mecㆍviewer v1.4 :: 2023년도 ICT 사업 운영실태 및 정보보안 특정감사 결과

2023

202

년도

년

ICT

사업

사

운영실태

운영실

운영

운

및

2023년도 ICT 사업 운영실태

정보보안

정보보

정보

정

특정감사

특정감

특정

특

결과

결

정보보안 특정감사

2023. 9.

감 사 실

- 1 -

Ⅰ

감사실시 개요

1. 감사배경 및 목적

공사(公社)는 초연결 시대의 국민 신뢰 플랫폼 파트너로서 최근 ICT 사업을

위한 조직을 신설･확대하는 등 생태계를 구축하면서, 가치를 창출하기 위해

디지털신분증, 결제플랫폼 등 다양하고 복잡한 구조의 사업을 확대･추진하고

있어 내부통제에 대한 관심 또한 커지고 있다.

그리고 업(業)의 전환에 따라 공사는 제조업에서 서비스업으로 확대하면서

새로운 시각으로 구조를 이해하고 개선하기 위한 노력이 필요하다. 특히

디지털 시대 사이버 공격이 증가함에 따라 ICT 서비스의 안정성을 확보하고

직원들의 정보보안 의식을 고취시키기 위한 노력의 일환으로 정보보안 실태를

점검하여 상시 사이버 위기에 대비할 필요가 있다.

또한 소프트웨어사업과 관련된 국가 법령 등이 오랜 시간에 걸쳐 제･개정

되면서 안정화되고 있음에 따라 공사도 이에 맞게 내부 규정, 지침 및 매뉴얼

등이 운영될 수 있도록 보완할 필요가 있다.

이에 따라 감사실은 ICT 사업 전반에 대한 운영실태를 점검하여 효율적인

내부통제시스템을 마련하고, 전환되고 있는 업의 조기 안정화를 위해 직원

들의 정보보안 의식을 함양하면서 이를 제도적으로 안착시키는 것을 이번

특정감사의 목적으로 하였다.

- 2 -

2. 감사대상 기관 및 범위

□ 대상기관 : 본사, ◇◇◇◇원(추적감사 : ●●본부, ㈜▩▩▩▩▩▩)

□ 감사범위 : 20XX. X. X.부터 감사일 현재까지 ICT 업무 전반

3. 감사기간 및 감사반 구성

□ 예비조사(9일) : 2023. 7. 18.(화) ~ 7. 28.(금)

□ 실지감사(5일) : 2023. 8. 7.(월) ~ 8. 11.(금)

□ 감사반 구성 : 기술감사부장 외 X명

4. 감사중점 사항

이번 감사는 ICT 사업에 대한 전반적인 적정성을 점검하고자 ① ICT 기획,

② ICT 개발, ③ ICT 운영 및 유지보수, ④ ICT 보안 및 시스템 통제 분야로

나누어 감사를 진행하였다.

ICT 기획 분야에서는 조직, 인사, 규정, 예산, 매출 및 원가, 계약 등의

적정성을 점검하고, ICT 개발 분야에서는 기술기준, 품질 및 표준화, 연구

개발 등의 적정성을 점검하였다.

또한 ICT 운영 및 유지보수 분야에서는 운영 권한, 백업, 자산 관리 등의

적정성을 점검하고 ICT 보안 및 시스템 통제 분야에서는 정보보안, 개인

정보, 로그 기록 및 보관 등의 적정성을 점검하였다.

- 3 -

Ⅱ

감사결과

총 괄

(단위 : 건, 명, 천 원)

합 계

징계

(인원)

시정

경고

(인원)

주의

(인원)

개선

권고

통보

현지
조치

(금액)

모범
사례

(인원)

총건수

신분상

조치인원

재정상

조치금액

회수

(금액)

기타

(금액)

34,070

(-)

(34,070)

(-)

(1)

(2)

(-)

2. 감사결과 처분요구서 : 별첨

[별첨]

감사결과

감사결

감사

감

처분요구서

처분요구

처분요

처분

처

감사결과

- ICT 사업 운영실태 및 정보보안 특정감사 -

감 사 실

- 1 -

처분요구서-1

경고 요구

제 목

모바일 ♠♠♠ 서비스 검증 컨설팅 용역 업무 추진 부적정

소 관 부 서(기관)

☏☏☏☏☏☏처

조 치 부 서(기관)

♥♥처

내 용

1. 업무 개요

☏☏☏☏☏☏처는 20XX. X. XX.부터 같은 해 XX. XX.까지 “모바일 ♠♠♠ 구축

및 확대용역”(이하 “용역사업”이라 한다)을 ㈜★★★과의 계약을 통해 진행하였고, ㈜★

★★은 용역사업 종료 이후에도 20XX. X. XX.까지 약 X개월 동안 공사(公社)에 상주

하면서 용역사업의 안정화를 지원하였다.

이 과정에서 ☏☏☏☏☏☏처는 20XX. X월경부터 시작 예정이었던 모바일 ♠♠♠

사업의 안정적인 추진을 위해서는 긴급히 추가 검증이 필요하다는 이유로 ㈜★★★이

상주하는 일정 내에 완료한다는 목표를 가지고 20XX. X. XX.부터 같은 해 X. X.까지

㈜▲▲▲▲과 “모바일 ♠♠♠ 서비스 검증 컨설팅 용역”(이하 “컨설팅 용역”이라 한다)을

진행하였다.

- 2 -

2. 판단 기준

「정보화업무 규정」제6조(소프트웨어사업 과업심의위원회) 제4항에 따라 별도로 제정

하여 운용 중인 「소프트웨어사업 과업심의위원회 운영기준」(이하 “「운영기준」”이라

한다)

에 따르면 모든 소프트웨어사업의 발주자는 과업심의를 요청한 후 과업내용, 계약

기간 및 계약금액 등의 적정성을 검토한 결과를 계약서(제안서평가 등)에 반영하도록

되어 있다.

