직무태만(견책→불문경고)

사 건 : 2016-438 견책 처분 감경 청구

소 청 인 : ○○부 5급 A

직무태만(견책→기각)

사 건 : 2016-439 견책 처분 감경 청구

소 청 인 : ○○부 4급 B

직무태만(견책→불문경고)

사 건 : 2016-440 견책 처분 감경 청구

소 청 인 : ○○부 6급 C

피소청인 : ○○부장관

주 문 : 피소청인이 2016. 7. 11. 소청인A와 C에게 한 견책 처분은 이를 각 불문경고로 변경하고 B의 청구는 이를 기각한다.

이 유

1. 원 처분 사유 요지

소청인 A는 ○○부 ○○국 ○○실 ○○과에 근무 중인 국가공무원이고,

소청인 C는 ○○부 ○○국 ○○실 ○○과에서 근무하고 있는 국가공무원이며,

소청인 B는 같은 부 ○○국 ○○실 ○○과장으로 근무하고 있는 국가공무원이다.

각 소청인들은 2015. 2. 28.~2015. 3. 1. 신원미상 해커의 공격으로 인하여 공공아이핀 753,131건이 부정발급 되었을 당시 ○○과에서 공공아이핀 제도의 운영 관련 업무를 총괄하는 부서의 관리‧감독자, 담당 사무관, 담당 주무관으로 근무하면서 2015년 2월부터 3월까지의 기간에 발생한 공공아이핀 부정발급 사고관련 업무를 처리하는 자들이었다.

가. 소청인 A 및 C

소청인 A와 C는 이 사건 당시 공공아이핀 활성화 마련 및 개인정보보호 관련 업무를 담당하는 사무관과 주무관으로서 해당업무를 수행하던 중, 2015. 3. 2. 오전 9시 경 공공아이핀 업무를 위탁‧관리하고 있던 ○○원(이하 ‘개발원’이라 한다)의 책임 D로부터 공인인증서를 우회하는 방식을 이용한 ‘공공아이핀 753,130건 부정발급사고(2015. 2. 28.~2015. 3. 2.)’를 보고 받았다. 그리고 같은 날 13시 30분경부터 14시 20분까지 공공아이핀 추가 부정발급 사고에 대해서도 보고받은 사실이 있다. 이와 관련 소청인 A는 공공아이핀이 추가 부정발급된 데에 대하여 법정대리인이 검증되지 않는 취약점으로 인해 발생하였을 가능성에 대해 검토할 것을 지시하였으며 소청인들은 이후 2015. 3. 5. 16시경 ○○청사 11층 ○○과 사무실에서 개발원 E로부터 ‘공공아이핀 73,177건 추가 부정발급(2015. 2. 15.~2015. 3. 2.)’ 사실에 대해서 구두보고 받았다. 그리고 소청인 A는 같은 날 소청인 B에게 추가 부정발급과 관련하여 보고를 한 후 소청인 B의 지시에 따라 부정 발급된 73,177건의 공공아이핀을 폐기하라고 E에게 지시하였다.

즉 소청인들은 2015년 2월부터 3월까지 해킹에 의하여 공인인증서 우회방식을 이용한 753,130건의 공공아이핀이 부정발급된 것 외, 추가적으로 73,177건의 법정대리인을 이용한 공공아이핀 부정발급 사실과 관련하여 알고 있거나 알 수 있었음에도 불구하고 미연에 방지하지 않은 채 최초 인지한 753,130건의 부정발급 사고에 대해서만 보고 하였고, 73,177건의 추가 부정발급에 대해서는 언론보도는 물론이며, 국회‧청와대 보고에서도 누락하는 등 사고 사실을 축소‧은폐하였고 이로 인하여 ‘공공아이핀 부정발급 재발방지 종합대책’에 법정대리인을 이용한 부정발급 문제를 포함시키지 않는 등 효과적인 개선방안을 마련하지 않은 직무를 태만히 한 사실이 있다.

나. 소청인 B

소청인 B는 공공아이핀 부정발급 사고 관련 실무를 총괄하는 과장으로서 2015. 3. 2. 21시30분부터 23시30분경까지 개발원 부장 F로부터 2015. 2. 28.~2015. 3. 2.에 발생한 753,130건의 공공아이핀 부정발급 사고 보고와 함께 추가 공공아이핀 부정발급 사고에 관한 보고를 받았다. 이후 소청인은 2015. 3. 5. 소청인 A로부터 같은 해 2. 15.부터 3. 2.까지 법정대리인이 검증되지 않는 취약점을 이용한 73,177건의 공공아이핀 부정발급 사실을 보고 받았고 이를 폐기할 것을 지시하였다. 그러나 소청인은 소청인의 지시를 받는 소청인 A로 하여금 공공아이핀 73,117건이 추가 부정발급 된 사실을 국민과 언론에게 알리도록 지시하였어야 함에도 그러하지 않았고, 오히려 관련 사실에 대한 언론보도 및 청와대 등에 보고를 누락한 사실이 있다.

