취약점 분석·평가는 2011년 최초 개정 이후 최근까지 지속적으로 개정되어 2021년 과학기술정보통신부 고시(제2021-103호)에 명시된 「주요정보통신기반시설 취약점 분석·평가 기준」에 따라 취약점 진단을 수행한다. 취약점 진단 대상을 유형별로 분류하여 그룹화한 후 관리적/물리적/기술적으로 구분하여 총 478개 항목에 대해 점검한다. 발견된 취약점에 대해 위험등급 표시 및 진단 결과 세부내용을 기술하고 조치 가능한 취약점에 대한 개선대책을 제시하여 즉시 조치(1차)를 지원하며 매년 8월말까지 행정안전부장관에게 제출하는 ‘주요정보통신기반시설 보호대책(안)’ 수립을 지원한다. 보호대책(안)에 대해 기관 담당자에게 충분히 설명 후 현실적으로 조치/이행할 수 있는 방안을 구체적으로 제시하며, 과업이 완료된 후에도 보호대책의 수정·보완이 필요할 경우는 추가지원을 실시한다. 행정안전부장관에게 보호대책이 제출된 후 단기개선 취약점은 이행확인, 중기개선 취약점은 재검토 및 조치 가능 여부 확인 후 조치지원(2차)을 진행한다. 마지막으로 1·2차 취약점 조치율이 저조한 기관을 대상으로 시스템 영향도 분석 등 협의 과정을 통해 3차 추가지원을 실시한다.

침투 모의해킹은 주요정보통신기반시설 분야 및 시설 환경별 특성을 반영한 시나리오를 기반으로 도출된 취약점에 대해 대응방안을 마련한다. 점검 일정 내 현장으로 방문하여 기반시설 자산 현황 분석과 침투 접점을 식별하고 세부 침투 시나리오를 내부망·외부망·기반시설망으로 구분하여 10개 이상을 수립하며, 시나리오별 실제 발생 가능성 및 피해 확정 정도 등을 반영하여 도출된 취약점 조치 우선순위 선정과 보안 대책 방안을 제시한다. 침해사고대응 모의훈련은 주요정보통신기반시설 관리기관 침해사고대응 체계 확립을 위해 훈련을 수행하며 침해사고 및 공격유형에 따른 사고 단계별(초동대응, 사고대응, 사고복구) 시나리오를 수립하여 시설별 대응복구 능력 및 협조체계 등을 점검한다. 기관 담당자와 협의하여 훈련 일정, 시나리오, 훈련 진행 방법 등이 포함된 구체적인 계획을 수립하고 훈련 시나리오는 일반 정보시스템망(인터넷)과 제어시스템망(긴급구조시스템 포함)으로 구분하여 작성하며 도출된 취약점을 기초로 대응 단계별 미흡사항에 대한 개선 대책을 제시한다. 담당자 정보보호교육은 주요정보통신기반시설 정보보호 담당자(이하 ‘담당자’)는 신규전담 또는 비전공 등의 이유로 관련업무 개발원 사업 및 최신 보안이슈 습득에 대한 수요가 지속적으로 있었으며, 업무역량 강화 지원을 위해 교육을 요청한 기관에 전문 강사가 직접 방문하여 정보보호 교육(2014년)을 시작했다. 점차 교육 신청의 확대와 접근의 용이성을 위해 사업의 모든 위탁기관 담당자 대상, 연간 4회의 집합교육으로 운영방식을 변경(2016년)하여 최근에는 연간 6회(각 회차별 24시간 수료)의 집합교육 및 온라인 교육으로 운영(2022년)하고 있다. 교육 내용은 기존 및 신규 담당자들의 업무이해도를 높이기 위해 관련 법령 및 업무, 취약점 분석·평가 절차, 보호대책 작성방법, 로그분석, 모의해킹 실습 등으로 구성되어 있으며, 수준별(기본/실무/전문) 과정으로 구분되어 담당자가 원하는 교육을 선택 및 신청할 수 있다. 매년 교육과정별 설문조사를 통해 만족도와 요구사항을 분석하고, 차년도 진행 시 교육 내용, 환경, 진행방식 등에 반영하여 교육의 질을 높이고 있다.
업무·기술 지원은 주요정보통신기반시설 담당자가 요청하는 기반시설 정보보호와 관련된 업무를 지원한다.(2월~12월) 주로 국가정보원/중앙행정기관에서 실시하는 ‘보호대책 이행여부 점검’ 대비 및 대응, 신규/교체 시스템 보안취약점 점검, 시·군·구 대상 정보보안 점검, 기타 자문(관리/물리/기술, 웹모의해킹, 모의훈련) 등에 대해 매년 수요조사를 실시하여 일괄 신청을 받고 있으며, 그 외 수요 업무에 대해 수시로 신청을 받아 지원 가능여부 확인 후 진행하고 있다. 그중 시·군·구 대상 정보보안 점검지원은 「국가 정보보안 기본지침」 점검 체크리스트 및 「주요정보통신기반시설 취약점 분석·평가 기준」 고시를 준용하여 기관의 관리적/물리적/기술적 보안관리 실태를 점검한다. 또한 동일 고시의 중요도가 높은 항목을 기준으로 주요 서버 및 PC 점검을 통해 시·도 산하 시·군·구의 정보보안 사전 예방활동을 지원하고 있다.
그 외 기반시설의 정보보호 수준 향상 및 담당자의 업무 지원을 위해 매년 다양한 과업을 추진해왔다. 기관별 취약점 관리카드 작성을 통해 취약점 분석·평가 후 잔여 취약점에 대해 우선조치 가능사항을 확인하고, 보다 용이하게 취약점을 관리 할 수 있는 방안을 제공했다. 또한 모바일 서비스 증가에 따라, 관리기관 홈페이지 등 어플리케이션 소스코드, 모바일 어플리케이션을 점검하였고, 2019년~2022년에는 「국가 정보보안 기본지침」 등을 기반으로 기반시설 정보보안 관련 업무에 대해 매뉴얼 및 안내서를 제작하였다.