한편 계약서란 당사자 간에 합의한 계약 사항에 관하여 책임과 의무를 명시하고

계약 이행을 담보하며 분쟁 발생 시 책임 소재를 명확히 하는 등의 법적 효력을 갖춘

문서이므로 공사는 계약을 체결하고 용역업무를 수행하여야 한다.

따라서 ☏☏☏☏☏☏처는 컨설팅 용역업무를 위탁하기 전 「운영기준」에 따라 과업

심의를 요청하고 계약이 체결된 후 용역업무를 수행하여야 한다.

3. 감사결과 확인된 문제

3급 ***은 20XX. X. X.부터 감사일 현재까지 ☏☏☏☏☏☏처 ********부 업무를

총괄하면서 컨설팅 용역 업무를 관리하였다.

그런데 위 사람은 컨설팅 용역의 관리자로서 20XX. X. XX.부터 컨설팅 용역을 준

비하면서 같은 해 X. XX. ㈜▲▲▲▲과 직접 업무협의 후 같은 해 X. XX.부터 컨설팅

용역을 착수하기로 결정하였다.

그러나 위 사람은 컨설팅 용역이 과업심의 대상임을 인지하지 못한 채 단순히 수의

계약만을 고려하여 20XX. X. XX.이 돼서야 뒤늦게 5급 ***을 컨설팅 용역 담당자로

결정하였고 ㈜▲▲▲▲로부터 받은 견적서를 전달하면서 컨설팅 용역 업무 수행을 지시

하였다.

- 3 -

그 결과 위 사람은 20XX. X. XX.에 실시된 X월 과업심의위원회의 과업심의 기회를

상실케 하였고, ㈜★★★이 상주하는 기간 내에 컨설팅 용역을 수행해야 한다는 사유로

계약 담당부서와 별도의 협의도 없이 계약을 체결하지 않은 채 [표]와 같이 20XX. X.

XX.부터 ㈜▲▲▲▲에 용역 업무를 위탁한 것에 대한 관리자로서의 책임이 있다.

[표] 컨설팅 용역 실제 수행기간 및 계약 내역

용역명

계약상대자 계약금액(원)

실제용역
수행기간

계약기간주)

모바일 ♠♠♠ 서비스 검증 컨설팅 용역 ㈜▲▲▲▲ XX,XXX,XXX 20XX. X. XX.～X. X.

20XX. X. X.～X.

주) 전자조달통합시스템 계약 번호 20XXXXXXXX 「모바일 ♠♠♠ 서비스 검증 컨설팅 용역」

자료 : ☏☏☏☏☏☏처 제출자료 및 전자조달통합시스템 문서 재구성

관련기간

담당업무(前 담당업무)

처분종류

▣▣▣▣▣▣처

(♧♧♧♧처)

4급

***

20XX. X. X.～

20XX. X. XX.

********담당

(*******담당)

주의

▣▣▣▣▣▣처장은

용역대금 지급 시 산출내역서의 유지관리 수행기간을 기준으로 대금을 지급하고, 선

지급된 XX,XXX,XXX원 및 초과 지급 잔액 X,XXX,XXX원, 총 XX,XXX,XXX원을

일괄 환수(차감)하시기 바랍니다.(시정)

- 8 -

처분요구서-3

주의요구 및 통보

제 목

통합데이터센터 무정전 전원장치 운용 불철저

소 관 부 서(기관)

●●본부

조 치 부 서(기관)

♥♥처, ●●본부

내 용

1. 사건 개요

가. 통합데이터센터 무정전 전원장치 개요

●●본부는 통합데이터센터(이하 “IDC”라 한다) 내 공사(公社) *** 서비스 등의 운영을

위한 서버, 스토리지, 네트워크, 보안장비 등의 시설(이하 “서버시설”이라 한다)에 전원을

안정적으로 공급하기 위해 무정전 전원장치(이하 “UPS”라 한다)를 UPS X대를 병렬 운

용하다 20XX. X. X.부터 X대 병렬 및 X대 예비로 운용하고 있었다.

나. IDC UPS 장애로 인한 서버시설의 전원공급 중단 발생 및 복구

20XX. X. XX. XX:XX ●●본부 및 IDC의 주 전원공급선인 ◴◴◴◴ ◉◉변전소의 지중

케이블1)이 소손2)되어 예비 전원공급선인 ▤▤변전소로 전환되면서 순간정전이 발생하였고,

전력이 다시 복구되는 순간 병렬운영 중이었던 UPS X대가 소손되었고 UPS 내 Bypas

s3) 자동 전환도 실패하여 XX:XX부터 서버시설의 전원공급이 중단되었다.

1)  지중케이블  :  땅속에  묻어서  가설한  전선을  말함.
2)  소손  :  불에  타서  부서짐을  말함.
3)  Bypass  :  전류를  정상회로가  아닌  다른  회로로  흐르도록  하기  위해  추가한  분리  회로를  말함.

- 9 -

IDC의 전원공급 관리 담당부서인 ●●본부 ◐◐◐◐처는 X대의 UPS 소손으로 인해

▤▤변전소 전력을 서버시설에 공급할 수 없게 되자 UPS 제조사 엔지니어(∑∑지사 소

속)

에게 유선으로 UPS 상태를 설명하면서 XX:XX경 전체 수동 Bypass를 통해 직접

연결하여 서버시설에 전원을 공급하였다.4)

이후 XX:XX경 제조사 엔지니어가 도착하여 XX:XX 예비용 UPS를 연결하면서 정전

발생 이후 약 X시간 XX분(XX:XX～XX:XX)이 지나서야 서버시설에 전원공급을 정상

복구하였고, 이후 서버시설로 운용되는 ♨♨♨♨♨, ♠♠♠♠♠♠ 등이 복구 완료5) 되었다.

2. 판단 기준

「공공기관의 운영에 관한 법률」 제1조(목적)에 따르면 공사는 공기업으로서 대국민

서비스 증진에 기여하도록 되어 있고, 공사 임직원은 「직제 규정」 제13조(권한과 책임)

및 「직제 규정 시행세칙」 제6조(업무분장)에 따라 분장된 업무를 수행하도록 되어 있다.