즉 소청인 B는 소청인 A와 C에게 부정 발급된 공공아이핀 73,177건이 부정하게 사용되지 않도록 사후조치를 철저히 하도록 지시하는 것은 물론이고 법정대리인을 검증할 수 없는 허점을 이용한 공공아이핀 부정발급 사실을 국민과 언론 등에 알려야 할 책임이 있었으나 그러하지 않은 채 사실상 책무를 게을리 한 점이 인정된다. 그럼에도 불구하고 소청인은 감사원 감사 당시 73,177건이 추가로 부정발급 된 사실과 관련하여 2015. 3. 당시 담당 사무관 A, 개발원 E 등으로부터 아무런 보고를 받지 못하였었으며, 감사원 감사가 시작되고서야 비로소 추가 부정발급에 대한 문제를 알게 되었다고 진술하였다. 나아가 법정대리인을 이용한 부정발급 사실 및 법정대리인 검증 취약과 관련하여서도 감사원 감사를 통해 알게 되었다고 하는 등 73,177건 부정발급 사고의 사후조치를 부실하게 한 것은 물론이며 법정대리인을 통한 공공아이핀 부정발급 관련 문제를 총괄해야하는 관리‧감독자임에도 불구하고 이에 대한 책임을 부하 직원에게 전가한 사실이 있다.

다. 소결

이와 같은 소청인들의 행위는 공공아이핀 제도의 운영관련 업무를 총괄하는 과장, 해당 업무의 담당 사무관과 담당 주무관으로서 국가공무원법 제56조(성실의무)를 위반하여 국가공무원법 제78조 제1항 각 호의 징계사유에 해당한다. 그동안 각 소청인들이 징계전력 없이 성실하게 근무하였고, 상훈감경대상 표창을 받은 사실이 있다고 하더라도 공공아이핀 부정발급 관련 담당자들로서 위에서 살펴본 직무태만의 징계사유는 결코 용납될 수 없는 만큼 ‘견책’에 각 처한다는 것이다.

2. 소청 이유 요지

가. 소청인 A

소청인은 2013. 6.부터 ○○과에 근무하던 중 2015. 3. 2. 공공아이핀 업무를 위탁 관리하고 있던 개발원으로부터 ‘공공아이핀 부정발급 사고’를 보고 받고 소청인 B, C와 함께 개발원 및 ○○(시스템 개발‧유지 보수 업체)와 공조하여 신속한 사고 수습과 재발방지 대책을 마련하기 위하여 전념을 다하였다. 특히 소청인은 사고 발생 즉시 피해확산을 원천적으로 차단하기 위하여 개발원에서 부정발급된 공공아이핀을 사용중지 처리하고 있는 것을 중지시키고 원천적으로 폐기할 것을 지시하였음은 물론이며 부정발급된 공공아이핀이 사용된 민간 게임사를 설득하여 사용제한 등의 긴급 조치 협조를 얻어냄으로써 75만 여건의 부정발급에 따른 피해를 조기에 막는 성과를 낸 사실이 있다. 또한 언론보도 및 대책마련, 재발방지 대책 수립 TF회의 지원, 청와대‧국회 내부보고 자료 작성 등으로 밤낮없이 최선을 다하여 업무를 수행하였다. 나아가 공공아이핀 보안강화 조치를 위한 예산확보와 공공아이핀 500만 회원 중 부정사용자 일제 정비를 위한 재인증 서비스를 준비하는 등 혼신의 노력을 다한 사실이 바 있다.

그럼에도 불구하고 중앙징계위원회에서는 당초 밝혀진 75만 여건의 부정발급 외 2015. 3. 5.에 밝혀진 73,177건의 공공아이핀 추가 부정발급과 관련, 해당 부정발급이 법정대리인을 이용하여 발급된 사고라는 사실을 여러 가지 상황과 추정 상 알았거나 예상했어야 했음에도 불구하고 그러하지 않았고, 이후 추가 부정발급 사고에 대한 보고를 누락하고 개선방안을 마련하지 않는 등의 직무를 태만히 한 비위사실이 인정된다 하여 ‘견책’처분을 하였다. 그러나 소청인은 73,177건의 추가 부정발급 사실의 원인이 75만 여건의 부정발급과 전혀 다른 원인(법정대리인의 진위여부를 검증할 수 없는 취약점을 이용하여 14세 미만 미성년자의 공공아이핀을 부정발급)으로 인하여 부정발급 되었다는 사실을 알지 못하였으며, 이와는 별도로 법정대리인을 통한 공공아이핀 발급이 취약한 부분이 있음을 보고받은 후 개발원에 법정대리인의 공공아이핀 발급현황 분석을 지시하여 확인한 사실이 있다. 이후 감사원으로부터 감사를 받던 중 추가 부정발급된 73,177건이 법정대리인을 통한 14세 미만 미성년자의 공공아이핀 부정발급이었다는 사실을 알게 되었던 것이며, 이 역시도 문제 해결을 위하여 대법원 가족관계등록시스템을 연계하고자 노력하였으나 법원행정처 담당자로부터 어렵다는 대답을 듣고 차선책으로 주민등록시스템상 세대주와의 관계확인을 연계하는 방법으로 법정대리인 확인 기능을 추가하는 등의 문제개선을 위한 지속적인 노력을 하였다.

