PDF문서ICT 시스템 구축 및 운영실태 특정감사 결과.pdf

닫기

background image

ICT 

ICT

IC

I

시스템  구축  및 

및 운영실태  감사결과

ICT  시스템  구축  및  운영실태 

2024.  1.

감    사    실

-  1  -

감사실시  개요

1.  감사  배경  및  목적

  감사실은 20XX. XX. XX.에 발생한 공사(公社) 모바일 신분증 운영 시스템 

장애로 인해 주요 언론매체에 이와 관련된 부정적 기사가 보도되고, 장애 

복구 지연에 따른 대국민 사과문을 홈페이지에 게시하는 등 공사 공신력이 

훼손되는  사태가  발생하여  장애  발생  원인과  책임  소재를  규명하고 유사

사례가 발생되는 것을 예방하기 위해 ICT 시스템 구축 및 운영실태 특정

감사를 실시하였다.

2.  감사기간  및  감사반  구성

  예비조사(5일) : 2023. 12. 11. (월) ~ 2023. 12. 15. (금)

  실지감사(5일) : 2023. 12. 20. (수) ~ 2023. 12. 27. (수)

  감사반 구성 : 감사기획부장 외 X명


background image

-  2  -

감사결과

1.  총괄

(단위 : 건, 명)

합 계

징계

(인원)

시정

경고

(인원)

주의

(인원)

개선

권고

통보

현지
조치

(금액)

모범
사례

(인원)

총건수

신분상

조치인원

재정상

조치금액

회수

(금액)

기타

(금액)

2

1

-

1

-

-

1

-

-

-

-

-

-

(1)

-

-

-

-

-

-

-

-

-

2.  감사결과  처분요구서  :  별첨 

감사결과 

감사결과 처분요구서

처분

감사결과 

-  ICT  시스템  구축  및  운영실태  특정감사  -

감    사    실


background image

-  1  -

처분요구서 - 1

      징계 요구

제             목

모바일  신분증  인프라  유지관리  업무  불철저

소 관 부 서(기관)

◆◆◆◆◆◆◆처

조 치 부 서(기관)

♥♥처

내             용

1.  사건  개요

    가.“모바일  신분증  시스템  운영  및  유지관리”위수탁  사업  개요

공사(公社)는 디지털 정부혁신을 위한 모바일 신분증 사업을 지원하기 위해 행정

안전부와 “20XX년 모바일 신분증 시스템 운영 및 유지관리” 위수탁 사업에 대한 협약을

20XX. XX. XX.에 체결하였다.

이에 따라 체계적인 사업 수행을 위하여 모바일 신분증의 사업관리, 서비스 및 시스템

운영 업무는 ◇◇◇◇◇◇처에, 모바일 신분증 인프라 운영 및 유지관리 업무는 ◆◆◆◆

◆◆◆처에 각각 부여하였다.

그리고 모바일 신분증 인프라의 안정적인 유지관리를 위하여 시스템 전문 유지관리

업체인 ㈜▲▲▲▲과 용역계약을 체결하고 장애관리, 기술지원, 예방점검 등의 과업을

수행하도록 하였다.

    나.  모바일  신분증  서비스  장애  발생  및  대응

공사는 “XX월 모바일 신분증 인프라 정기점검”(이하 “정기점검”이라 한다) 작업을

-  2  -

행정안전부로부터 승인받은 후 ㈜▲▲▲▲과 함께 해당 정기점검 업무를 수행하기로

하였다.

그런데 위 정기점검 당일인 20XX. XX. XX.에 공사 담당자는 ㈜▲▲▲▲  작업자와

상의하여 XX월로 예정되어 있던 “모바일 신분증 인프라 스토리지 권한 설정”(이하

“스토리지 권한 설정”이라 한다)

작업의 안정성을 미리 확보한다는 이유로 스토리지 권한

설정 테스트와 정기점검 작업을 동시에 수행하기로 결정하였다.

