![[이슈분석]대학 "실효성 없는 ISMS, 강제 적용 거부"](https://img.etnews.com/photonews/1610/867317_20161019182129_382_0004.jpg)
6월 개정 정보통신망법 시행으로 정보보호관리체계(ISMS) 인증 의무 대상에 일부 대학과 병원이 추가됐다. 차분한 분위기 속에서 ISMS 인증 의무화를 받아들인 병원과 달리 대학들은 반발하며 조직 차원의 대응에 나섰다. ISMS를 주관하는 미래창조과학부와 한국인터넷진흥원(KISA)은 적용 방침을 고수한다.
대학들은 한국대학정보화협의회(회장 김규태 고려대 정보전산처장·전기전자공학부 교수)를 중심으로 ISMS 인증 의무화 적용 반대 활동을 펼친다. 9월 초 `ISMS 인증의 실효성과 대학 의무인증의 문제점` 전문가 토론회 개최, 정보통신망법 시행령 개정 촉구 등 목소리를 냈다.
대학이 ISMS 의무화를 거부하는 주된 논리는 제도가 대학 환경 특수성이나 여건을 반영하지 못한다는 것이다. 또 제도 실효성, 과잉·중복 규제 문제, 의무화 대상 선정 과정의 절차상 결함 등도 지목한다. 기업 환경에 맞춰진 ISMS를 자유로운 교류와 정보 공유가 핵심 가치인 대학에 강제로 적용하는 것은 받아들일 수 없다는 주장이다.
◇대학 환경 특수성
대학은 학사, 행정 등을 핵심 정보 서비스를 관리하는 중앙전산망 외에도 다양한 연구실, 학회, 동아리 등 학내 망에 서버와 사용자PC 수천대가 존재한다. 연구와 수업 등을 목적으로 외부로부터 원격 접속도 허용한다. 보안을 위해 서버 망과 사용자 망을 분리해 관리하고 외부 접근을 차단하는 기업과 달리 일괄 ISMS 적용이 힘들다.
인증 수검을 위한 컨설팅이나 조직 구성, 보안 장비 구입 등에 따른 비용도 부담이다. 일부 대학에서는 학내 망에 설치된 1200여대 서버까지 모두 대상으로 삼을 때 인증 준비에만 93억원, 매년 유지비로 25억원의 지출이 발생할 것으로 추산했다.
◇제도 실효성
KISA는 대학 상황을 반영해 중앙전산망 등 주요 시스템에 한정 적용하는 방안을 제시하지만 협의회 측은 수용하기 어렵다는 입장이다. 각종 침해 사고 발생으로 보안이 취약하다고 지목받는 영역은 학내 망이라는 주장이다. 대학을 ISMS 의무 대상에 포함시킨 배경도 대부분 학내 망에서 발생한 사고에 근거를 둔다.
제도 실효성 자체에도 의문을 표한다. 대학에 맞지 않을 뿐만 아니라 기업 등에도 ISMS 적용 이후 보안성 향상 연구 논문이나 객관화된 조사 결과가 없다. 국제표준 정보보호인증 `ISO27001`과 상호 인증이 되지 않는 부분도 문제점으로 꼽는다.
김규태 한국대학정보화협의회장은 “협의회를 비롯해 대학 관련 여러 단체가 ISMS 강제 인증 반대에 한목소리를 내는 것은 대학 미래 발전을 저해할 요소가 많기 때문”이라면서 “대학 보안 수준 개선이 필요하다면 교육 기관에 맞는 제도가 자율 정착이 되도록 해야 한다”고 강조했다.
◇중복·과잉 규제 문제
대학은 교육부 개인정보보호 지침에 따라 매년 `정보보호 수준 진단`을 자체 수행, 결과를 `대학알리미`에 공시한다. 행정자치부 소관인 `개인정보보호 영향평가`를 받는 것도 의무다. 협의회는 내용이나 항목이 일부 유사한 ISMS까지 대학에 추가로 의무화한다면 필요 이상의 과잉·중복 규제라고 토로한다. 규제 개혁과 완화에 주력하는 현 정부의 주요 국정 기조와도 역행한다는 지적이다.
◇의무화 대상 지정 절차 논란
대학 측은 논란 초기부터 대상 지정의 절차상 결함에 문제를 제기했다. 의무 인증 대상으로 유력하게 거론되던 금융권이 규제개혁위원회 회의 등을 거친 뒤 빠졌다. 대학이 포함되는 과정에는 대학이나 교육부 의견이 전혀 반영되지 못했다. 입법예고(안)에는 `대학`이 명시되지 않은 부분도 혼란을 부추겼다.
한 대학 전산처 담당자는 “민감한 정보를 대학보다 훨씬 많이 보관하는 공공기관이나 금융권은 다 빠지고 왜 보유 정보 민감도가 더 낮은 대학에만 ISMS를 들이대는지 모르겠다”고 말했다.
박정은기자 jepark@etnews.com