소청인은 2015. 3. 5.에 73,177건의 부정발급 사고가 추가적으로 존재한다는 사실을 보고받은 사실은 있으나 그 경로가 법정대리인 검증 취약을 이용한 것임은 알지 못하였고, 개발원이나 ○○진흥원의 외부 전문가로부터도 관련 사실을 보고받은 바 없다. 그리고 중앙징계위원회 의결서에서도 기재된 바와 같이 73,177건의 공공아이핀 추가 부정발급 사고에 대해 개발원 E로부터 보고받은 후 담당과장인 소청인 B에게 보고하는 등 이 사건 사고와 관련하여 축소‧은폐를 시도하지 않았다. 그럼에도 불구하고 73,177건의 공공아이핀 추가 부정발급 사고를 국민 등에 알리기 위한 노력을 전혀 하지 않았고, 법정대리인 관련 문제점이 심각한 취약점이라는 것을 2015. 2. 25.부터 알고 있었음에도 이 사건 관련 종합대책 TF팀에 제대로 보고하지 않아 효과적‧근본적 개선방안을 마련하지 못하였으며 공공아이핀 제도의 개선을 위한 어떠한 노력도 하지 않았다는 것은 사실이 아니다. 따라서 2015. 3. 5.에 73,177건의 추가 부정발급의 원인이 법정대리인에 의한 문제임을 알았거나, 알았어야 했음에도 불구하고 알지 못하였다고 주장하면서 이를 국민에게 알리려는 노력을 하지 않았다는 징계사유는 타당하지 않다.

공공아이핀 부정발급 사고가 발생하고 후속조치에 혼신의 힘을 다하여 이에 따른 피해를 조기에 막았고 지속적으로 모니터링 하여 공공아이핀 부정발급 사고로 인한 피해 접수가 수건에 불과한 점, 현재 보안강화 대책을 순차적으로 처리하여 공공아이핀 서비스가 안전하게 서비스 되고 있는 점, 이 사건 사고 발생 당시 수많은 회의, 언론 보도자료 배포 및 대응, 일일상황 보고, 요구자료 작성 등으로 모든 일을 다 꼼꼼하게 살필 수는 없었던 점, 지난 25년 동안 성실히 근무하여 모범공무원 선정을 비롯하여 총4회의 표창을 수상한 점, 개인정보보호 정책을 총괄하는 ○○부 담당 공무원들이 견책처분을 받은 것과 달리 공공아이핀 업무에 대한 권한을 법령에 따라 위탁받아 실무적인 운영책임을 갖고 있는 개발원 관계자들은 본 사고와 관련하여 상대적으로 낮은 주의나 경고 처분을 받아 형평성에서 차이가 있는 점, 이 사건 사고 발생시점과 승진시점이 맞물려 당시 승진심사에서 안정권의 승진 서열이었음에도 불구하고 업무 담당이었기에 다음 기회로 보류된 이후 계속된 감사로 인하여 연속하여 3번이나 승진에서 누락되어 견책 이상의 고통을 겪으며 공직생활 25년이 물거품이 되는 것 같은 상실감과 좌절감으로 엄청난 심적 고통을 받은 점 등을 참작하여 소청인이 심기일전하여 다시금 정부와 국민을 위해 이바지할 수 있도록 원처분을 ‘감경’해 달라는 것이다.