한편 IDC UPS는 서버시설을 전압변동, 주파수 변동, 순간정전 등으로부터 보호하여

중단 없이 운용하기 위한 장치이고 문제발생 시 전원공급의 중단으로 신뢰성이 요구되는

♠♠♠♠♠♠, ♨♨♨♨♨ 등 대국민 서비스에 직접적인 영향을 미치므로 이를 관리하는

부서는 서버시설에 UPS를 통한 전원공급이 차질 없이 이루어지도록 관리해야 한다.

그리고 IDC에는 전원공급의 안정성을 제고하기 위해 ①UPS, ②비상발전기, ③전체

수동 Bypass, ④서버실 전원배분장치의 이중화 등으로 비상 시 전원을 공급할 수 있도록

내부적으로 설계되어 있으나, 위의 방법 중 완전정전이나 순간정전6)에서도 서버시설에

‘중단 없이’ 전원을 공급 할 수 있는 방법은 ①UPS가 유일하므로 이에 대한 운용·관리는

4) *** 사업 관련부서는 전체 수동 Bypass를 통해 복구된 ◴◴◴◴ 전원을 통해 서버시설의 상태점검, 일부 시스

템 복구 등을 하였으나, 추가 정전의 위험이 있어 예비용 UPS #X를 연결하여 정상 전원공급이 이루어지기 전
까지 상태점검 및 복구한 시스템의 전원을 꺼놓았음.

5)  20XX. X. XX.  XX:XX  ♨♨♨♨♨  복구  완료,  XX:XX  경영정보시스템  복구  완료.
      20XX. X. XX.  XX:XX  ♠♠♠♠♠♠  서비스  일부  개시,  XX:XX  ♠♠♠♠♠♠  복구  완료.
6)  완전정전은  주  전원공급선과  예비  전원공급선이  완전  차단되었을  경우를  말하고,  순간정전은  주  전원공급선에서

예비 전원공급선로 전환 되면서 순간적으로 전력이 차단되었을 경우를 말함.

- 10 -

더욱 중요하다 할 수 있다.

따라서 ●●본부 ◐◐◐◐처는 서버시설에 UPS를 통한 전원공급이 문제가 없도록 관리

하고, UPS에 문제가 발생하여 UPS를 통하지 않고 전원을 공급해야 할 경우에는 서버

시설을 보호하고 중단 없이 운용하기 위해 신속하게 UPS를 복구 운용하여 서버시설로

운영되는 대국민 서비스 증진에 최선을 다하여야 한다.

한편 「직제 규정 시행세칙」 제7조(업무분장의 조정)에 따르면 상호 관련 있는 업무에

대하여는 유기적으로 운영되도록 협의 및 협조할 의무가 있다고 되어 있다.

따라서 ●●본부 ◐◐◐◐처는 UPS 운용과 관련하여 서버시설에 안정적인 전원공급

을 위해 IDC 인프라 운영·관리 및 관제 주관부서인 ▣▣▣▣▣▣처와 유기적으로 업무

를 협의하는 것이 필요하다.

3. 감사결과 확인된 문제

IDC에 UPS가 설치된 20XX. XX. X.부터 20XX. X. XX. 이전까지 정비이력을 점검한

결과 [표 X]과 같이 IDC UPS는 기기 자체 결함에 따라 두 차례의 고장과 두 차례의 오

류가 발생하여 중요 부품교환, 프로그램 업그레이드 등을 하였고, ●●본부 ◐◐◐◐처

는 20XX. X. X. 회의를 통해 ‘X대 병렬’의 기존 운용방법이 불안정함에 따라 ‘X대 병렬

및 X대 예비용’으로 운용방법을 변경하였다.

이와 같은 변경된 운용방법에서 예비용 UPS X대를 직접 연결할 수 있는 직원은 ●●

본부 내 아무도 없어7) 연결을 위해서는 제조사 엔지니어의 출장 지원이 필수적이고 지원

가능 시간에 따라 예비용 UPS X대의 연결 시점이 달라지는 상황이었다.

그런데 ●●본부 ◐◐◐◐처는 당시 회의에서 예비용 UPS X대를 두기로 운용방법

7) ●●본부 내 공무과, 시설관리 위탁용역(㈜▩▩▩▩▩▩) 직원은 제조사의 도움 없이는 전문장비인 UPS를 직

접 연결할 수 없었고, 타 기관(♧♧♧♧♧♧♧♧연구원, ♣♣♣♣♣♣원) 사례조사 결과 UPS 점검 및 관리는
시설관리 용역업체 직원이 하고 있으나, 고장, 연결 등에 대한 조치는 UPS 제조사 엔지니어가 직접하고 있음.

- 11 -

변경을 결정하면서도 제조사 엔지니어 지원방법8), 주요 예비품의 지원 등 예비용 UPS

연결에 대한 구체적인 방안을 마련하지 않았다.

그 결과 예비용 UPS의 신속한 연결이 필요한 상황이었음에도 ‘1. 나.’와 같이 서버시설

에 UPS를 통해 정상적으로 전원을 공급하는데 까지 약 X시간 XX분(XX:XX∼XX:XX)이

나 소요되었고, 이에 따라 ♠♠♠♠♠♠, ♨♨♨♨♨ 등의 정상 복구 및 운영 시점이

지체되었다.

한편 UPS를 설치하여 운용하고 있는 타 기관의 사례를 조사한 결과 UPS와 시스템의

전원배분장치를 이중화 이상으로 구성하고 제조사의 유지보수 용역으로 UPS를 통한 시스

템 운영의 신뢰도와 안정성을 제고하고 있었다.

따라서 ●●본부 ◐◐◐◐처는 ‘1. 나.’와 같은 유형의 사고를 예방하고 *** 사업의 안

정적인 추진을 위해 IDC 인프라 운영·관리 및 관제 주관부서인 ▣▣▣▣▣▣처와 함께

타 기관 사례, 사업 전망 등을 고려하여 UPS 운용방법에 대해 논의하고 조치하는 것이

바람직하다.