다양한 업무와 다수의 인력이 투입되고 지역이동이 이루어지는 만큼, 사업 진행현황 파악과 산출물 품질을 관리할 수 있는 사업 관리조직(PMO)을 운영하고 있다. 주 업무인 취약점 분석·평가는 2012년 첫 사업 발주 후 매년 수요기관이 증가함에 따라 수행팀 역시 증가했으며, 팀별 각기 다른 산출물 작성으로 인해 업무절차, 진단기준, 산출물 작성방식 등에 대해 일관화 및 품질관리가 요구되었다. 이러한 문제점을 보완하기 위해 2015년부터는 사업 관리조직에 의한 수행팀 투입 전 사전교육, 진단 템플릿 작성 및 배포를 진행했다. 2022년 기준 84개 기반시설에 17개 수행팀(총 34명)이 투입됐으며, 사업관리조직에서 기관별 산출물을 검수하여 일정 수준 이상의 품질을 유지하도록 관리하고 있다.
또한 취약점 분석·평가는 기반시설의 보안 관리실태 및 시스템 설정 등 민감한 사항에 대해 다루는 업무인 만큼 자료 유출, 정보 삭제 등 ‘산출물 보안’은 가장 중요하게 요구되는 사항이다. 각 수행팀은 반드시 기관 투입 후 현장 보안규정에 따른 업무 진행을 원칙으로 하나, 2020년 코로나바이러스 확산으로 인해 업무수행 방식에 변화가 생겼다. 비대면 업무를 요청한 기관의 경우 사업관리조직 또는 수행업체 사무실에서 기관 및 사업관리조직의 관리하에 원격 진단으로 진행하여 암호화된 보안 USB를 통한 자료 전달 등 감염을 최소화하는 방식으로 대체하였다.
2020년 발병한 코로나가 사회 전반의 많은 영향을 끼침에 따라 취약점 분석·평가도 취약점 도출 및 인적 역량 강화라는 본연의 목표를 저해하지 않으면서 다양하게 일하는 방식을 바꾸려 많은 노력을 기울였다. 현장의 주요시스템 및 시설 등을 직접 접근하여 실시하였던 취약점 진단 방식을 코로나 발병 기관을 중심으로 일부 원격으로 전환 실시하여 행정안전부 보호대책서 제출을 차질없이 지원하였다. 세부적으로 가장 영향을 많이 미친 정보보호 집합 교육은 모임·행사 등이 제한되면서 2021년까지는 KLID 아카데미 교육과정을 활용한 온라인 교육으로 대체하였고 올해는 코로나 확신 추이에 따라 집합·온라인 교육으로 병행하여 추진하고 있다. 업무·기술 지원 역시 기존에는 별도 인력의 현장지원 방식으로 진행했으나, 대면을 최소화하기 위해 기관에 이미 투입된 취약점 분석·평가 수행팀을 통한 지원 또는 사업관리조직의 이메일, 전화 등을 통한 지원을 병행하고 있다.

특히 현장에 인력을 투입해야하는 업무의 특성상 수행 인력의 코로나-19 감염은 취약점 분석·평가 업무 진행시 투입기관 내 바이러스 전파, 수행팀원의 2차 감염, 수행팀 간 동시다발적인 감염 시 대체인력 부족 등 많은 위험이 존재한다. 이에 감염 방지를 위한 수행팀 관리가 필수적이었으며, 방역지침 교육 및 감염여부 검사 진행 후 기관에 투입할 수 있도록 하였다. 또한 지역별 대유행/완화 시기 등 이슈 발생 시마다 주의사항을 공지하고, 이상증상(체온, 증상)을 자체적으로 매일 확인하여 감염 인지 시 즉각적인 보고 및 대체인력 확인 등 대응체계를 수립하여 운영하였다.