그리고 공사 담당자는 ㈜▲▲▲▲  작업자로부터 당일 수행하기로 한 작업내용과

방법 등에 대한 설명을 들은 후 ㈜▲▲▲▲  작업자는 서버와 연결하여 작업할 수 있는

공간인 통합데이터센터 X층 OP룸(Operation Room)에서 정기점검과 스토리지 권한 설정

테스트를 수행하고 자신은 X층 사무실에서 해당 작업이 잘되고 있는지를 모니터링

하였다.

그러던 중 ㈜▲▲▲▲  작업자가 스토리지 권한 설정 시 테스트 스토리지에만 적용되

는 것으로 알고 한 조치가 당초 예상과는 달리 실제 운영 스토리지에 잘못 적용되었고

그 결과 운영 서버와 스토리지간 연결이 해제되는 등 모바일 신분증 서비스가 중단되는

장애가 당일 XX:XX경에 발생하였다.

이에 공사는 장애 원인을 파악하고 모바일 신분증 홈페이지 및 애플리케이션을

XX:XX경에 복구 조치하였으나, 블록체인과 연계된 발급서비스는 동기화 작업으로 인해

다음 날 XX:XX경까지 복구가 지연됨에 따라 해당 시간 동안 국민들이 모바일 신분증을

발급 받을 수 없는 상황이 초래되었다.

한편 장애 발생 이후 주요 언론매체에 모바일 신분증 장애에 대한 기사가 보도되었고,

공사는 CEO가 직접 지휘·통제하는 ‘비상대책본부’를 운영하며 대응 수위를 격상하였으며

20XX. XX. XX.(토)에서 XX. XX.(일) 양일에 걸쳐 대책회의를 하며 장애 대응 및 재발

방지 대책 수립, 사과문 게시 및 언론 소통방안 등을 논의하였다.


background image

-  3  -

2.  모바일  신분증  인프라  유지관리  업무  불철저

    가.  판단  기준

「취업규칙」  제X조(성실)에 따르면 공사의 직원은 법령·정관·각종 규정 및 직무상의

명령을 성실히 준수하도록 되어 있고, 「통합데이터센터 운영관리 절차서」에 따르면

센터운영담당자는 IT인프라의 변경 작업 등을 통제·관리할 경우 센터운영관리책임자의

승인을 받도록 되어 있다.

한편 공사가 행정안전부와 체결한 「20XX년 모바일 신분증 시스템 등 운영 및 유지

관리 위탁협약서」제X조(위탁업무 내용) 제X항에 따르면 공사는 행정안전부에 「20XX

년 모바일 신분증 시스템 운영 및 유지관리 업무편람」(이하 “「업무편람」”이라 한다)을

제출하고 이에 따라 모바일 신분증 사업을 수행하도록 되어 있다.

그리고 「업무편람」에 따르면 시스템 내 변경 작업(이 경우 테스트를 포함한다)이

필요할 경우 의사결정협의체(행정안전부, 공사)를 통해 영향도 및 중요도를 평가하는

등의 절차에 따라 업무를 수행하도록 되어 있다.

따라서 모바일 신분증 인프라 운영 및 관리업무 담당자는 모바일 신분증 인프라에

대한 테스트 등의 변경 작업이 필요할 경우 변경 작업에 앞서 센터운영관리책임자로부터

승인을 받아야 하고 업무와 관련된 매뉴얼 등을 숙지하여 자신이 수행하는 업무에

과실이 발생하지 않도록 주의하여야 하며, 의사결정협의체를 통해 영향도 및 중요도를

평가하는 등 업무 절차에 따라 주어진 업무를 성실히 수행하여야 한다.

    나.  감사결과  확인된  문제점

◆◆◆◆◆◆◆처 ☏☏☏☏☏☏부 X급 ***은 20XX. X. X.부터 20XX. XX. XX. 감사일

현재까지 ☏☏☏☏☏☏운영담당으로서 모바일 신분증 인프라 운영 및 관리 업무를 수행

하였다.

-  4  -

위 사람은 20XX. XX. XX. XX:XX경 정기점검 작업을 수행하면서 같은 해 XX월로

예정되어 있던 스토리지 권한 설정 작업에 대한 사전 준비 테스트가 필요하다고 자체

판단하고 해당 테스트를 ㈜▲▲▲▲ 작업자와 함께 수행하였다.

