[한국대학신문 구무서 기자] 정보보호 관리체계(ISMS) 인증 의무 대상에 대학이 포함되면서 대학가는 비상이 걸렸다. 과태료를 내지 않으려면 당장 올 연말까지 ISMS 인증을 받아야 하기 때문이다. 대학가에서는 물리적인 시간이 부족하고 재정도 열악하다며 불필요한 규제라고 주장하고 있다. 반면 미래부는 법적 근거에 의한 인증 제도가 필요하다는 입장이다.

지난달 2일 미래창조과학부(미래부)는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령을 통해 ISMS 의무 인증 대상에 병원과 대학을 포함시켰다.

ISMS 인증은 정보통신망의 안정성과 신뢰성 확보를 위해 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계 수립·운영이 법적 기준에 적합한지를 인증받은 것으로, 그동안 대학은 의무 인증 대상에 포함되지 않았으나 이번 시행령을 통해 의무 대상으로 지정됐다.

ISMS 인증을 위해 대학들은 컨설팅업체로부터 정보보호 관리체계를 컨설팅 받고 컨설팅 내용에 맞춰 보안 장비를 구비해야 한다.

이번에 포함된 대학은 수익 1500억 이상, 재학생 1만명 이상인 대학들이며 시행령 공포 후 6개월 내인 올 연말까지 인증을 받지 않으면 과태료 3000만원을 내야 한다.

대학들은 ISMS 의무 인증 대학 현실과 동떨어져있고 이미 정보보호를 위한 진단과 평가를 하고 있기 때문에 이번 규제가 필요 없다는 입장이다.

한국대학정보화협의회 김규태 회장은 "미래부에서 시행령을 만드는 과정에서 대학의 의견을 전혀 듣지 않았다. 지금 ISMS는 기업체 기준으로 맞춰져 있어서 교육기관인 대학과는 맞지 않다"고 말했다. 이어 학교 현장에서 겪을 불편함에 대해서도 언급했다. 김 회장은 "인증을 위해 학생들이 접근하지 못하는 사이트가 늘어나게 된다. 협업이 강조되는 현재 교육 여건 상 클라우드를 통한 연구자료 공유가 필요한데 이러한 것도 불가능해진다"고 설명했다.

대표적인 사이트가 구글이다. 세계적인 검색포털사이트로 학생들이 많이 사용하지만 이번 규제로 학교 내에서 이 사이트 접속이 제한될 수도 있다는 것이다.

김 회장은 인증 의무 대학의 설정이 불분명한 것도 문제라고 강조했다. 그는 "1만명이라는 기준은 대체 무엇을 근거로 설정한 것인지 알 수 없다. 여기에 서울대를 제외한 모든 국·공립대는 전부 제외됐다. 정말 대학의 정보보호가 목적이라면 왜 나머지 대학들은 전부 빠졌나"라며 반문했다.

이번 규제가 이중규제라는 지적도 있다. 전국대학IT관리자협의회 A팀장은 "이미 대학들은 개인정보보호, 정보보안 관리체계 및 침해예방 활동 등을 진단하고 평가하는 정보보호 수준진단을 실시하고 이를 대학 알리미에 정보공시하고 있다. 대학평가에 이 부분에 반영되기 때문에 정보보안에 최선을 다할 수 밖에 없는 상황"이라며 "공공기관이 의무적으로 실시하는 개인정보 영향평가도 대학들은 충실히 이행하고 있다. 충분히 정보보호를 위한 노력을 다하고 있고 관련 내용을 공개하고 있는 상태에서 이번 ISMS 인증 의무화는 이중규제로 볼 수 밖에 없다"고 밝혔다.

현실적인 어려움을 호소하는 목소리도 있다. 주어진 시간과 대학의 여건상 도저히 불가능하다는 것이다.

의무 인증 대상인 대학에서 정보통신을 담당하는 B씨는 "인증을 받으려면 우선 컨설팅이 필요한데 컨설팅 비용이 2억 정도 된다. 컨설팅 후 인증 비용이 따로 발생하고 인증을 위한 조직 구성 및 장비 구매를 합치면 개별 대학마다 10억원 정도 소모될 것으로 예상된다"며 "대학의 예산은 전년도에 미리 편성되는데 느닷없이 연중에 정책을 도입한다고 하니 재정적 어려움에 직면하게 된다. 과태료가 1년에 3천만원인데 등록금 동결 등으로 대학 재정상황이 어려운 점을 감안하면 그냥 과태료 내는게 현실적인 방법일 수 있다"고 설명했다.

기간이 너무 촉박하다는 의견도 언급했다. B씨는 "컨설팅도 한 번에 끝나는게 아니고 대략 4,5개월 정도 필요하다. 거기다 인증 받는 기간, 제반 시설 확충 등을 고려하면 아무 흠잡을 데가 없어도 6개월이 빠듯하다"며 "지난 2012년 개인정보 영향평가 도입 때도 4년이라는 유예기간을 줬다. 정책을 꼭 실행해야겠다면 현실적인 여건을 고려해줘야 한다"고 주장했다.

이번 규제가 대학의 정보보호가 아닌 보안산업 활성화가 목적이 아니냐는 의견도 제시됐다. 김 회장은 "이번에 금융권과 국민건강보험공단, 국세청 같은 정부기관 등이 ISMS 인증 의무 대상에서 빠졌는데 이게 한 30여군데 정도 된다. 그런데 이번에 새로 포함된 대학이 30여 곳 정도다. 얼추 비슷한 숫자"라며 "금융권과 정부기관이 빠지면서 발생한 인증 수익 적자를 대학을 통해 메우려는 것은 아닌지 의심된다"고 의구심을 나타냈다.

이어 "ISMS 인증 의무 대상에 대학이 포함되는 것이 부당하다는 성명서를 협의회 차원에서 냈으며 해당 내용을 청와대 규제개혁신문고에 올리고 국회 교육문화체육관광위원회에도 전달했다"며 "법령개정 혹은 시행령이 취소 될 때까지 보안 인증 거부 등 단체 행동도 고려하고 있다"고 밝혔다.

반면 미래부는 대학의 ISMS 인증이 반드시 필요하다는 입장이다. 사이버침해대응과 관계자는 "현재 대학에서 하고 있는 정보보호 수준진단은 점검 위주이며 법적근거가 없는 반면 금융권은 전자금융거래법에 의한 IT보안10대평가를 통해 인증을 받고 있다. 자체적 점검과 법적 인증은 별개 문제이며 세부 항목도 다르다"라며 "대학은 개인정보와 학사정보 등 민감한 자료들을 갖고 있기 때문에 법률에 근거한 인증제도가 필요하다"고 말했다.

기준을 재학생 1만명 이상으로 잡은 것에 대해서는 "원래는 모든 대학에 적용하려 했으나 과다한 것 같아 기준을 한정한 것"이라며 "교육부의 대학평가인증이라는 것이 있는데 2014, 2015년 평가인증시 최상위 대학을 1만명 이상으로 잡은 것으로 파악했다. 그 기준에 따라 우선적으로 1만명 이상인 대학으로 설정했다"고 설명했다.

이어 "대학의 어려움을 고려해 인증수수료 전액 지원과 정보보안체계 구축시 기술적 지원을 할 것"이라고 밝혔다.