나. 소청인 C

소청인은 2013. 3.부터 개인정보보호 업무와 함께 공공아이핀 이용 활성화 등을 담당하던 중 2015. 3. 2. 공공아이핀 업무를 위탁 관리하고 있던 개발원으로부터 ‘공공아이핀 부정발급 사고’를 보고 받고 소청인 B, A와 함께 개발원 및 ○○와 공조하여 신속한 사고 수습과 재발방지 대책을 마련하기 위하여 전념하였다. 특히 소청인은 사고 발생 당시 공공아이핀센터 현장으로 이동하여 부정발급의 현황 파악 및 원인을 찾고 추가 해킹 방지를 위한 점검 등을 개발원에 지시하였으며 경찰청에 수사의뢰, 게임사와 민간 아이핀사와 피해 예방을 위한 업무협력을 하는 등 긴급조치를 취하였다. 그 결과 2015. 3. 5. 언론에 보도되고 3. 25. 재발방지 종합대책이 발표되기까지 20여 일간 접수된 사고 피해는 수건에 불과하였고, 이후에도 공공아이핀 보안강화 조치를 위한 예산확보와 공공아이핀 500만 회원 중 부정사용자 일제 정비를 위한 재인증 서비스를 준비하는 등 혼신의 노력을 다한 사실이 있다. 그럼에도 불구하고 중앙징계위원회에서는 감사원 감사보고서만을 바탕으로 75만 여건의 공공아이핀 부정발급 외 2015. 3. 5.에 밝혀진 73,177건의 공공아이핀 추가 부정발급과 관련, 해당 부정발급이 법정대리인을 이용하여 발급된 사고라는 사실을 여러 가지 상황과 추정 상 알았거나 예상했어야 했음에도 불구하고 그렇지 않았고 이를 알리려는 노력 및 개선방안 마련을 하지 않는 등의 직무태만의 사실이 있다고 하여 견책처분을 하였다.

그러나 73,177건의 추가 부정발급 사고가 법정대리인 관련 허점을 악용한 사고였음을 소청인이 알았다는 중앙징계위원회의 판단은 사실과 다르다. 75만 여건의 공공아이핀 부정발급 사고(공인인증서 우회를 통한 부정발급)가 발생한 후 ○○부에서는 이와 유사한 부정발급 사례가 있는지 확인할 것을 개발원에 지시하였고, 소청인은 3. 2. 오후에 추가 부정발급이 2월경에 있었음을 전해 들었다. 그리고 2015. 3. 5.에 73,177건의 추가 부정발급이 확인되었다는 사실을 개발원 E 책임으로부터 구두 보고를 받았으며 당시에는 그 원인이 법정대리인 관련 취약점을 이용한 것임은 알지 못하였다. 공공아이핀 서비스를 제공하기 위한 정보시스템을 운영‧관리하는 개발원 측에서 처음부터 소청인이나 ○○부 합동 점검반에 73,177건의 공공아이핀 추가 부정발급이 법정대리인 관련 허점을 이용한 것임을 정확히 알려주었더라면 좀 더 명확하게 업무처리를 할 수 있었을 것으로 생각되나 그렇지 못하였고, 공공아이핀 관련하여 직접 운영‧관리하는 주체가 개발원인 만큼 소청인으로서는 원인 파악에 한계가 있을 수밖에 없었다. 그럼에도 불구하고 이와 같은 사실관계에 대한 조사 없이 감사원 감사결과에만 근거한 소청인에 대한 징계처분은 타당하지 않다.

현재 공공아이핀 보안강화 대책을 순차적으로 처리, 공공아이핀 서비스가 주민등록번호 대체 수단으로 안전하게 서비스되고 있는 점, 이 사건 사고 발생 당시 실무지원 TF회의(5회), 대책 수립 TF회의(3회), 언론 모니터링 및 대응, 일일 추진상황 보고(3.8.~3.20.), 연속 언론보도 자료 배포, 국회 등 외부 요구자료 대응 등으로 인하여 개발원에 지시한 내용을 일일이 확인하고 분석할 만한 시간적 여유가 없었던 점, 15년간 징계전력 없이 성실히 근무하며 모범공무원으로 선정되는 등 총 3회의 표창이 있는 점, ○○부 담당공무원들이 견책처분을 받은 것과는 달리 공공아이핀 업무에 대한 권한을 위탁받아 실무적인 운영관리 책임을 갖고 있는 개발원 관계자들은 주의나 경고 처분에 그치는 등 형평성의 차이가 있는 점, 사고 발생 시부터 중앙징계위원회의 견책처분 결정까지 15개월 동안 소청인은 충분히 심적 고통을 받아 온 점 등을 참작하여 소청인이 심기일전하여 다시금 정부와 국민을 위해 이바지할 수 있도록 원처분을 ‘감경’해 달라는 것이다.

