보건복지부는 최근 사회보장정보원 종합감사 결과, 퇴직자 등에 대한 보안관리 업무 소홀을 확인하고 기관주의 및 점검절차를 마련하라고 통보했다.

사회보장정보원(이하 정보원)은 보안업무규정 및 정보보안 업무규정 등에 따른 퇴직자 보안관리를 체계적으로 하기 위해 퇴직자 발생 시 ‘퇴직자 점검 카드’(이하 ‘점검 카드’)를 통해 보안 관련 사항을 확인하고 있다.

보안업무규정 및 정보보안업무규정 제2조(적용범위)에 따르면 규정의 적용대상은 정보원의 임직원, 기간제근로자 및 단시간근로자, 외주용역 사업자 등 정보원에 근무하는 모든 직원을 포함한다고 되어 있다.

때문에 정보원은 임직원이 퇴직하는 경우 점검 카드에 의해 점검해야 하고 외부로부터 파견 받은 직원의 파견 종료 시에도 퇴직에 준해 점검하는 것이 필요하다.

하지만 이번 감사에서 정보원은 정년퇴직 직원, 퇴직 임원, 파견 종료자에 대해 점검 카드를 통한 보안관련 확인 조치를 취하지 않아 ‘퇴직자 보안서약서’를 징구하지 않거나 일부 파견 종료자의 지문 등록 정보를 파기하지 않은 것으로 확인됐다. 다만 외주용역 사업자에 대해서는 용역사업 보안점검표에 의해 별도 점검을 진행했다.

또 연구원(2016. 12. 16. 퇴직)의 경우 신분증 반납 미확인, A주임(2017. 8. 28. 퇴직)의 경우 지문등록 파기 및 업무용 PC 등 반납 미확인 등 일부 퇴직자의 경우 점검 카드 상에 점검이 누락된 것으로 확인됐다.

정보원 인원보안지침 제6조(퇴사 시 점검사항)에 따르면 퇴사자의 부서장은 퇴사자에게 부여됐던 출입카드 등의 물리적 접근 권한 삭제 및 도구의 반납 여부를 확인하도록 하고 있다. 같은 지침 제2조(적용 범위)에서는 이 지침이 정보원의 임직원, 기간제근로자 및 단시간근로자, 외주용역 사업자 등 정보원에 근무하는 모든 직원에게 적용한다고 돼 있다.

정보원은 출입카드 또는 지문 인식을 통해 사무실 출입통제를 해 오다가 출입보안 강화를 위해 2016년 5월부터 지문 인식만으로 출입통제를 하도록 변경했고, 정보원 직원 외 청소 용역 직원 등 일부 출입카드로 출입을 허용했다.

정보원은 임직원뿐만 아니라 파견 직원, 외주용역직원 등 일정 기간 정보원에서 근무하는 자 등에 대해 출입통제시스템에 지문을 등록해 출입을 허용하고 있으며, 퇴직자 발생 시 ‘점검 카드’ 등을 통해 등록된 지문 정보를 파기하고 있다.

감사 자료에 따르면 2017년 12월19일 기준 정보원 출입통제시스템에 등록된 지문 정보(출입카드)를 확인한 결과, 총 954명의 지문(출입카드) 정보 중에서 2014년 10월17일 퇴직한 B씨 등 퇴직자(파견 종료자 포함) 39명, 용역사업이 완료된 외주용역직원 44명, 확인불가 63명 등 213명의 지문(출입카드) 정보를 파기하지 않고 있는 것으로 확인됐다.

이에 복지부는 퇴직 임직원, 파견 종료자, 사업이 종료된 외주용역직원 등에 대한 보안 관련 사항 확인 및 지문 정보 파기가 누락되지 않도록 보안관리 업무를 철저히 하라며 ‘기관주의’ 처분을, 또 지문 정보 등록 시 대상자의 소속, 등록기간(출입허용기간이 정해진 경우) 등 관련 정보를 입력(기록)해 등록된 대상자를 명확히 구별할 수 있도록 관리하고, 주기적으로 변동 여부를 확인하는 등 지문 정보 등록·파기 및 점검 절차를 마련하라고 ‘통보’했다.

이에 대해 사회보장정보원은 “처분요구내용에 따라 퇴직 임직원, 파견 종료자에 대한 퇴직자 점검카드 징구, 사원증 회수 조치 등 보안점검체계 정비 계획 수립 및 이행했다”고 밝히고, “또 ▲퇴직자 보안관리 프로세스 개선(안) 마련 ▲퇴직자 보안관리 프로세스 개선안내 ▲퇴직자 보안관리 프로세스 개선 설명회 결과보고 등  퇴직자 등 보안점검체계도 정비했다”고 설명했다.