정부는 올해 기존 영리 목적의 정보통신서비스 제공자 등으로 한정하던 ISMS 의무 인증 대상을 의료와 교육기관 등 비정보통신기술(ICT)·비영리 기관으로 확대했다. 대학은 학생 개인 정보, 입시 정보, 연구 성과 등을 대량 보관하는 데다 과거 국정감사 등에서 여러 차례 정보보호 수준 미흡을 지적받은 점을 고려해 의료기관과 함께 우선 의무 대상에 포함됐다. 의견을 지속 수렴하고 다양한 지원 방안을 마련할 계획이다.
◇대학 환경 특수성
한국인터넷진흥원(KISA)에 따르면 ISMS 인증 기준은 공공과 민간 등 모든 분야에 공통으로 적용되는 범용 기준이다. 기업에만 맞춰졌다는 주장은 사실과 다르다. 인증 범위 역시 대학의 특수한 환경을 고려해 교수·학생 자치망 등은 제외하고 대학 정보화 조직이 운영하는 주요 서비스와 시스템으로 한정, 적용한다. 대학이 중요시하는 공개와 개방이라는 가치를 훼손하지 않기 위해 협의를 거쳐 심사 항목도 유연하게 조정할 수 있다.
비용과 인력 문제도 대학의 역량이나 예산 범위 안에서 해결할 수 있다. ISMS 제도 지향점 자체가 특정 기술이나 장비 도입이 아니라 인증 수검 과정을 거치고 조직 내 여건에 맞는 최선의 정보보호 대책을 마련해 이행토록 하는 데 초점을 맞췄다.
미래창조과학부는 대학 ISMS 인증제도 참여 부담을 줄이기 위해 내년까지 미인증 과태료 부과를 유예하고 시범인증 실시 등으로 개선 방안을 도출, 제도에 반영한다. 인증 전 과정에 걸쳐 실무 지원반도 KISA 공동으로 구성, 운영한다.
◇제도 실효성
ISMS 실효성 논란은 차량에 장착된 `에어백` 등 안전장치를 예로 든다. 갈수록 첨단화·지능화되는 해킹 기술을 모두 막기란 불가능한 현실이지만 피해를 줄이고 예방하는 최소한의 안전장치 역할을 한다. ISMS 인증 절차를 밟으며 시스템 구성과 관리상 취약점을 발견, 보완함으로써 침해 사고 확률을 낮추고 사전에 대비하는 효과가 크다.
지상호 KISA 보안인증지원단장은 “ISMS는 건강 관리를 위해 특정 운동 기구를 반드시 구입하라는 제도가 아니라 각자에게 맞는 건강 관리 체계를 찾아서 잘 유지하고 실천하도록 유도하는 것”이라면서 “갑자기 병에 걸리거나 다치는 사람이 있다고 해서 건강 관리 자체를 무용지물이라고 보긴 어렵다”고 비유했다.
국제 표준과 상호 인증에는 정부도 필요성을 인식하고 인증 호환성을 높이기 위해 노력한다.
◇중복·과잉 규제 문제
미래부와 KISA는 ISMS가 대학이 시행하고 있는 `정보보호 수준진단` `개인정보 영향평가`와 유사하게 보이지만 성격이나 방식, 항목 등에서는 차이가 뚜렷하다고 주장한다. 정보보호 수준진단은 ISMS와 12개 항목이 중복되지만 별도 인증·심사 기관이 아닌 대학이 매년 스스로 점검하고 교육부는 등급만을 부여한다. 대학알리미에 공시된 수준진단 결과를 살펴보면 여러 대학이 보안에 취약한 상태지만 보완 조치를 강제하지도 않는다. 영향평가는 일회성 평가인 데다 중복되는 항목도 없다. 중복·과잉 규제가 아니라 ISMS 적용으로 개선이 필요한 상황이다.
◇의무화 대상 지정 절차의 적법성
미래부와 KISA는 의무화 대상 선정 과정에도 문제가 없다고 본다. 시행령 입법예고 등에 공공기관과 금융권 등이 포함됐지만 의무 대상을 중요 분야로 한정할 필요가 있다는 국무조정실의 의견을 반영, 조정이 이뤄졌다. KISA는 단계별로 의무 대상을 확대해 나가는 출발점에서 취급 정보의 중요성, 보안 수준, 사고 발생 빈도 등을 고려해 교육과 의료 분야를 먼저 선정하고 연초부터 안내와 설명회 등을 진행했다.
박정은기자 jepark@etnews.com