다. 소청인 B

소청인은 2015. 1. 6.부터 ○○부 ○○과장으로 근무하면서 개인정보보호 정책과 제도 관련 업무를 총괄하던 중 2015. 3. 2. 공공아이핀 업무를 위탁 관리하고 있던 개발원으로부터 ‘공공아이핀 부정발급 사고’를 보고 받고 즉시 개발원을 통해 공공아이핀 프로그램을 보완조치 하여 추가 부정발급을 차단 조치하였다. 또한 담당국장 G, 소청인 A, C 그리고 개발원 및 ○○와 함께 신속한 사고 수습과 재발방지 대책 마련에 전념하였다. 특히 부정발급 아이핀 사용 내역 17만 여건을 추출하여 이용자 피해 예방을 위한 긴급조치 및 언론보도, 재발방지 종합대책 발표 등을 신속히 진행하여 사고피해 접수가 수건에 불과할 정도로 조치하였을 뿐만 아니라 3. 8.부터 종합대책이 수립‧발표된 3. 24.까지 공공아이핀 관련 언론 모니터링 및 대응자료 작성, 차관 일일 상황보고, 실무지원반 회의 및 TF회의 준비와 결과 보고, 청와대‧국회 내부 보고자료 작성 등으로 밤낮없이 최선을 다하여 업무를 수행하였다. 또한 공공아이핀 보안강화 조치를 위한 예산확보와 공공아이핀 500만 회원 중 부정사용자 일제 정비를 위한 재인증 서비스를 준비하는 등 혼신의 노력을 다한 사실이 있다.

그럼에도 불구하고 중앙징계위원회에서는 소청인이 75만여 건의 공공아이핀 부정발급 사고 외 법정대리인 관련 허점을 악용한 73,177건의 부정발급 사고가 있었음을 여러 가지 정황상 알았거나 확인했어야 했음에도 그러하지 않았고 이를 알리려는 노력과 개선 방안을 마련하지 않은 직무태만을 이유로 견책처분을 하였다. 그러나 소청인은 당초 공공아이핀 부정발급 사고에 대한 보고를 받고 ‘유사 사례가 더 있는지 확인해보라’고 담당 사무관을 통해 개발원에 지시를 한 사실을 있으나 이는 그 동안 발견하지 못한 사고 가능성에 대한 검토를 의미하는 것이었을 뿐 법정대리인 관련 공공아이핀 부정발급 사고를 예상하고 지시한 것은 아니었다. 비록 위 지시를 한 후 처리 결과를 제대로 확인하지 못한 잘못은 있으나, 통상적인 해킹의 경우 동시에 서로 다른 방식으로 해킹이 이루어지는 경우가 거의 없어 최초에 밝혀진 공인인증서 우회 방식을 이용한 것이 아닌 새로운 방식에 해당하는 법정대리인 검증 취약을 이용한 공공아이핀 추가 부정발급 사고가 있을 것이라고 미처 생각하지 못하였다. 더욱이 개발원에서 73,177건의 공공아이핀 추가 부정발급이 법정대리인의 허점을 이용한 것임을 정확히 알려주지 않은 상황에서 소청인이 이를 알 수는 없는 상황이었다. 그럼에도 불구하고 소청인이 이러한 문제를 알고 있었다는 일방적인 감사원의 감사결과에만 근거한 징계처분은 억울하지 않을 수 없다.

물론 공공아이핀 부정발급 사고 수습과정에서 발생한 미흡한 점은 소청인이 관련 업무 관리자로서 좀 더 세밀하게 챙기지 못한 책임에서 비롯된 만큼 깊이 반성하고 있다. 나아가 사고 검토 과정에서 좀 더 주의깊게 살펴보며 따져보았다면 법정대리인에 의한 추가 발급 건이 이렇게 문제가 되지 않았을 것이라는 아쉬움과 후회가 남는 것도 사실이다. 따라서 소청인은 이번 사고를 계기로 공직자로서 부족한 점을 깊이 반성하고 관리자로서 무한한 책임감을 갖고 국민을 위해 봉사하는 공직자가 될 수 있는 기회로 삼고자 한다. 다만 사고가 발생한 2015. 3.은 아이핀 관련 업무를 담당한지 얼마 되지 않아 시스템에 대한 이해가 부족할 수밖에 없었던 점, 사고 수습과정에서 소청인을 비롯하여 ○○부 및 개발원 담당 직원들도 경황이 없어 보고 과정이 제대로 이루어지지 않았던 점, 당시 실무회의TF회의(5회), 재발방지 TF대책회의(3회), 언론 모니터링 및 대응, 일일추진 상황보고(3.8.~3.20.), 3회에 걸친 연속 언론보도자료 배포, 국회 등 외부요구자료 대응 등으로 인하여 개발원에게 지시한 내용을 일일이 확인하고 분석할 여력이 없었던 점, 지난 19년 동안 징계전력 없이 성실하게 근무하면서 근정포장과 대통령표창을 수상한 점, ○○부 담당공무원들이 견책처분을 받은 것과는 달리 공공아이핀 업무에 대한 권한을 위탁받아 실무적인 운영관리 책임을 갖고 있는 개발원 관계자들은 주의나 경고 처분에 그치는 등 형평성의 차이가 있는 점, 사고 발생 시부터 중앙징계위원회의 견책처분 결정까지 15개월 동안 소청인은 충분히 심적 고통을 받아 온 점 등을 참작하여 원처분을 ‘감경’해 달라는 것이다.