관련부서(기관) 의견 및 검토의견

●●본부는 UPS 운용방법 변경 회의 시 예비

용 UPS 연결이 필요한 경우를 대비하여 제조사에 신속한 지원을 요구하였고 「전력공

급 위기대응 매뉴얼」을 자체 마련하여 20XX. X. XX. 정전 발생 시 이에 따라 대응하

고 제조사에 상황의 시급성을 충분히 알리면서 엔지니어의 신속한 지원을 요청하였다

는 의견을 제시하였다.

8) ●●본부는 설치 및 하자보수와 20XX. X. XX. UPS소손에 따른 지원을 제조사인 ㈜♪♪♪♪♪♪의 ∑∑지사

(경기도  안산,  ●●본부까지  약  XXXkm)  엔지니어  및  본사  연구소(경기도  남양주,  ●●본부까지  약  XXXkm)
직원으로부터  지원  받아왔으나,  감사실에서  제조사에  문의한  결과  사전협의를  통해  ∏∏지사(대전,  ●●본부까
지  X.Xkm)에서도  엔지니어  지원  및  주요  예비품  확보가  가능하다고  답변함.

- 12 -

그러나 사고 이후 「전력공급 위기대응 매뉴얼」에 따라 정전에 대응하고 신속한

지원을 요청하기 이전에 ●●본부 ◐◐◐◐처는 IDC의 전원공급 관리를 담당하는 부

서로서 예비용 UPS를 두는 운용방법으로 변경한 경우 가까운 ∏∏지사 엔지니어의

지원요청 등 최대한 신속하게 예비용 UPS를 연결할 수 있는 대비책을 사전에 제조사

와 협의하여 구체적으로 마련하여 서버시설의 전원공급 정상복구 시점을 앞당기는 노

력을 하는 것이 타당함으로 위 부서의 의견은 받아들이기 어렵다.

조치할 사항

♥♥처장은

통합데이터센터 무정전 전원장치 운용 관리업무를 소홀히 한 ●●본부 ◐◐◐◐처를

「인사관리 규정」제38조(경고 및 주의)에 따라 『주의 처분』 하시고,(주의)

●●본부장은

▣▣▣▣▣▣처와 함께 타 기관 사례, 사업 전망 등을 고려하여 통합데이터센터 무정전

전원장치의 운용방법에 대해 논의하여 조치하시기 바랍니다.(통보)

- 13 -

처분요구서-4

시정 및 주의요구

제 목

시설관리 용역 수행 및 관리 불철저

소 관 부 서(기관)

●●본부, ㈜▩▩▩▩▩▩

조 치 부 서(기관)

●●본부, ㈜▩▩▩▩▩▩

내 용

1. 업무 개요

●●본부는 위탁용역 계약을 통해 시설물(기계설비, 냉난방 공기조화설비, 전기설비 등)과

부속된 일체의 시설을 자회사인 ㈜▩▩▩▩▩▩에 위탁하여 관리하고 있다.

2. 판단 기준

시설관리 위탁용역 계약 「용역계약 특수조건」 제1조(용역대상 및 범위)에 따르면

계약상대자는 과업지시서에 따라 수행하도록 되어 있고, ●●본부에서 작성한 시설관

리 용역 과업지시서 “II. 과업수행 일반사항> 1.시설물의 운영 및 유지관리”에 따르면

계약상대자는 시설물의 운영 및 유지관리 계획 등이 포함된 시행계획을 수립하여 용

역 개시일로부터 X일 이내에 제출하도록 되어 있다.

따라서 ㈜▩▩▩▩▩▩는 ●●본부 시설관리 위탁용역의 과업지시서에 따라 시설관리

를 위한 위탁용역 시행계획을 수립하여 지정된 기간 내 제출하여야 하며, ●●본부는

제출 받은 본부 내 시설물에 대한 법정검사 일정 및 수검계획, 시설물 유지관리 세부기준

등이 포함된 시행계획에 따라 용역이 적정하게 수행되고 있는지 관리·감독하여야 한다.

- 14 -

3. 감사결과 확인된 문제

그런데 20XX. X. XX. ●●본부 내 순간정전으로 인한 통합데이터센터 UPS장애와

관련하여 시설관리 위탁용역의 수행실태를 점검한 결과1) ㈜▩▩▩▩▩▩는 자회사 설립

이후 공사(公社)와 총 X차례의 계약을 수행하면서 과업지시서에 따라 지정된 기간 내

제출하여야 할 위탁용역 시행계획서를 모두 제출하지 않았으며, 과업수행을 요청하여 관

리할 의무가 있는 ●●본부 또한 이를 제출하도록 요구하지 않은 채 용역 관리업무를

수행하고 있어, 본부 내 시설을 체계적이고 효율적으로 관리하기 어려운 실정이다.

관련부서(기관) 의견

㈜▩▩▩▩▩▩와 ●●본부는 감사결과를 수용하면서 별다른

의견을 제시하지 않았다.

조치할 사항

㈜▩▩▩▩▩▩ 대표이사는

20XX년도 ●●본부 시설관리 용역 과업지시서에 따라 업무를 수행하기 위한 시행계획

을 ●●본부에 제출하시고,(시정)

앞으로 ●●본부 시설관리 용역 과업지시서에 따라 용역 수행 업무를 철저히 하시기 바

랍니다.(주의)

●●본부장은

앞으로 ●●본부 시설관리 용역 과업지시서에 따라 용역 관리 업무를 철저히 하시기 바랍니다.

(주의)

1) ㈜▩▩▩▩▩▩의 과업범위 내 통합데이터센터의 UPS 점검 및 정비 또한 포함되어 있으며, 이에 대한 주기적

점검과 정비를 하고 있음을 정비이력카드의 내용으로 확인함.

- 15 -

처분요구서-5

시정 및 주의요구

제 목

데이터베이스 표준화 계획 수립 등 불철저

소 관 부 서(기관)

◆◆◆◆◆처

조 치 부 서(기관)

◆◆◆◆◆처

내 용

1. 업무 개요

◆◆◆◆◆처는 정보시스템 간 데이터를 공동으로 활용하고 효율적으로 공공데이터를

관리하기 위하여「데이터 표준화 관리기준」을 제정하여 운영하고 있다.

