정보보호관리체계(ISMS) 인증 의무화를 두고 대학과 정부 당국 간 의견차가 좁혀지지 않는다. 대학 측이 제도 실효성과 대학 환경의 특수성, 한정적 여건 등을 문제로 시행령 개정을 요구하는 가운데 미래부와 한국인터넷진흥원(KISA)은 의무화 적용을 추진한다는 방침이다.
한국인터넷진흥원(KISA·원장 백기승)은 최근 2016 한국인터넷거버넌스포럼에서 `정보보호관리체계 의무인증 거버넌스`를 주제로 토론회를 열었다. 이달 초 한국대학정보화협의회에서 ISMS 인증 의무화 관련 전문가 토론회를 개최한데 이은 두 번째 자리다.
토론회는 박기식 한국전자통신연구원(ETRI) 박사 사회로 김규태 한국대학정보화협의회 회장과 지상호 KISA 보안인증지원단장, 김태성 충북대 정보보호경영전공 주임교수, 류찬호 KAIST 사이버보안연구센터 연구1실장, 김가연 오픈넷 변호사가 토론자로 나섰다.
대학 측은 토론회에서 의무화 적용 과정에 대한 절차적 문제를 집중 제기했다. 이번에는 실효성과 제도 의무화로 인한 문제, 대학과 기업 환경의 차이점, 비용 문제 등을 지적했다.
김규태 회장은 “기밀성과 무결성이 중요한 기업은 내부에 인프라가 집중됐지만 학교는 외부에 많은 자원이 분산됐다”면서 “심지어 학생이 해킹을 연습하는 용도로 홈페이지를 이용한다”고 강조했다.
아울러 “의무인증이 되면 심사항목이 고정돼 해커 입장에서 접근하기 더 좋은 상황이 된다”면서 “비용 문제도 초기 인증에 93억원, 매년 25억원이 들어간다”고 지적했다.
KISA는 대학이 제도를 받아들이고 보안 수준도 높이도록 타협안을 찾아가자는 입장을 고수했다. 비용 역시 활용 가능한 예산과 인력 범위 안에서 충분히 해결한다는 주장이다.
지상호 단장은 “ISMS는 현재 가진 조건과 예산으로 최선의 정보보호 대책을 마련에 이행하도록 하는 것”이라며 “전자정부 정보보호관리체계(G-ISMS) 도입 당시 시범적으로 3개 대학이 인증을 받아 제반 지용을 지원 받았는데 컨설팅 비용으로 4000만원이 들어가고 추가 시스템 도입 등은 발생하지 않았다”고 말했다.
ISMS 역시 몇개 대학에 시범적으로 적용해 대학이 갖춘 시스템 환경과 예상 비용, 개선 방향성 등을 찾아가는 방안도 제안했다.
김가연 오픈넷 변호사는 정부 주도 인증제도 추진과 시장 확대에 반대 목소리를 높였다. 지난 토론에 이어 다시 공인인증서 문제를 언급하며 갈라파고스 규제, 이익 관계자 간 커넥션 등을 문제점으로 꼽았다.
이에 대해 류찬호 KAIST 박사는 “ISMS는 조직의 보안 체계를 잘하도록 도와주는 제도로 공인인증서 문제와 같은 선상에서 논할 문제는 아니다”면서 “제도 도입 초기 자율로 진행했으나 시대적 흐름에서 의무인증 필요성이 제기된 것”이라고 반박했다. 그는 “기업이나 조직에서 IT 비용이 전체 예산 중 7~8% 정도 쓰이는데 그 안에서도 정보보호에는 5%, 10%도 사용되지 못하는 현실”이라고 덧붙였다.
김태성 교수는 “원천적으로 반대하거나 무조건 해야 한다는 극단적 논의보다는 `한다면 어떤 식으로, 안 한다면 대안은`과 같은 발전적 논의가 필요하다”고 말했다. 그는 관련 학과 학부생이나 정보보호 동아리 등이 ISMS 인증과정에 참여하는 것도 한 방안으로 제시했다.
대학 측은 이날 우선 국제보안인증인 ISO27001 상호인증과 자율성 보장이 선결돼야 한다고 주장했다.
김규태 회장은 “한정된 대학 자원을 투자하기 위해선 국제 기준 상호인증으로 효율성과 중복 규제 등이 해결돼야 한다”면서 “앞으로 교육기관에 맞는 보안 강화 방안이 자율적으로 정착될 수 있도록 시행령 개정을 요구한다”고 말했다.
지상호 단장은 “ISMS 제도를 운영하며 영역별 최적화 등에 대한 고민이 적었던 것은 사실”이라며 “이번에 대학, 병원에 적용하면서 분야별로 특성화된 인증 기준 개발과 적용 방안 등을 산업 분야에 계신 분들과 함께 고민하며 제도를 발전시키겠다”고 의견을 밝혔다.
박정은기자 jepark@etnews.com
