정보보호 체계에 대한 과학기술정보통신부와 교육부의 힘겨루기로 대학은 양쪽에서 모두 진단을 받아야 하는 '이중규제'에 시달리고 있다.
21일 관계 부처와 대학에 따르면 규제개혁위원회는 과기정통부의 정보보호관리체계(ISMS)와 교육부의 정보보호관리수준진단이 중복된 부분이 많다고 판단하고 협의 조정할 것을 권고했으나, 양 기관은 여전히 합의에 이르지 못했다.
과기정통부는 ISMS 체계가 더 촘촘하다고 주장하면서 종합병원 등 다른 기관과의 형평성 문제를 거론한다. 교육부는 ISMS가 대학의 일부인 '학사 시스템'에만 적용해 오히려 더 취약하다고 반박한다. 향후 해킹 사고가 났을 때 책임은 교육부가 떠안아야 하는 만큼 제도를 포기할 수 없다는 입장이다.
두 부처의 줄다리기로 피해는 고스란히 대학이 안게 됐다. 대학은 두 정부부처의 정보보호정책이 상당히 유사해 이중고를 겪고 있다고 토로했다. 한국대학정보화협의회는 “두 정책이 비슷한 항목이 많아 대학은 똑같은 시험을 두 번 치르는 것과 같다”며 “이에 따른 비용과 시간이 너무 많이 소모 된다”고 밝혔다.
두 부처의 정보보호정책 비교결과 △관리체계 기반 마련 △위험관리 관리체계 운영 △관리체계 점검 및 개선 △인적보안 △외부자 보안 △시스템 및 서비스 보안 관리 △사고 예방 및 대안 등 다수 항목이 유사하다. 또 양측 모두 대학에 현장심사를 나가는 것도 동일하다.
교육부는 최근 과기정통부에 ISMS 인증 신청을 하지 않은 대학에 대한 과태료 부과를 유예해줄 것을 요청했다. 그러나, 과기정통부는 2년에 걸쳐 충분한 유예기간을 줬다면서 다음달 31일까지 과태료 부과를 강행한다는 입장을 밝혔다.
과기정통부는 ISMS가 교육부의 진단과 비교해 항목 구체성과 절차 등이 더욱 촘촘한 체계를 갖추고 있다는 점을 내세운다. 실제 ISMS는 정보보호 관리과정 12개, 정보보호 대책 92개 등 총 104개 항목을 인증기준으로 삼는다. 객관성·신뢰성 확보를 위해 정책기관과 인증위원회를 분리해 운영한다. 한국인터넷진흥원(KISA)이 인증제도운영을 담당하고 산업계·학계 10명 이내로 구성된 인증위원회가 결과를 심의한다. 일정 수준에 해당하지 않는 대학은 과태료를 내야한다.
교육부 정보보호관리수준진단은 교육사이버안전센터에서 수준진단 계획을 수립한다. 각 대학이 자가 진단지표를 입력한다. 안전센터에서 분석결과를 확인한 후 10% 내외 대학을 선정해 현장점검을 실시한다. 진단지표는 6개 분야 35개 지표, 68개 항목으로 실시한다. 대학은 대학공시에 정보수준을 공시해야한다. ISMS와 달리 일정 수준이 되지 않더라도 과징금을 내지 않는다.
교육부는 ISMS가 대학 현실을 반영하지 못한 제도라고 꼬집었다. ISMS는 대학 학사시스템만 적용하기 때문에 교무행정, 연구, 수업 등 해킹에 가장 취약한 부분이 오히려 인증 대상에서 제외됐다는 것이다. 반면 정보보호관리수준진단은 대학 전체 보안 시스템에 중점을 둔 것이라고 설명했다. 교육부 관계자는 “ISMS 인증을 신청한 대학에서 해킹사태가 일어나도 결국 교육부가 책임져야 한다”며 “교육부의 대학에 대한 정보보호 업무가 침해받게 되며, 결국 행정 권한의 다툼 여지 문제가 발생한다”고 말했다.
한 대학 관계자는 “두 부처가 정책을 하나로 통일하든, 둘 중 한 곳은 포기하든 해야 이중규제가 사라질 것”이라고 말했다.
<표>과학기술정보통신부 정보보호관리체계(ISMS) VS 교육부의 정보보호관리수준진단
전지연기자 now21@etnews.com, 정영일기자 jung01@etnews.com