2. 판단 기준

「정보화업무 규정」제23조(데이터베이스 표준화) 제1항 및 제2항에 따르면 총괄부서는

데이터의 체계적이고 효율적인 관리를 위하여 데이터베이스 표준화 계획을 매년 수립

시행하고 데이터베이스의 표준 및 품질관리를 위해 데이터베이스를 점검 관리하도록

되어 있다.

그리고 「같은 규정」제23조 제5항에 따르면 데이터베이스 표준화에 관한 세부사항은

행정안전부 고시 「공공기관의 데이터베이스 표준화 지침」을 따르도록 되어 있고

「같은 지침」제7조(공공데이터베이스 표준화 관리체계 구축) 제2항에 따르면 공공기관의

- 16 -

장은 데이터베이스 표준의 신규 제정 변경 폐기 등에 관한 처리 절차 및 운영 기준을

수립하도록 되어 있다.

따라서 정보화 정책 총괄부서인 ◆◆◆◆◆처는 공사 데이터베이스의 품질을 향상

시키기 위해 매년 표준화 대상 및 범위, 점검 계획, 소요예산 등에 대한 데이터베이스

표준화 계획을 수립하고 계획에 따라 데이터베이스 표준화 점검 활동을 실시하여야

하며 데이터베이스 표준의 신규 제정 변경 폐기 등에 관한 처리 절차를 포함한 기준을

수립하여야 한다.

3. 감사결과 확인된 문제

그런데 20XX. X. X.부터 20XX. X. XX. 감사일 현재까지 데이터베이스 표준화 계획

및 관리 현황을 점검한 결과 ◆◆◆◆◆처는 20XX년도에 데이터베이스 표준화 계획을

수립하지 않았으며 데이터베이스 표준화 점검 활동도 수행하지 않았다.

이로 인해 공사가 소유한 방대한 양의 데이터베이스에 대한 표준화 점검을 연차별로

계획성 있게 실시하여 공사 전체 데이터베이스의 표준화에 대한 점검을 신속히 완료

하여야 하나 20XX년도에 계획 수립 및 점검 활동을 누락하여 현재까지 공사 데이터베이스

표준화에 대한 전체 점검이 지연되고 있는 실정이다.

또한 공사 데이터베이스의 표준화 현황을 파악하여 표준을 신규로 제정하거나 변경

폐기할 필요가 있는지 여부를 판단할 기회를 상실하였으며 해당 연도에 개발된 정보

시스템의 경우 데이터베이스 표준화에 대한 품질을 보증할 수 없는 실정이다.

한편 20XX년도에 수립한 「데이터 표준화 관리기준」에는 데이터베이스 표준의 신규

제정 변경에 관한 처리 절차만 있고 폐기에 관한 절차가 누락되어 있어 데이터베이스

표준의 생명주기에 따른 폐기 관리가 적정하게 이루어지지 않을 우려가 있다.

- 17 -

관련부서(기관) 의견

◆◆◆◆◆처는 감사결과를 수용하면서 별다른 의견을 제시하

지 않았다.

조치할 사항

◆◆◆◆◆처장은

데이터베이스 표준의 폐기에 관한 처리 절차를 수립하시고,(시정)

데이터베이스 표준화 계획 수립 및 점검 활동을 철저히 하시기 바랍니다.(주의)

- 18 -

처분요구서-6

시정요구

제 목

부외자산 등록 요청 불철저

소 관 부 서(기관)

◆◆◆◆◆처, ▣▣▣▣▣▣처

조 치 부 서(기관)

◆◆◆◆◆처, ▣▣▣▣▣▣처

내 용

1. 업무 개요

공사(公社)는 “KOMSCO♨♨♨♨♨ 통합 유지관리 및 기능개선 용역”과 “☍☍☍☍☍

☍☍

위탁운영 용역”을 추진하면서 해당 업체와 기술협상을 통해 용역 수행에 필요한

물품 일부를 제공 받았다.

3. 판단 기준

「자산관리 규정」제45조(부외자산의 범위)에 따르면 부외자산은 총괄자산관리자가

정한 그 밖의 자산 등 관리할 가치가 있는 자산 중 회계장부에 기록되지 않는 자산이

므로 공사는 분실 또는 유출되지 않도록 이를 등록 관리하여야 한다.

따라서 기술협상 과정에서 물품을 제공 받은 부서는 제공 받은 물품 중 가치가 있는

자산을 총괄자산관리 부서인 ♠♠♠♠처로 등록 신청하여 부외자산으로 관리하도록

하여야 한다.

- 19 -

3. 감사결과 확인된 문제

그런데 ◆◆◆◆◆처(舊 ♧♧♧♧처)와 ▣▣▣▣▣▣처(舊 ⚅⚅⚅⚅⚅처)는 기술협상 과정에

서 제공 받은 물품을 자산으로 등록 신청하지 않고 있어 해당 물품은 부외자산으로 관리

되지 않고 있다.

관련부서(기관) 의견

◆◆◆◆◆처와 ▣▣▣▣▣▣처는 감사결과를 수용하면서 별

다른 의견을 제시하지 않았다.

조치할 사항

◆◆◆◆◆처장과 ▣▣▣▣▣▣처장은

계약상대자로부터 제공 받은 물품을 공사 부외자산으로 등록 신청하시기 바랍니다.(시정)

- 20 -

처분요구서-7

주의요구 및 권고

제 목

정보시스템 운영 성과측정 및 분석 불철저 등

소 관 부 서(기관)

◆◆◆◆◆처, ▦▦▦▦처

조 치 부 서(기관)

◆◆◆◆◆처, ▦▦▦▦처

내 용

1. 업무 개요

◆◆◆◆◆처는 「정보화업무 규정」 등에 따라 특정 대상 정보시스템에 유지 보수비,

기능 활용도, 사용자 편의성 등의 지표를 활용한 운영 성과측정 및 분석(이하 “성과분석

등”이라 한다)

을 실시하고 있다.

한편 ▦▦▦▦처는 차년도 자본예산 편성을 위한 “자본예산 편성심의소위원회”를

개최하여 자본예산 투자에 대한 적정성을 검토하고 있다.