3. 판단

이 사건 공공아이핀 부정발급 사고는 공인인증서 우회방식을 이용한 해커의 공격에 의하여 발급된 753,130건(2015. 2. 28 ~ 2015. 3. 2.에 걸쳐 발생)과 법정대리인을 이용한 만 14세 미만 미성년자의 공공아이핀 73,177건 부정발급(2015. 2. 15. ~ 2015. 3. 2.에 걸쳐 발생)으로 구분된다. 그런데 추가적으로 밝혀진 73,177건과 관련하여 부정발급 사고를 예상할 수 있었거나 예상하였음에도 불구하고 미연에 방지하지 못한 사실이 있는지, 그리고 추가 부정발급 사실을 청와대‧국회 보고 및 언론 보도에서 고의적으로 누락하였는지에 대해 다툼이 있으므로 아래와 같이 살펴보도록 한다.

가. 징계사유 존부에 대한 판단

1) 법정대리인을 이용한 공공아이핀 부정발급이 예상되었음에도 불구하고 미연에 방지하지 못하였다는 점과 관련하여(=소청인 공통)

소청인들은 법정대리인 검증 취약을 이용한 14세 미만 미성년자의 공공아이핀 73,177건의 부정발급 사고의 원인이 법정대리인 검증 취약임을 알기 어려웠고 당초 밝혀진 753,130건과 동일하게 공인인증서 우회 방식을 이용한 것이라고 생각하였으며, 사고 발생에 앞서 사고가 발생할 수 있다는 사실을 미리 예상하고 막기는 어려웠다고 주장하고 있다.

2015. 2. 25. ○○에서 공공아이핀 발급 후 불법 매매가 이루어지고 있음이 보도된 이후, 소청인들은 관련대책 실무회의에서 만 14세 미만 미성년자의 공공아이핀이 발급될 때 법정대리인의 진위여부를 확인할 수 없는 문제가 있다는 사실과 이로 인하여 민간아이핀 발급기관인 ○○주식회사에서는 법정대리인을 통한 아이핀 발급 서비스를 중단할 예정이라는 사실도 알게 되었다. 즉 이 사건 공공아이핀 부정발급 사고가 발생하기 며칠 전, 이미 법정대리인 검증이 제대로 이루어지지 않고 있음을 이용하여 만 14세 미만 미성년자의 공공아이핀이 부정발급 될 수 있다는 점을 충분히 예상할 수 있었던 것으로 보인다. 따라서 좀 더 신속하게 대처하여 법정대리인 검증 시스템의 취약점 보완책을 마련하고, 이보다 먼저 만 14세 미만 미성년자의 공공아이핀 발급을 중지하였다면 2015. 2. 15. ~ 2015. 3. 2. 사이에 발생한 73,133건의 공공아이핀 추가 부정발급의 일부를 막을 수 있었을 것으로 판단된다. 따라서 소청인들이 법정대리인 검증시스템을 이용한 공공아이핀 부정발급 사고 발생을 미리 예상하고 방지함에 있어 미흡하였던 점이 인정된다.

다만 2015. 2. 당시 공공아이핀과 민간아이핀은 모두 동일한 수준의 보안체계를 유지하고 있었고 공공아이핀에서 특별한 부정행위가 드러나지 않았음에도 불구하고 만 14세 미만 미성년자의 공공아이핀 발급을 중지시키는 결정을 내리기에는 다소 어려움이 있었을 것으로 보이는 점, 실제로 법정대리인을 이용하여 만 14세 미만 미성년자에게 발급된 공공아이핀은 모두 학교나 학원가의 교사들에 의하여 발급된 것으로 실질적인 피해가 없었던 것으로 밝혀진 점 등을 고려하였을 때 소청인들에게 법정대리인을 이용한 공공아이핀 부정발급에 의한 부작용 발생 등 그에 따른 결과 책임을 소청인들에게 전적으로 묻는 것은 타당하지 않다.

2) 공공아이핀 추가 부정발급에 관한 사실에 대해 보고‧보도를 누락하였다는 점과 관련하여

소청인들은 공공아이핀 부정발급의 원인을 분석하고 정확한 규모를 파악하여 이를 청와대 및 국회에 보고해야 함은 물론, 언론보도를 통하여 국민에게 관련 사실을 알리고 피해 상황을 접수‧확인을 하는 등 적극적으로 조치를 취하였어야 할 의무가 있음에도 불구하고 그러하지 않은 사실이 있다.

