검색

메뉴보기

주요 대학 보안 구멍... 무더기 ISMS 미인증

주요 대학 보안 구멍... 무더기 ISMS 미인증

대학 정보보호관리체계(ISMS) 인증 의무화 제도가 시행된 지 3년이 지났지만 대상 대학 가운데 절반 정도만 인증을 받은 것으로 나타났다. 나머지 대학은 예산 부족 등을 이유로 인증을 거부했다. 과학기술정보통신부는 대학 사정 등을 감안해 과태료 부과를 2년 유예한 만큼 더 이상 물러서기 어렵다는 입장이다. 다음 달부터 미인증 대학 대상으로 과태료를 3000만원 부과할 방침이다.

과기정통부에 따르면 현재까지 ISMS 인증을 완료한 대학은 순천향대, 동국대 등 25개 대학에 그친 것으로 나타났다. 전체 42개 대학 가운데 17개 대학은 예산·인력 문제 등을 들어 인증을 신청하지 않았다. ISMS 인증은 통상 6~9개월의 인증 준비 기간이 필요해 현재까지 완료하지 못한 대학 대부분 과태료 처분 대상이 된다. 과기정통부 관계자는 21일 “부산대, 강원대 등 인증 대상 대학이 아직까지 인증 신청을 하지 않았다”면서 “8월 31일 이후 인증 신청을 하지 않은 대학에는 3000만원의 과태료를 부과할 방침이다. 인증 노력에 따라 50%까지 감면이 가능하다”고 말했다.

ISMS는 기업, 기관이 주요 정보 자산을 보호하기 위해 수립·관리·운영하는 ISMS가 기준에 적합한 지 심사해서 인증하는 제도다. 한국인터넷진흥원(KISA)이 적합성을 종합 심사해서 인증을 부여한다.

대학은 종합병원과 함께 2016년 6월 2일 시행된 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법) 개정에 따라 ISMS 인증 의무 대상에 포함됐다. 운영 수입 1500억원 이상, 학부 재학생 1만명 이상 대학교(42곳)가 해당됐다. 대학이 연구 자료, 학생 개인정보 등 중요 정보를 보유하고 있지만 정보 보호 수준이 미흡하다고 판단함에 따라 의원 입법 발의로 시행됐다.

대학은 제도 시행 후 인증에 대한 불만을 지속해서 밝혔다. 과도한 인증비용, 교육부 진단과 중복되는 규제라고 주장하며 인증제 도입을 거부했다. 대학정보화협의회는 “등록금 동결로 대학 예산이 충분하지 않은 상황에서 ISMS 인증을 위한 비용은 현실적으로 불가능하다”면서 “교육부의 정보 보호 수준 진단과 중복되는 부분이 많아 이중 규제”라고 반발했다. 협의회는 “이미 자체 보안 체계를 갖춘 대학이 많다”면서 “ISMS 인증을 신청하면 추가 비용이 든다”고 덧붙였다.

정부는 예산 등 대학의 어려움을 감안해 법 시행 이후 2017년, 2018년 두 차례 유예 기간을 부여했다는 입장이어서 과태료를 부과하기로 했다. 인증 신청을 돕기 위해 순천향대를 대상으로 시범 사업을 진행했다. 대학 가이드라인을 제작해 무료로 대학에 배포했다. ISMS 인증비용이 대학 예산에 반영할 수 있도록 각 대학을 방문, 예상 소요비용 등도 제공했다. 대학 측 제기와 달리 대학당 인증 평균비용이 1억원 이하로 최대 2억원을 넘지 않아 과도한 예산 집행은 아니라는 게 정부 입장이다. 의무 대상인 종합병원은 대학과 달리 모두 인증을 받았다.

주요 대학 보안 구멍... 무더기 ISMS 미인증

과기부는 이미 법 시행을 두 차례 유예한 만큼 추가 유예는 하지 않을 방침이다. 다만 대학 현실, 교육부 정보 보호 수준 진단 강화 등을 반영해 협의를 진행한다는 입장이다. 과기부 관계자는 “대학이 제기하는 부분을 충분히 이해하고 있지만 이미 법으로 정하고 있고, 두 차례 유예 기간까지 둔 만큼 더 이상 유예는 어렵다”면서 “교육부의 정보 보호 수준 진단과 ISMS 인증이 중복되는 부분은 교육부와 협의해 개선 방향을 찾고 있다”고 밝혔다. 염흥열 순천향대 정보보호학과 교수는 “대학이 학생 개인 정보, 학사 정보 등을 갖고 있어 침해 사고가 발생하면 사회 혼란을 부를 수 있다”면서 “ISMS 인증이 결국 대학의 보안 유지에 도움이 되는 만큼 의지를 발휘해서 보안 분야 투자에 우선을 둬야 한다”고 말했다.

이미경 기자 lmk@boan.com

위방향 화살표