2. 판단 기준

「정보화업무 규정」제19조(정보시스템 운영 성과분석) 제1항에 따르면 총괄부서는 정

보시스템 서비스 운영이 개시된 시점으로부터 X년이 경과한 정보시스템을 대상으로

운영 성과분석을 실시하도록 되어 있다.

그리고 행정안전부 고시「전자정부 성과관리 지침」제24조(정보시스템 운영 성과측정

의 절차)

에 따르면 공공기관의 장은 운영 성과측정 대상 정보시스템에 대해 “전자정부

성과관리 시행계획”에 따라 성과를 측정하도록 되어 있다.

- 21 -

한편 정보시스템 성과분석 등을 실시할 경우 유지 보수비, 기능 활용도, 사용자 편

의성 등을 평가하여 현재 정보시스템의 상태를 점수화하고 그 결과에 따라 향후 유지,

기능고도화, 재개발 등의 여부를 판단하는 자료로 활용할 수 있어 유지관리 측면에서

정보시스템 운영의 적정성, 재투자 필요 여부 등을 효율적으로 판단할 수 있다.

따라서 정보화 정책 총괄부서인 ◆◆◆◆◆처는 정보시스템의 효율적인 유지관리를

위해 대상 정보시스템에 대하여 누락 없이 성과분석 등을 실시하여야 하고 ▦▦▦▦처는

정보시스템 기능고도화 및 재개발을 위한 자본예산 편성 시 재투자의 적정성 등을 면밀히

검토하기 위해 경제성 분석 외에 성과분석 등의 자료를 활용하는 것이 바람직하다.

3. 감사결과 확인된 문제

그런데 20XX. X. X.부터 20XX. X. XX. 감사일 현재까지 정보시스템 성과분석 등

의 실시 현황을 점검한 결과 ◆◆◆◆◆처는 20XX년도에 총 X개의 대상 정보시스템

중 X개의 대상 정보시스템의 성과분석 등을 누락하였고 20XX년도에도 총 XX개의 대

상 정보시스템 중 동일한 X개의 대상 정보시스템의 성과분석 등을 누락하였다.

그 결과 누락된 정보시스템에 대한 유지, 기능고도화, 재개발 등의 유지관리 요소를

확인할 수 없어 향후 효율적인 정보시스템 운영이 우려되는 실정이다.

한편 ◆◆◆◆◆처는 20XX년도에 사용자 편의성 등을 평가한 성과분석 결과가 ‘유

지’임에도 사용자 편의성 개선 등의 사유로 ‘기능고도화’를 위한 자본예산 편성을 요청

하였고, 이에 따라 ▦▦▦▦처는 자본예산을 편성한 사례가 있었다.

따라서 ▦▦▦▦처는 정보시스템 기능고도화 및 재개발에 대한 재투자의 적정성 및

긴급성 등을 면밀히 검토하기 위해 자본예산 편성 시 경제성 분석 외에 성과분석 등

의 자료를 활용할 필요가 있다.

- 22 -

관련부서(기관) 의견

① ◆◆◆◆◆처는 감사결과를 수용하면서 정보시스템에

대한 성과분석 등을 철저히 실시하겠다는 의견을 제시하였다.

② ▦▦▦▦처는 향후 자본예산 편성 시 정보시스템 성과분석 등의 결과를 활용하는

방안을 마련하겠다는 의견을 제시하였다.

조치할 사항

◆◆◆◆◆처장은

운영 성과측정 및 분석 대상 정보시스템의 성과측정 및 분석을 철저히 하시고,(주의)

▦▦▦▦처장은

정보시스템 운영 성과측정 및 분석 결과를 차년도 자본예산 편성 시 활용할 수 있는

방안을 마련하시기 바랍니다.(권고)

- 23 -

처분요구서-8

주의요구

제 목

모바일 ♠♠♠ 클라우드 인프라 구축 용역 투입인력 검증 불철저

소 관 부 서(기관)

◆◆◆◆◆처

조 치 부 서(기관)

♥♥처

내 용

1. 업무 개요

♧♧♧♧처(現 ◆◆◆◆◆처)는 가상화 기반 클라우드 인프라 구축 및 클라우드 관리시

스템 구축 등을 위해 “모바일 ♠♠♠ 클라우드 인프라 구축 용역” (이하 “구축 용역”이라

한다)

을 추진하면서 계약상대자와 계약을 체결하고 구축용역 업무를 수행하였다.

2. 판단 기준

공사(公社) 구축 용역 제안요청서에 따르면 하도급 의사를 표시하지 않을 경우에는 용역

수행 업체 인력으로 업무를 수행하도록 되어 있으며 용역수행 업체는 계약 체결 후 XX일

이내 연간 유지관리 계획 및 투입인력 등에 대한 착수계(사업수행계획서)를 제출해야 하고,

투입인력의 소속과 적정성을 확인할 수 있도록 재직증명서와 경력증명서 등을 증빙서류로

제출하도록 되어 있다.

따라서 ♧♧♧♧처(現 ◆◆◆◆◆처) 구축 용역 담당자는 계약상대자의 인력 검증을 위해

투입인력의 재직증명서와 경력증명서 등을 제출 받아 투입인력이 계약상대자 소속인지 확인

하고, 승인받지 않은 하도급 인력이 투입되는지 여부를 확인하는 등 투입인력 검증 업무를

철저히 하여야 한다.

- 24 -

3. 감사결과 확인된 문제

그런데 20XX. X. X.부터 20XX. X. XX. 감사일 현재까지 소프트웨어사업 용역 계약에

대한 계약상대자 투입인력 내역을 점검한 결과 구축 용역 추진 담당자인 ♧♧♧♧처(現 ◆

◆◆◆◆처)

4급 ***는 계약상대자로부터 투입인력의 소속과 경력사항이 기재된 프로필은

제출받았으나 이를 증빙하는 증빙서류는 제출받지 못하였고, 이를 요구하지도 않았다.