그러나 소청인 A와 C의 경우 이 사건 사고 발생 당시 73,177건의 공공아이핀 추가 부정발급의 원인이 법정대리인 검증 취약을 이용한 것임을 알지 못한 채 753,130건과 동일한 원인인 공인인증서를 우회하는 방법으로 부정 발급되었다고 인지하고 있었고, 이를 바탕으로 소청인 A는 공공아이핀 추가 부정발급 사실에 대해 소청인 B에게 보고하였다고 주장한다. 반면 소청인 B는 공공아이핀 추가 부정발급에 대하여 보고받은 사실이 없었고 그러므로 공공아이핀 추가 부정발급 사고에 대해서 전혀 알지 못하였으며, 감사원의 감사(2015. 8. 24.)가 시작된 이후에 공공아이핀 추가 부정발급 사고가 있었음을 비로소 알게 된 만큼 당시 공공아이핀 추가 부정발급 사실에 대한 고의적인 보고누락이나 은폐는 없었다고 주장하고 있다.

따라서 소청인 A와 C가 공공아이핀 추가 부정발급의 원인이 무엇인지 정확히 알지 못하였는지 여부 및 소청인 A와 B 사이에 공공아이핀 추가 부정발급과 관련한 보고가 있었는지 여부에 대한 검토가 필요하다.

(가) 소청인 A와 C가 추가 부정발급의 원인을 알았는지 여부

법정대리인을 이용한 공공아이핀 추가 부정발급과 관련하여 개발원의 D 책임은 감사원 조사 문답서에서 소청인 A에게 2015. 3. 2. 건수는 정확히 알 수 없으나 추가적으로 부정발급 사실이 있음을 보고하였고, 소청인 C의 경우 개발원의 현장 회의실에 함께 있었던 만큼 모를 수 없었다고 진술하였다. 그러나 동시에 같은 날 저녁(2015. 3. 2.)에 있었던 사고 현황 브리핑에서 추가 부정발급과 관련하여 해당 원인이 법정대리인을 이용한 것임을 직접적으로 거론하지는 않았다고 진술하고 있다. 즉 추가 부정발급 사실에 대해서는 개발원 측의 보고를 받은 소청인 A와 C가 인지한 것은 분명하나 원인 파악까지 이루어졌는지에 대해서는 명확하지 않다.

다만 공공아이핀과 관련하여 직접적인 운영 및 관리를 개발원이 담당하고 있고 ○○부 담당 공무원들은 개발원이 제공하는 제한된 정보에 의존하여 상황을 파악할 수밖에 없었던 점, 2015. 3. 2. 저녁에 있었던 브리핑 당시 개발원 D 책임은 공공아이핀 추가 부정발급의 원인이 법정대리인을 이용하였다는 사실을 직접적으로 거론하지 않았던 점, 개발원 담당자들은 감사원에서조차 법정대리인 검증 시스템 취약을 설명할 때 공인인증서 우회방식이라는 표현을 중첩하여 사용하고 있는 점, 개발원 측에서도 추가 부정발급의 규모 및 원인에 대해서 정확하게 파악한 것은 2015. 3. 11. 이후로 보이는 점 등을 보았을 때 소청인 A와 C가 이 사건 원인을 정확하게 파악하기는 어려웠으며, 공인증인증서 우회방식으로 인하여 73,133건의 공공아이핀이 추가 부정 발급되었다고 오해하였을 가능성을 배제하기 어렵다. 나아가 2015. 3. 8. 법정대리인이 만 14세 미만 미성년자의 공공아이핀 발급과 관련 법정대리인 1인당 5회 이내로 발급 횟수를 제한하기로 결정한 것은 이 사건 추가사고의 원인을 인지하였기 때문이 아닌 공공아이핀 부정발급 사고발생과 별개로 법정대리인 검증 시스템이 취약하다는 사실을 인지하였기 때문에 조치한 것이었다고 하는 소청인들의 주장 또한 일견 납득할 만하다.

따라서 2015. 3. 사고 발생 당시 이 사건 공공아이핀 추가 부정발급 사고의 원인이 법정대리인을 이용한 것이었다는 사실을 몰랐다는 소청인 A와 C의 주장을 배척할만한 어떠한 자료도 확인되지 않는다.