그런데 모바일 신분증 인프라를 변경하는 작업은 오류가 있을 경우 서버가 중단되어

대국민 서비스 장애사태까지 발생할 수 있으므로 센터운영관리책임자의 승인을 득한

이후 작업을 수행하여야 함에도 위 사람은 소속 부장 또는 부서장에게 보고하지 않은 채

㈜▲▲▲▲ 작업자에게 해당 테스트를 수행할 것을 지시하였다.

그리고 모바일 신분증 인프라 스토리지 관련 매뉴얼에 따르면 스토리지 내 새로운

볼륨(Volume)을 생성하였을 경우 디폴트(Default) 정책이 유지되므로 테스트를 할 경우

별도의 정책을 마련하여 운영 스토리지에 영향이 미치는 일이 없도록 하여야 했으나,

위 사람은 ㈜▲▲▲▲ 작업자가 별도의 정책을 생성하지 않고 작업을 수행하여도 이것이

잘못된 방법이라는 것을 인지하지 못하였다.

더욱이 위 매뉴얼을 숙지하지 못하였다 하더라도 ㈜▲▲▲▲ 작업자가 당일 수행

업무에 대한 내용 설명 시 관리페이지에 나타나는 안내 문구 정도만 확인하여도 디폴트

정책이 운영 스토리지에 적용되고 있다는 사실을 알 수 있었으나 이를 소홀히 하여 부

적절한 작업을 바로 잡을 수 있는 기회조차 상실하였다.

한편 모바일 신분증 인프라 구조가 운영 영역과 테스트 영역이 물리적으로 분리된

경우라면 테스트 영역에서 어떠한 작업을 하더라도 운영 영역에 영향이 미치지 않는다고

판단 할 수 있지만 현재 모바일 신분증 인프라 구조는 물리적으로 분리된 것이 아닌

논리적으로만 분리되어 있어 테스트 영역의 작업이 운영 영역에 영향이 미칠 가능성이

있었다.

따라서 「업무편람」에 정해진 대로 의사결정협의체를 통해 영향도 및 중요도를 평가

하여 스토리지 권한 설정 테스트가 미치는 영향을 판단하여야 했다.


background image

-  5  -

그러나 위 사람은 중요한 사항은 행정안전부의 승인을 통해 업무를 수행하는 것을

알고 있었음에도 영향도 및 중요도는 의사결정협의체를 통하지 않고 자체적으로 ㈜▲▲

▲▲ 작업자와 함께 판단하였고, 심지어 운영 영역에 영향이 없다고 잘못 판단하고

해당업무를 수행하면서도 이를 책임자에게 보고조차 하지 않았다.

그 결과 모바일 신분증 서비스가 정상 복구되기 전까지 국민들이 모바일 신분증을

발급 받을 수 없는 상황이 초래되었으며, 모바일 신분증 장애에 대한 기사와 공식적인

사과문이 주요 언론매체에 보도됨에 따라 공사의 공신력이 손상된 것에 대한 책임이

있다.

관련자 의견 및 검토결과   

X급 ***은 감사결과를 수용하면서도 ① 모바일 신분증

인프라 스토리지 전문 엔지니어는 ㈜▲▲▲▲ 과장 ***이고, 스토리지 관련 매뉴얼은

공사 업무 매뉴얼이 아닌 제조사의 매뉴얼이므로 본인이 해당 매뉴얼을 숙지할 필요성을

못 느꼈으며, 숙지하였더라도 이해하는데 한계가 있을 것이라는 의견을 제시하였다.

그러나 해당 매뉴얼은 공사가 모바일 신분증 인프라 스토리지를 도입하면서 제조사로

부터 제공받은 매뉴얼로 모바일 신분증 인프라를 운영 및 관리하는 담당자라면 당연히

알고 있어야 하며, 용역업체를 관리하기 위해서는 매뉴얼을 숙지하여 용역업체가 적정히

업무를 수행하는지 판단하여야 하므로 위 사람의 주장은 받아들이기가 어렵다.