그 결과 구축 용역에 투입된 인력이 계약상대자 소속인지 승인받지 않은 하도급 인력

인지 확인할 수 없는 채로 용역이 추진되었다.

관련부서(기관) 의견

☏☏☏☏☏☏처, ▣▣▣▣▣▣처는 감사결과를 수용하면서

별다른 의견을 제시하지 않았다.

조치할 사항

☏☏☏☏☏☏처장은

① 용역업체가 용역사업 수행 사무실 출입문의 자동 잠금장치를 설정하도록 관리하시고,

- 27 -

② 용역사업 수행자가 노트북 잠금장치를 사용하도록 관리하시며, ③ 노트북 비밀번호가

노출되지 않도록 용역업체 관리를 철저히 하시기 바랍니다.(주의)

▣▣▣▣▣▣처장은

용역업체가 ① 용역사업 수행 사무실 출입문의 자동 잠금장치를 설정하도록 관리하시고,

② 용역사업 수행 사무실에 ㉿㉿㉿㉿㉿ 구성도와 같은 중요 문서가 외부인에 노출되지

않게 관리하시며, ③ 출입관리대장을 작성하도록 용역업체 관리를 철저히 하시기 바랍

니다.(주의)

- 28 -

처분요구서-10

주의요구

제 목

정보시스템 유지보수 용역업체 원격 접속자 관리 불철저

소 관 부 서(기관)

◆◆◆◆◆처

조 치 부 서(기관)

◆◆◆◆◆처

내 용

1. 업무 개요

공사는 위탁용역 계약을 통해 홈페이지, ☎☎☎☎시스템 등의 정보시스템을 외주 용역

업체에게 위탁하여 관리하고 있다.

2. 판단 기준

「정보보안관리 규정」 제20조(정보시스템 유지보수)에 따르면 정보시스템 유지보수

업무를 수행할 때 외부 정보통신망에서 원격으로 접속하는 것을 허용하지 않지만 불가

피한 경우 정보보안 담당부서장에게 승인받아 일정기간 허용할 수 있도록 되어 있다.

이에 정보시스템 관리자는「용역사업정보보안관리 지침」제9조(시스템 사용 신청)에

따라 원격 접속이 필요한 직원의 정보를 기입한 정보통신망 이용 신청서를 정보보안

담당부서장에게 제출하여 승인받고 있다.

따라서 정보시스템 관리자는 내부 정보 유출을 방지하기 위하여 정보보안 담당부서

장으로부터 승인받은 용역업체 직원만 정보시스템에 접속하도록 용역업체를 관리하여야

한다.

- 29 -

3. 감사결과 확인된 문제

그런데 20XX. X. X.부터 20XX. X. XX. 감사일 현재까지 제출된 과업수행 결과보고

서의 정보시스템 원격 접속 현황을 점검한 결과 정보보안 담당부서의 원격 접속을 승인

받지 않은 용역업체 직원이 정보시스템 원격 점검자로 되어 있었다.

이에 따라 감사실은 감사일 현재까지 원격 접속 승인자와 원격 점검자가 다른 용역

업체 X곳의 정보시스템 원격 접속 현황을 추가로 확인한 결과 공사의 승인을 받지

않은 용역업체 직원이 접속하고 있는 실정이었다.

관련부서(기관) 의견

◆◆◆◆◆처는 감사결과를 수용하면서 별다른 의견을 제시

하지 않았다.

조치할 사항

◆◆◆◆◆처장은

정보보안 담당부서에서 원격 접속을 승인한 용역업체 직원만 정보시스템에 원격으로

접속하도록 용역업체 관리를 철저히 하시기 바랍니다.(주의)

- 30 -

처분요구서-11

권 고

제 목

판매비와 관리비 등 배부기준 개선 필요

소 관 부 서(기관)

☆☆☆☆처

조 치 부 서(기관)

☆☆☆☆처

내 용

1. 판매비와 관리비 배부기준 개선 필요

가. 업무 개요

공사(公社)는 회계연도 내 사업별 매출액, 매출원가를 산출하고 공사 기준에 따라

판매비와 관리비를 배부하는 등의 결산 업무를 수행하고 있다.

나. 판단 기준

기획재정부 고시「공기업 준정부기관 회계기준」제45조(손익계산서 등)에 따르면 손익

계산서는 공기업 준정부기관의 경영성과를 명확히 보고하기 위하여 그 회계기간에

속하는 모든 수익과 이에 대응하는 모든 비용 및 총포괄손익을 적정하게 표시하도록

되어 있다.

그리고 수익에 대응하는 비용을 적정하게 표시하려면 예산 편성부터 집행 결산까지

적정한 기준에 의해 수익과 비용을 명확히 인식하여 수익과 비용이 왜곡되는 것을 최

소화할 필요가 있다.

- 31 -

따라서 결산업무를 수행하는 부서인 ☆☆☆☆처는 판매비와 관리비 배부기준에 의해

공사가 추진하는 용역 사업의 수익과 비용을 좀 더 명확히 인식하여 적정하게 손익계

산서를 작성할 수 있도록 판매비와 관리비 배부기준을 현실에 맞게 변경하는 것이 바람

직하다.

다. 감사결과 확인된 문제

그런데 20XX. X. XX. 감사일 현재 *** 사업의 결산 업무 수행 현황을 점검한 결과

☆☆☆☆처는 *** 사업에 대한 판매비와 관리비 배부기준이 별도로 없고 현재 배부

기준에 따라 *** 사업에 판매비와 관리비를 배부하였을 경우 매출원가율이 낮은 용역

사업 특성상 과다한 비용이 배부될 가능성이 있어 다른 사업과 달리 *** 사업에는 본사

판매비와 관리비인 인건비 및 경비를 배부하지 않고 있었다.

그 결과 ☆☆☆☆처는 *** 사업에 대한 경영정보를 경영진에게 적정하게 제공하여

*** 사업의 방향성을 면밀히 검토할 수 있도록 하여야 하나 *** 사업에 대한 매출원가

등을 손익계산서 상에 적정히 표시할 수 없는 실정이다.

