정보보호 未인증 36개 대학, 10억 과태료 맞는다… 과기부, 3천만원씩 부과 검토

정부가 진행 중인 정보보호관리체계(ISMS) 인증과 관련해, 전국 37개 대학이 의무 인증 대상으로 지정됐지만 1개교만 신청서를 제출하면서 현 상황이 지속된다면 내년께 무더기 과태료 부과를 사실상 피할 수 없게 된다.

ISMS 인증과 관련해 대학들은 100억원에 가까운 비용이 소요될 것이라며 버티고 있다. 반면 정부 부처는 전혀 다른 주장이라며 대학들이 소극적인 자세로 임하고 있다고 지적했다.

30일 과학기술정보통신부 등에 따르면 ISMS 인증 의무 대상 대학은 고려대·연세대·한양대 등 전국 37개교로, 이중 순천향대를 제외한 36개교가 인증 신청을 거부한 상태다.

정보통신망법 개정으로 세입 1500억원 이상, 재학생 수 1만명 이상 대학의 경우 ISMS 인증 의무 대상이 됐다.

정보보호에 대한 관리체계를 수립해 운영하는 ISMS 인증을, 대학들이 거부하고 있는 이유로는 과도한 비용 투입을 지목했다.

한국대학정보화협의회는 ISMS 인증 의무 대상에서 대학은 제외되어야 한다고 강조, 장비 교체 등으로 100억원가량 소요될 것이라고 주장했고 한 개교를 제외한 36개교는 신청 자체를 거부했다.

이에 대해 과기정통부는 근거 없는 주장이라고 일축했다.

과기정통부 관게자는 "(100억원 소요는) 꿈 같은 이야기다. ISMS 인증 항목은 104개로, 인증 범위를 정한다. 100억원으로 전망한 것은 대학 전체, 교수 자체 연구, 단과대, 연구소, 학과 등을 모두 포함한 최대치를 본 것"이라고 말했다.

이어 "통상적으로 ISMS 인증의 핵심은 정보보호 거버넌스를 구축하는 것이다. 반면 대학은 전체 범위 내에서 극상의 부분을 주장하고 있다. 대학 입장에서는 간섭하는 것으로 보는 거 같다. 1개교를 제외한 나머지 대학은 적극적이지 않다"고 덧붙였다.

ISMS 인증과 관련해 과기정통부는 순천향대를 예로 들며 장비 교체 등으로 1천만~2천만원, 정보보호 전담인력 채용까지 합쳐 2억원대 비용이 투입됐다며 형편에 맞춘 적정 수준이라고 강조했다.

이철규 자유한국당 의원이 교육부로부터 제출받은 국정감사 자료에서 지난해 국내 338개 대학(전문대 포함)의 전산망 사이버 침해 사례는 3만8241건으로, 올해 상반기에는 1만9999건에 달한 것으로 나타났다.

정보보호에 대해 대학 역시 보안을 강화해야 한다는 의견이 오르내리는 가운데, ISMS 의무 인증 대상에 오른 대학들은 비용 등을 이유로 난색을 피하고 있지만 이를 거부한다면 결국 과태료가 부과될 것이라는 전망이다.

ISMS 인증은 준비 기간을 포함하면 6개월가량 소요되는 등 시간적 여유가 없다는 부분에서 관련 법이 발효된 뒤 과태료 부과는 1년 가량 유예됐다. 이에 올해 말까지 미인증에 따른 과태료는 부과되지 않지만 내년부터는 사정이 달라진다.

인증 의무 대상 기관이 이를 거부할 경우 부과되는 과태료는 최대 3천만원. 36개교가 현 입장을 고수한다면 최대 수준의 과태료 책정 시 전체 학교는 10억8천만원을 납부해야할 상황에 처해진다.

향후 과태료 부과 등에 대해 대학정보화협의 입장을 확인하려 했지만, 협의회 측은 답변을 거부했다.

A대학 관계자는 "관련 부서에서 ISMS 미인증에 대해 알아서 한다고 하지만 대학 입장에서는 과태료가 부담이 될 수밖에 없다"고 말했다.

B대학 측은 "비용이 많이 든다고 들었는데, 계속 현 입장을 고수할지 여부 등을 지켜보는 상황이다"고 전했다.

ISMS 미인증 대학들에 대해 과기정통부는 과태료 부과를 염두에 둔 분위기다.

과기정통부 관계자는 "ISMS 인증이 1~2개월 준비해서 받을 수 있는게 아니다. 준비 기간이 길다. ISMS는 합격, 불합격을 판단하는 것이 아니다. ISMS 인증에 대해 설득하고 독려하고 있다. (미인증 시) 과태료를 물게 된다"고 말했다.

이어 "ISMS 인증을 규제로 보는 것은 대학의 시각이다. 적극적으로 나선다면 부담이 없으리라 본다. 다만 학내 사정, 재정 여건 부분에서 소극적으로 나가려는 부분이 현실적 한계로 보인다. 적극적인 자세가 필요하다"고 지적했다.