(나) 공공아이핀 추가 부정발급 사실에 대하여 소청인 B가 알았는지 여부

소청인 B는 2015. 3. 2. 21시30분경부터 약 두 시간 동안 ○○원 공공아이핀 센터에서 공공아이핀 부정발급 사고와 관련하여 보고를 받았다. 보고 당일, 소청인들은 753,130건 외 건수는 불명확하나 추가적인 부정발급이 있다는 사실에 대해서는 보고받은 사실이 있으며 개발원 D는 2015. 11. 9. 감사원의 감사에서 “현장에서 인증서 우회 건으로 추가 부정발급이 있었다고 보고를 하였기 때문에 모를 수 없다”고 진술한 바 있다. 또한 소청인 A는 감사원 감사 당시부터 지금까지 일관되게 소청인 B에게 원인에 대해서는 정확하게 보고하지 못하였으나 73,177건의 공공아이핀 추가 부정발급 사실에 대해서는 보고를 하였고 소청인 B는 자신에게 후속 조치가 제대로 이루어지고 있는지 문의하였다고 진술하고 있는 점, 2015. 3. 8. 소청인 A의 다이어리에 ‘같은 유형에 대한 추적관리 정책에 대한 과장님 컨펌’ 이라는 메모가 있는 점, 개발원 E가 2015. 3. 5. 당시 소청인 A가 추가 부정발급을 소청인 B에게 보고한 후 과장님이 ’그런 소리 하지 마라‘라고 하였다는 이야기를 전해 들었다고 한 점 등을 종합적으로 고려해 볼 때 소청인 B 또한 추가 부정발급의 원인, 즉 법정대리인을 이용한 부정발급 사실을 인지하지 하였는지는 명확하지 아니하나 73,177건의 공공아이핀이 추가 부정발급 되었음을 알았다고 봄이 타당하다.

(다) 소결

이와 같은 사실을 바탕으로 살펴보았을 때, 소청인 A와 C는 추가 부정발급 사고의 원인까지는 알았다고 보기 어려우나 추가 부정발급사고에 대해서는 인지하였고, 소청인 A는 추가 부정발급사고 사실을 소청인 B에게 보고하였다고 볼 수 있으며, 그렇다면 이에 반하는 소청인 B의 주장은 받아들이기 어렵다.

나. 재량의 일탈‧남용 여부

(1) 소청인 A, 소청인 C에 대한 각 ‘견책’ 처분 관련

소청인 A와 C는 공공아이핀 업무 관련 담당 사무관과 주무관으로서 조금만 더 주의를 기울였다면 이 사건 공공아이핀의 추가 부정발급과 관련한 사고를 미연에 방지할 수 있었을 것으로 보인다. 따라서 국가공무원법 제56조(성실 의무)를 적용하여 징계 처분한 것에는 위법이 없다.

다만 공공아이핀이 부정발급된 이후 신속한 조치를 통하여 피해를 최소화 할 수 있도록 노력하였고 실제 피해발생이 수건에 불과하였던 점, 공공아이핀 추가 부정발급과 관련하여 개발원이 공공아이핀 시스템을 직접 운영하고 관리를 하고 있는 구조 속에서 제한된 정보를 바탕으로 문제를 파악하고 업무를 수행하던 소청인들이 이와 같은 공공아이핀 시스템 관리체계상 해당 원인이 법정대리인을 이용하였던 것임을 스스로 파악하기는 어려웠던 점, 따라서 추가 부정발급의 책임을 소청인들에게만 묻기에는 어려운 측면이 있는 점 등이 인정된다. 그리고 소청인 A의 경우 법정대리인을 이용한 공공아이핀 추가 부정발급 사실과 관련하여 소청인 B에게 보고를 누락하였다고 할 만한 사정이 보이지 않는 것은 물론이며, 이 사건으로 인하여 여러 차례 승진에서 누락됨으로서 그간 원처분 상당의 고통을 겪어온 것으로 보인다. 이러한 점을 종합적으로 고려하였을 때 소청인들의 비위에 비하여 이 건 원처분은 다소 과중하다고 판단된다.

(2) 소청인 B에 대한 ‘견책’ 처분 관련

소청인 B는 공공아이핀 부정발급 사고 관련하여 실무를 총괄하는 과장으로서 조금만 더 주의를 기울였다면 이 사건 공공아이핀의 추가 부정발급과 관련한 사고를 막을 수 있었을 것으로 보인다. 나아가 공공아이핀 추가 부정발급 사실을 소청인 A로부터 보고를 받았음이 상당하며 그렇다면 그 원인, 즉 법정대리인을 이용한 부정발급 사실을 적극적으로 확인하였어야 함에도 그러하지 아니한 채 청와대‧국회 보고 및 언론 보도 자료에 누락한 점 또한 인정된다. 비록 공공아이핀이 부정발급 된 이후 신속한 조치를 통하여 피해를 최소화 할 수 있도록 노력하여 실제로 피해발생이 수건에 불과한 점에서 나타나듯이 당시 사고를 수습하기 위하여 최선을 다해 노력한 점은 인정되나 위와 같은 소청인의 행위는 국가공무원법 제56조(성실 의무)를 위반하여 원처분 상당의 책임이 인정된다.

4. 결정

그러므로 소청인 A 및 C의 이 사건 견책 처분의 감경을 구하는 청구는 원처분을 감경하여 주는 것이 바람직하다고 판단되어 주문과 같이 각 결정하고,

소청인 B의 이 사건 견책 처분의 감경을 구하는 청구는 이유가 없는바 주문과 같이 결정한다.