따라서 ☆☆☆☆처는 공사가 손익계산서를 작성할 시 손익계산서 주석 상 나타나는

*** 사업에 대한 비용이 적정하게 표시될 수 있도록 판매비와 관리비 배부기준을

변경할 필요가 있다.

2. 연구부문비 배부기준 개선 필요

가. 업무 개요

공사는 제조원가부문을 제조 보조 연구부문으로 나누고 부문별 원가를 계산하여

정해진 배부비율에 따라 제품에 배부하고 있다.

- 32 -

나. 판단 기준

「원가관리 규정」제15조(보조부문비와 연구부문비의 재배부)에 따르면 연구부문비의

제품별 부담비율은 원가관리부서에서 별도로 정하고, 제품별 해당부문에 배부하도록

되어 있다.

그리고 공사는 제조업에서 서비스업으로 업을 전환하면서 *** 사업의 매출 규모가 매

년 증가하고 있고 ***분야의 기술 기획, 획득 및 관리를 별도로 운영하면서 *** 사업에

대한 연구 지원도 하고 있으므로 연구부문비를 *** 사업에도 배부할 필요가 있다.

따라서 원가관리부서인 ☆☆☆☆처는 연구부문비를 *** 사업에 배부하기 위하여 연구

부문비의 제품별 부담비율을 조정하고 *** 사업에 대한 부담비율을 신설하여 *** 사업에

연구부문비가 적절하게 배부될 수 있도록 배부기준을 변경하는 것이 바람직하다.

다. 감사결과 확인된 문제

그런데 20XX. X. XX. 감사일 현재 20XX년도 연구부문비의 제품별 예정 비용부담

비율을 점검한 결과 ☆☆☆☆처는 ***연구센터의 *** 사업 관련 연구목표가 있으나

연구부문비를 ●●부문과 ◷◷부문만 배부하고 *** 사업에는 배부하지 않고 있다.

따라서 사업부서의 요구를 반영하여 연구목표를 선정하는 만큼 해당 사업에 연구

부문비가 적정히 배부될 수 있도록 ☆☆☆☆처는 연구부문비 배부기준을 변경할 필요가

있다.

관련부서(기관) 의견

☆☆☆☆처는 감사결과를 수용하면서 판매비와 관리비 및

연구부문비 배부기준의 변경을 검토하겠다는 의견을 제시하였다.

- 33 -

조치할 사항

☆☆☆☆처장은

판매비와 관리비 및 연구부문비 배부기준을 변경하시기 바랍니다.(권고)

- 34 -

처분요구서-12

권 고

제 목

*** 사업 ISO 절차서 제･개정 필요

소 관 부 서(기관)

▧▧처

조 치 부 서(기관)

▧▧처

내 용

1. 업무 개요

공사는 *** 관련 정부 위탁사업 등을 추진하면서 사업의 일부분을 외주용역으로

발주하고 있고 고객만족과 공사 이미지를 제고하기 위해 품질경영시스템을 운영 관리

하고 있다.

2. 판단 기준

「품질경영 규정」제6조(품질경영시스템 관리) 제2항에 따르면 품질경영시스템은 품질에

연계된 활동에 대하여 품질경영 요구사항을 충족시키며 적절하고 지속적인 관리가 실행

되게 관리하도록 되어 있다.

그리고 「ISO 통합경영시스템 경영매뉴얼」제4장(조직상황)에 따르면 ISO 절차서는

업무 프로세스 및 절차와 조직간 업무 연계성이 기술된 문서로서 공사는 ISO 통합경영시스

템의 품질 수준을 높이기 위해 필요할 경우 제품뿐만 아니라 서비스 활동 전반에 대한

절차서도 제정하여 운영하고 있다.

- 35 -

한편 소프트웨어사업 특성상 업무 프로세스 단계에 따라 적용되는 법률, 지침, 규정

등이 많고 소프트웨어 기술 이외에 부가적으로 준수해야 하는 개인정보, 정보보안,

데이터베이스 표준화 등의 업무 매뉴얼도 있어 *** 사업 담당자가 표준화된 절차에 따라

업무를 수행하여 업무 효율성을 높일 수 있도록 *** 사업 절차서를 제정할 필요가 있다.

따라서 ▧▧처는 ISO 통합경영시스템을 주관하는 부서로서 *** 사업의 업무 효율성을

높이고 서비스 품질 향상에 기여하기 위해 관련 부서가 *** 사업 절차서를 제 개정하도록

관리하는 것이 바람직하다.

나. 감사결과 확인된 문제

그런데 20XX. X. XX. 감사일 현재 *** 사업 관련 절차서 현황을 점검한 결과 제정

되어 운영 중인 *** 사업 절차서는 ▣▣▣▣▣▣처에서 관리하는 「▣▣▣서비스관리

절차서」가 유일하고 해당 절차서도 시스템 운영 및 서비스 등의 업무가 ☏☏부서에서

◐◐부서로 이관되었으나 아직 ☏☏부서의 업무로 정해져 있어 개정할 필요가 있다.

그리고 *** 사업 담당자는 사업의 위 수탁 업무를 수행하고 사업의 착수부터 준공

검사까지 외주용역 업체를 관리 및 지원하는 업무를 반복적으로 수행하고 있으나

절차서의 부재로 인해 담당자의 경험이나 재량에 따라 업무를 수행하여 업무 누락 등으로

인한 사업리스크(법률 미준수, 산출물 누락 등)가 발생할 우려가 있어 *** 사업 절차서의

제정이 추가적으로 필요한 실정이다.

따라서 ▧▧처는 관련부서가 각 부서별 *** 사업에 필요한 절차서를 제 개정하도록

관리하여 업무 효율성을 높이고 서비스 품질 향상에 기여할 필요가 있다.

관련부서(기관) 의견

▧▧처는 감사결과를 수용하면서 관련부서와 협의하여 ***

사업 ISO 절차서의 제 개정을 추진하겠다는 의견을 제시하였다.

- 36 -

조치할 사항

▧▧처장은

*** 사업 ISO 절차서의 제 개정을 추진하시기 바랍니다.(권고)

- 37 -

번호

건명 및 내용

처분