ISMS 인증 의무화…대학 vs 미래부 '열띤 공방'


'ISMS 인증의 실효성과 대학 의무인증의 문제' 전문가 토론회

[성지은기자] 정보보호 관리체계(ISMS) 인증 의무 대상에 포함된 국내 대학들이 강력 반발하고 나섰다. ISMS 인증 대상에 대학을 포함하는 조치가 중복·과잉 문제, 절차 문제, 적용의 현실적 문제 등을 안고 있다는 비판이다.

반면 미래창조과학부(미래부)는 ISMS는 유사 진단과 차이점이 있고, 통상적으로 거쳐야 할 절차를 거쳤다고 답했다. 어려움에 대해서는 지원을 통해 해소하겠단 입장이다.

8일 전국 133개 대학교 및 대학의 정보화 책임자 모임인 한국대학정보화협의회(협의회)는 서울 중구 프레스센터에서 'ISMS 인증의 실효성과 대학 의무인증의 문제'란 주제로 전문가 토론회를 개최했다. 이번 토론회에는 대학 전산 실무 담당자를 포함해 100여명이 참석했다.

ISMS란 조직이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립·관리·운영하는 종합적인 체계의 적합성을 인증하는 제도다. 앞서 지난 6월 정부는 '정보통신 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)'을 개정하며 ISMS 의무 대상을 학부 재학생 1만명 이상의 대학으로 확대했다. 만약 의무 대학이 ISMS 인증을 받지 않으면, 개정 법규에 따라 3천만원 이하의 과태료가 부과된다.

이날 협의회 측은 ISMS 인증 의무화의 불필요성을 강조했다. 전문가 패널로 참석한 이정태 아주대 중앙전산원 원장은 "대학을 ISMS 인증 의무 대상으로 포함한 조치는 중복·과잉 규제다"고 꼬집었다. 이미 대학들이 ISMS 인증 외 정보보호 수준진단, 개인정보보호 영향평가와 같은 정보보호 관련 진단과 평가를 받고 있다는 것.

이에 미래부 측은 "ISMS 인증과 여타 인증은 다르다"고 선을 그었다. 일부 인증 내용에 있어 중첩될지 몰라도 자율진단인 정보보호 수준진단, 개인정보에 특화된 일회성 점검인 개인정보보호 영향평가와 ISMS 인증은 다르다는 것이다.

대학에서의 정보보호 중요성도 강조했다. 김기홍 미래부 사무관은 "대학은 정보를 창출하는 중요 기관"이라면서 "대학 구성원의 정보 및 중요 연구 성과 유출을 방지하기 위해 정보보호 체계 강화가 필요하다"고 말했다.

하지만 이에 맞서 협의회는 절차상의 부당성을 지적했다. 이 원장은 "법이 개정되고 나서야 대학들은 해당 사항을 통지받았다"면서 "정부는 대학이 충분한 의견을 제시할 수 있는 기회를 부여하지 않았고, 오늘 같이 의견을 나누는 토론회도 전혀 없었다"고 꼬집었다.

미래부는 합법적인 절차를 거쳤다는 주장이다. 국무조정실 사전 검토, 규제 개혁 위원회(규개위) 등을 거쳤다고 설명했다. 김 사무관은 "규개위는 정부에서 운영하나 위원들은 상당수 민간위원으로 돼 규제에 엄격하다"면서 "정보통신망법을 개정해 ISMS 인증 대상을 비영리 기관으로 확대할 때, 오히려 한정하란 권고를 받아 대상을 축소했다"고 말했다.

현장에서는 ISMS 인증 적용이 현실적으로 어렵다는 목소리가 터져 나왔다. 서강대학교 관계자는 "대학의 정보보호팀이 있는 학교가 2개고, 그중 하나는 담당자가 1명"이라면서 "서울대를 제외하고는 정보보호를 담당하는 실무자가 없다고 해도 과언이 아니며, 7년간 등록금 동결 등의 문제로 예산 지출도 어려운 상황"이라고 말했다.

이어 "기반, 조직, 예산 등 현실적 문제가 전혀 고려되지 않았다"면서 "한 단계씩 밟아나가 정보보안을 강력하게 만들면 좋지만, 현 상황에서 ISMS를 의무화 것은 걷지도 못하는 아이에게 뛰라고 하는 것과 같다"고 비판의 날을 세웠다.

협의회에 따르면, 3만8천명의 재학생을 보유한 대학이 104개의 ISMS 인증을 모두 받을 때 최초 인증을 위한 설비 교체에 약 93억원, 연간 유지비로 25억원을 투입해야 한다. 현재 인증 대상인 38개 대학 전체적으로 봤을 때는 최초 인증에 2천400억원, 매년 유지비로 650억원이 필요하다는 얘기다.

미래부는 이러한 대학가의 어려움에 동감하며, 단계적으로 함께 나아가겠다는 의지를 표명했다. 대학의 인증 준비 부담 등을 감안해 2017년까지 인증기한을 한시적으로 유예하고, 과태료 부과도 2017년 말까지 유예한다는 계획.

최초 심사 인증범위를 학사행정 시스템으로 우선하며, 갱신심사를 학교 홈페이지 등으로 확대할 방침이다. 또 미래부와 한국인터넷 진흥원(KISA)에서 ISMS 인증 지원반을 구성, 인증 전 과정에서 실무를 지원할 예정이다.

한편, 이날 전문가 패널로 참석한 김가영 오픈넷 변호사는 ISMS를 '갈라파고스 규제'라 칭하며 자율 규제의 필요성을 강조했다. 김 변호사는 "이러한 의무화 인증 제도는 우리나라에서만 적용되는 갈라파고스 규제다"면서 "전 세계적으로 봤을 때 특별 인증을 의무화한 경우는 없다"고 말했다.

이어 "보안 사고가 발생했을 시 해당 조직은 국가 인증을 받았음에도 문제가 발생했다며 이용자에게 책임을 회피할 수 있다"면서 "인증을 강제하기보다 각 기업 및 기관이 자율적으로 보안에 신경쓰도록 해야 하고, 정부가 인위적으로 개입하는 일은 자제해야 한다"고 강조했다.

성지은기자 buildcastle@inews24.com







포토뉴스