정보보호관리체계인증(ISMS) 의무화 대학 37곳 중 36곳이 아직 ISMS 인증서 신청서를 제출하지 않은 것으로 나타났다. 지난해부터 ISMS 인증 의무화를 지속 거부한 한국대학정보화협의회(회장 차재혁)는 기존 입장을 고수했다. 정부는 ISMS 의무화 대상 대학이 올해까지 인증을 받지 않으면 최대 3000만원 과태료를 부과할 방침이다. 대학 몇 십 곳에 행정 처분이 내려질 가능성이 짙어졌다.

Photo Image
ⓒ게티이미지뱅크

22일 정부에 따르면, ISMS 인증 의무화 대상 대학 37곳 중 36곳이 아직 ISMS 인증 신청서를 제출하지 않았다. ISMS 인증을 받으려면 통상 준비 단계만 2~6개월이 걸린다. 이후 심사 단계에서 통상 50~60일, 인증 단계에서 30일이 소요된다. 36곳 의무화 대상 대학의 연내 ISMS 인증 가능성이 사실상 없어진 셈이다.

한국인터넷진흥원(KISA) 관계자는 “22일 현재 순천향대 외에는 현재 ISMS 인증을 신청한 곳이 없다”며 “인증 준비 상태에 따라 빠르면 한 달 안에도 가능하지만 준비가 안 된 상황에서 늦게 신청한다면 절차를 밟아야 한다”고 밝혔다.

대학 연합체인 한국대학정보화협의회는 ISMS 인증을 거부하는 기존 입장을 고수했다. ISMS 도입이 비용·효용 면에서 의문이라는 주장이다. ISMS가 대학에 적합하지 않은 인증 기준을 가지고 있다는 입장도 되풀이 했다.

차재혁 대학정보화협의회장(한양대 정보통신처장)은 “정부가 학교 내 본부가 제공하는 학사 행정과 대표 홈페이지만으로 인증 대상을 축소했지만 학교 서비스에 대한 강제인증이라는 점에서 문제는 여전하다”며 “ISMS 구축에 대학마다 100억원 가까운 비용이 들고, 보안 향상 효용성도 의문이다”고 말했다.

정부는 올해까지 ISMS 인증을 받지 않은 의무화 대상 대학에 관련법에 따른 절차를 분명히 밟겠다는 입장이다. ISMS 인증 의무대상자는 정보통신망법 제47조2항에 따라 기업 스스로 의무대상 여부를 판단해 ISMS를 구축, 인증을 취득해야 한다. 이를 어길 경우 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(망법)'에 따라 최대 3000만원 과태료가 부과된다.

과학기술정보통신부 관계자는 “과태료 부과 수준 등 여러 조건을 봐야하지만 관련법에 따라 정상적으로 절차를 진행할 것”이라고 말했다.

ISMS는 정보통신망 안정·신뢰성을 확보하기 위해 관리적·기술적·물리적 보호조치를 포함한 종합 관리체계에 관한 정부 인증 제도다. 2013년 정보통신망법 개정으로 의무화 됐다. 인터넷서비스제공업체(ISP), 인터넷데이터센터(IDC), 인터넷 쇼핑몰·포털·게임업체 등 정보통신서비스제공자 중 일부가 ISMS 인증 의무 대상이다. 정부는 지난해 6월 세입이 1500억원 이상인 의료법상 상급종합병원, 고등교육법상 재학생수 1만명 이상인 학교를 ISMS 인증 의무 대상으로 추가했다. 대학·병원이 대량 개인정보를 가지고 있어 지속적인 사이버 위협에 노출돼 보안 체계 구축이 필요하다는 이유다.

정부는 당초 지난해 말까지 받기로 했던 대학·병원 ISMS 인증을 올해까지 유예했다. 대학·병원 비용 부담을 감안했다. 그 결과 20일 현재 의무화 대상 병원 43곳 중 10곳은 ISMS 인증을 받고, 29곳은 인증 심사를 진행했다. 반면 대학은 순천향대를 제외하고 ISMS를 집단적으로 거부하는 상태가 지속된다.

정부는 대학 연구 자산 등을 고려하면 ISMS 인증 도입이 필요하다는 입장이다. 특히 최근 고조되는 사이버위협은 개인정보가 몰린 대학에도 퍼지고 있다. 한 예로 이달 KISA 워너크라이 분석 스페셜 리포트에 따르면 21개 피해 기관 중 4곳이 대학이다.

과기정통부 관계자는 “대학에는 개인정보뿐만 아니라 연구 자산 등 중요한 정보가 많다”며 “정보보호 차원에서 ISMS 도입이 필요하다”고 강조했다.

반면 정부가 ISMS 사후 모니터링을 강화하는 등 실효성을 향상할 방안도 같이 고민해야 한다는 지적도 나온다.


권헌영 고려대 교수는 “새로운 위협 신기술을 반영하고 ISMS 인증 항목에 반영하고, 인증 후 사후 조치를 강화하는 등 실효성을 높이는 방안이 필요하다”고 말했다.


[전자신문 CIOBIZ] 변상근기자 sgbyun@etnews.com