해킹 등 방지 ISMS 인증의무화…미래부 "일부 비용 지원하겠다"

  • ▲ 정보통신망법 시행령 개정으로 정보보호 관리체계(ISMS) 인증 대상에 대학이 포함되면서 미래창조과학부와 교육기관 간 잡음이 지속되고 있다. ⓒ뉴시스
    ▲ 정보통신망법 시행령 개정으로 정보보호 관리체계(ISMS) 인증 대상에 대학이 포함되면서 미래창조과학부와 교육기관 간 잡음이 지속되고 있다. ⓒ뉴시스


    정보보호 관리체계(ISMS) 인증을 놓고 미래창조과학부와 대학들이 줄다리기를 하고 있다. 개정된 '정보보호 등에 관한 법률 시행령'이 지난 6월 발효되면서 대학 등 일부 고등교육기관의 ISMS 인증이 의무화됐다.

    애초 대학의 경우 ISMS 인증 대상에 포함되어 있지 않았다. 하지만 대학도 정보보호 체계가 중요하며 ISMS 인증 대상에 올랐고 연매출 1500억원 이상, 1만명 이상 재학생이 있는 학교라면 의무 인증을 받아야 한다.

    이에 대학들은 이미 보안 체계를 자체적으로 마련해 적용하고 있고 과도한 비용을 투입할 수 없다며 ISMS 인증 자체를 거부했다.

    주무 부처인 미래부는 대학이 확대 해석하고 있다며 ISMS 인증 도입을 권하고 있지만, 대학가에서는 실효성이 낮다며 맞선 상태다.

    14일 대학가에 따르면 지난 9월 한국대학교육협의회 4개 기관은 ISMS 인증 의무화에 대한 문제점을 제기했고 전국 133개 대학 정보책임자 모임인 한국대학정보화협의회는, 정보통신망법 시행령에 규정한 의무 인증 대상에 대학이 제외될 것을 촉구했다.

    ISMS는 12개 보안관리 과정, 92개 보안대책 등 104개 항목을 심사해 인증하는 것으로 지속적인 정보보호 관리체계를 수립·운영하는 제도다. 이에 미래부는 대학 역시 정보보호에 대한 부분을 강조하고 있다.

    정보통신망법 시행령 개정으로 의무 ISMS 인증 대상에 오른 대학은 38개교다. 전체 고등교육기관이 ISMS 인증을 받아야 하는 것은 아니지만 거액의 예산이 투입된다는 점에서 난색을 표시한 것이다.

    ISMS 반대 이유로 대학정보화협의회는 인증 시 1개교당 설비 교체 등 100억원이 넘는 비용을 부담해야하고, 연간 20억원이 넘는 유지비를 투입해야 한다고 주장했다. 또한 컨설팅에 따른 시간 소요, 조직 개편 등에 대한 어려움도 있다고 강조했다.

    A대학 관계자는 "ISMS 인증을 받게 되면 시스템 교체와 관련해 서버 등 설비를 새로 바꿔야 한다. 인력 개편으로 변화 역시 크다. 그만큼 비용이 많이 들어가게 된다. 등록금 동결 추세에서 예산이 많이 투입될 것이라 예상해 ISMS 인증을 거부한 상태다"로 말했다.

    ISMS 인증 대상에서 제외된 대학도 다소 고민하는 분위기다.

    B대학 측은 "1만명 이상이지만 매출액은 기준보다 낮아 ISMS 인증 대상이 아니다. 하지만 향후 어떻게 될지 지켜보고 있다"고 전했다.

    ISMS 미인증 기관은 3천만원 이하 과태료가 부과된다. 미래부는 현재 ISMS 인증에 대한 시간적 여유가 없다는 점에서 내년 말까지 과태료 부과를 유예했다.

    미래부 관계자는 "관련 법이 발효됐는데 6개월 내로 ISMS 인증을 받으라고 하기에는 빠듯한 일정이기 때문에 과태료 부과를 유예하기로 했다. ISMS 인증은 질서 유지를 위한 규제 강화가 아니다. 보안 수준을 높이자는 것이다. 현 시점에서 기간을 주자고 결정했다"고 말했다.

    ISMS 인증 거부에 대해선 "대학들이 ISMS 인증을 두려워하는 거 같다. ISMS 인증 최초 구축에 따른 일부 컨설팅 비용, 수수료 면제 등을 지원하려고 한다. 실질적으로 대학의 수준을 높이는 부분에서 학교가 중요한 부분을 지켰으면 한다"고 답했다.

    과태료 부과는 유예됐지만 추후 정보통신망법 시행령 개정이 없다면, 의무 대상 대학들은 거액의 과태료를 매년 납부해야 하는 상황에 놓일 수 있다.

    대학에서는 비용 부담을, 미래부는 의무 대상이라는 부분에서 마찰이 생기면서 향후 ISMS 인증 논란은 지속될 것으로 전망된다.

    C대학 정보보호학과의 한 교수는 "ISMS 준비로 비용이 투입되는데, 대학의 등록금 수익은 많지 않고 투입할 곳은 많아 ISMS 인증에 난색을 표시하고 있다. 대학은 비영리기관으로 기업과 똑같이 ISMS 인증 대상으로 취급하는 것에는 무리가 있다는 지적이 있다"고 말했다.

    이어 "반면 해킹 발생 시 대학이 경유지가 되는 경우가 있어 보안에 엄격한 적용을 강조하기도 한다. 그러다보니 ISMS 인증은 좋은데 대학이 포함되느냐, 마느냐로 논란이 있는 것이다. 정보보호는 당연히 중요하다. 하지만 ISMS 인증 조건은 많고 시간적, 비용적 부담이 있다. 이에 ISMS 인증은 실질적으로 필요하지만 비용 부담 등으로 논란이 있는 것"이라고 덧붙였다.