[디지털투데이 박근모 기자] 정보보호관리체계(ISMS) 인증 의무화 대상 기업인 국내 종합 대학 중 해당 인증을 받은 대학은 '전무'한 것으로 확인됐다. 정부에서는 ISMS 인증을 받지 않은 대학들에게 과태료 부과 등 제재를 가할 계획을 밝히고 있지만 국내 대학들은 꿈쩍을 하지 않고 있다. 정부는 국내 대학들이 ISMS 인증을 미루고 있어 대학가 보안이 취약해지고 있다고 주장하는 가운데, 대학 측은 ISMS를 도입하면 연구 자료와 정보 공유에 문제가 발생해 대학의 궁극적인 목표인 연구활동에 문제가 발생할 수 있다고 반발하고 있다.

국내 다수의 보안 전문가들은 ISMS는 대학내 보유 정보 보안을 위한 최소한의 조치의 일환이라며 정부쪽 의견에 동의하는 분위기다.

이처럼 정부와 대학간의 이견이 엇갈리는 가운데 관계 당국에서 적극적으로 문제 해결을 위해 나서야 한다는 의견이 대두되고 있다.

한국인터넷진흥원(KISA)이 지난 23일 공개한 자료에 따르면 ISMS 인증 의무 대상에 포함된 대학 37곳 중 현재까지 ISMS 인증 심사를 신청한 곳은 단 한곳도 없는 것으로 나타났다.

개정된 정보통신망법에 의해서 상급종합병원과 대학교가 ISMS 인증 의무 대상으로 포함됐다.(자료=KISA)

지난 2015년 개정된 정보통신망법 제47조 제2항에 따라 상급 종합 병원과 대학이 ISMS 인증 대상으로 포함됐다. 이를 통해 지난해 6월 ISMS 인증 의무 대상으로 포함된 병원과 대학을 대상으로 도입 설명회 및 가이드라인이 마련됐다. 하지만 무난히 ISMS 인증이 추진 중인 상급 종합 병원 사례와는 달리 대상 대학들이 '대학정보화협의회'를 중심으로 ISMS 인증 반대에 나서고 있다.

정보통신망법 개정안에 따르면 연간 매출액 또는 세입이 1500만원 이상이면서 직전 연도 기준 재학생 수가 1만명 이상인 대학 37곳이 ISMS 인증 의무 대상에 포함돼 있다.

대학들의 ISMS 반발 이유

대학들은 크게 4가지 이유를 들어 ISMS 인증 도입을 거부하고 있는 것으로 나타났다.

먼저 ISMS 인증 의무 대상으로 대학이 선정된 것은 부적절하다고 이유를 들고 있다. 대학 관계자는 "대학은 학문을 연구하고 토론을 하는 장소로 ISMS 인증을 하게 되면 정보 공유 등이 힘들어져 학문 연구에 지장이 발생할 수 있다"고 말했다. 이에 대해 KISA는 중요 자료를 보유 중인 기관이나 단체, 기업들은 이미 해당 정보의 중요도에 맞는 정보보호체계를 구축 중이지만 대학은 이러한 보호장치가 없어 오히려 정보 유출에 따른 학문 연구에 지장을 줄 수 있다는 입장을 보였다.

다음으로 과잉·중복 규제라는 의견과 ISMS가 대학에 적합하지 않는 인증 기준이라는 주장에 대해 지상호 KISA 보안인증지원단장은 "ISMS의 정보보호 수준 진단 및 개인정보 영향 평가는 시스템 도입시 일회성으로 하는 점검으로 중복 규제가 전혀 아니다"라며 "또한 ISMS 인증은 현재 공공과 민간 등 전 영역에 걸친 범용적 정보호호 기준으로 대학에 적합하지 않다는 의견은 사실과 다르다"고 설명했다.

끝으로 대학들의 ISMS 인증 도입을 위한 예산·인력 및 준비시간이 부족하다는 의견에 대해서 ISMS 인증 심사를 담당하는 KISA 측은 "지난해부터 ISMS 인증을 위한 시간을 충분히 제공했고, 인증 수수료를 감면 하는 등 다양한 지원 방안을 대학측에 제시하고 있다"라며 "대학들이 ISMS 인증을 받는다면 인증 수수료 감면 뿐만 아니라 시스템 도입 컨설팅 비용 지원도 적극적으로 나설 계획"이라고 전했다.

ISMS 해결 방법은?

일단 주관 기관인 미래부는 올해까지 대학이 ISMS를 받지 않으면 과태료를 부과하겠다는 방침이다. 지상호 KISA 보안인증지원단장은 "지난해 개정안을 통해 미인증에 따른 과태료는 기존 1000만원에서 3000만원으로 상향 조정됐다"며 "현실적으로 과태료를 부과하는 방법 말고 ISMS 미인증 대학에 가할 수 있는 제재는 없다"고 말했다.

국내 보안업계에 따르면 ISMS의 인증 비용(시스템 도입 비용 1억원, 시스템 컨설팅 비용 1억원 등 총 2억원)에 비하면  미인증에 따른 과태료(3000만원)를 지불하는 편이 대학 입장에서 비용적으로 이득을 볼 수 있어, 대학들이 과태료 처분을 선택할 가능성도 높아 보인다는 의견을 보였다.

최근 대학내 IT 장비들이 랜섬웨어나 악성코드에 감염돼 내부 정보가 외부로 유출되는 것뿐만 아니라, 대학내 IT 장비를 중심으로 개인이나 기업, 기관들의 디도스(DDos) 및 악성코드 감염의 좀비PC로 활용되는 사례가 증가함에 따라 이러한 대학들의 정보보호체계 미비에 대한 비난의 목소리가 높아지고 있다.

이에 따라 대학정보화협의회 관계자는 "이번에 협회장이 새롭게 바뀐 상태로 지금까지와 달리 ISMS 인증 도입 여부를 대학 개별적인 의견에 따라 선택할 수 있도록 입장을 정리 중"이라고 말했다.

한편, 미래창조과학부와 KISA는 교육부, 교육청 그리고 각 대학과 연계해 ISMS을 대학들이 빠르게 도입할 수 있도록 적극 협의해 나가겠다는 방침을 밝혔다.

키워드

#ISMS #정보보호관리체계 #대학교 #보안 #한국인터넷진흥원 #KISA #대학정보화협의회 #디도스 #DDos #좀비 PC
저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지