증사무국, Common Criteria(CC) 평가·인증 제도 · EAL 등급 체계 — nis.go.kr.
한국정보통신기술협회(TTA), GS(Good Software) 인증 · 소프트웨어 품질 성능 평가 — tta.or.kr.
ISO/IEC, ISO/IEC 27001 Information Security Management Systems · ISO/IEC 27017 Cloud Services Security — iso.org.
AICPA, SOC 2 Type II Trust Services Criteria — aicpa-cima.com.
BSI(British Standards Institution), Information Security Certifications · CC Scheme — bsigroup.com.
중소벤처기업부, 중소기업자 간 경쟁 제품 지정 제도 — mss.go.kr.
행정안전부, 협상에 의한 계약 체결 기준 · 국가계약법 운영 지침 — mois.go.kr.
KISA, N2SF 실증 사례집, 2026.04 — kisa.or.kr.
보안뉴스, N2SF 170→260 고도화 — 국가망 보안 프레임워크 확대 — boannews.com.
SecuLetter Inc., MARS Platform · File Security Technology — seculetter.com.
NIST, Cybersecurity Framework(CSF) 2.0, 2024 — nist.gov.
개인정보보호위원회, 개인정보 보호법 · 개인정보의 안전성 확보조치 기준 — pipc.go.kr.

도입 실무 실무 검토가 필요하신가요?

시큐레터 보안연구팀이 현재 환경을 함께 검토합니다. 기밀 유지 보장, 비용 없음.

PoC 신청