그리고 위 사람은 ② ◇◇◇◇◇◇처로부터 「업무 편람」을 전달받지 못하여 영향도

및 중요도에 대한 상세한 업무수행 절차를 인지하지 못하였다는 의견을 제시하였다.

그러나 「업무편람」을 전달받지 못하였다 하더라도 사전에 자신의 업무에 대한

리스크를 파악하고 책임자로부터 지시를 받아 이를 충분히 대비한 후 업무를 수행

하는 것이 일반적인 행정절차이므로 위 사람의 주장은 받아들이기가 어렵다.

-  6  -

징계요구 양정    

모바일 신분증 인프라 유지관리 업무를 수행하면서 업무수행 절차를

위반하고 상급자 보고 및 매뉴얼 숙지 등 관련 업무를 태만히 수행한 X급 ***의

행위는「취업규칙」제X조(성실)의 규정을 위반한 것이며, 해당 행위가 고의성이 없었다

하더라도 그 결과가 공사의 공신력을 상당히 훼손하였으므로 「인사관리 규정」제XX조

(징계사유)

에 해당한다.

조치할 사항

♥♥처장은

모바일 신분증 인프라 유지관리 업무를 수행하면서 규정을 위반하여 공사의 공신력을

훼손한 X급 ***에 대하여 「인사관리 규정」제XX조(징계사유)의 규정에 따라 『징계

처분』 하시기 바랍니다.(감봉)

소속

직급

성명

관련기간

담당업무

처분종류

◆◆◆◆◆◆◆처

X급

***

20XX. X. X.~현재

☏☏☏☏☏☏운영담당

감봉


background image

-  7  -

처분요구서 - 2

      경고 요구

제             목

모바일  신분증  사업  관리  부적정

소 관 부 서(기관)

◇◇◇◇◇◇처

조 치 부 서(기관)

♥♥처

내             용

1.  업무  개요

공사(公社)는 「20XX년 모바일 신분증 시스템 운영 및 유지관리 업무편람」(이하

“「업무편람」”이라 한다)

을 행정안전부에 제출하고, 이에 따라 모바일 신분증 시스템을

운영 및 유지관리 하고 있다.

2.  판단  기준

「업무편람」은 모바일 신분증의 소프트웨어뿐만 아니라 하드웨어, 인프라 구성 내역

및 이에 대한 업무 절차 등 시스템 운영 관리에 필요한 전반적인 업무수행 기준을

행정안전부와 공사가 협의하여 마련한 업무절차서이다.

따라서 「업무편람」을 관리하는 부서인 ◇◇◇◇◇◇처는 모바일 신분증 인프라

관련 운영 및 관리업무를 담당하는 부서가 「업무편람」에 따라 업무를 수행할 수

있도록 「업무편람」을 전달하는 등의 적절한 조치를 하여야 한다.

-  8  -

3.  감사결과  확인된  문제점

그런데 20XX. X. X.부터 같은 해 XX. XX. 감사일 현재까지 모바일 신분증 사업 관리

실태를 점검한 결과 ◇◇◇◇◇◇처는 「업무편람」을 행정안전부에 제출하면서도

모바일 신분증 인프라 담당부서인 ◆◆◆◆◆◆◆처에 전달하지 않았다.

그 결과 모바일 신분증 인프라 담당직원은 이러한 업무 절차를 제대로 알지 못하는

실정이었으며, ◆◆◆◆◆◆◆처 소속 직원은 모바일 신분증 인프라의 변경 작업을

수행하면서도 「업무편람」에 따라 의사결정협의체를 통해 영향도 및 중요도를 평가하지

않고 인프라 유지관리 용역업체와 함께 자체적으로 영향도 및 중요도를 평가하는 등

업무가 부적절하게 처리되었다.

관련부서 의견    ◇◇◇◇◇◇

처는 감사결과를 수용하면서 별다른 의견을 제시하지

않았다.

조치할 사항

♥♥처장은

모바일 신분증 사업 관리를 소홀히 한 ◇◇◇◇◇◇처를 「인사관리 규정」제XX조(경고

및 주의)

에 따라 『경고 처분』 하시기 바랍니다.(경고)