대학이 정보보호 관리체계(ISMS) 의무화에 강하게 반발했다. 교육현장을 고려하지 않은 과잉·중복규제라는 주장이다. 당초 인증 의무대상으로 거론되던 금융회사는 제외되고 대학 등 비영리분야가 추가된 경위와 절차적 요건에 대해서도 지적이 이어졌다.
한국대학정보화협의회(회장 김규태)는 8일 `ISMS 인증의 실효성과 대학 의무인증의 문제점` 전문가 토론회를 개최하고 정보통신망법 시행령 개정을 촉구했다.
올해 6월 개정 정보통신망법이 시행되면서 ISMS 인증제도 인증 의무대상이 의료와 교육 분야로 확대됐다. 연 매출·세입 1500억원 이상 상급병원 40여곳과 재학생 수 1만명 이상인 학교 37곳이 신규 의무대상에 추가됐다.
토론회는 한국대학정보화협의회와 한국대학교육협의회, 한국교육전산망협의회, 전국대학IT관리자협의회 등이 공동으로 주최했다. 전국 대학 전산 담당자 등 70여명이 참관한 가운데 이정태 아주대 중앙전산원장, 김가연 오픈넷 변호사와 김기홍 미래창조과학부 사무관이 토론에 나섰다.
이정태 원장은 “대학에 ISMS 인증을 강제하는 것은 과잉규제이자 이중처벌”이라면서 “사립대학이 인증을 받기 위해 재정적 지출을 하는 부분은 기본적인 재산권 침해 우려도 있다”고 강조했다. 보안 강화라는 측면에서 ISMS 인증 제도 자체는 바람직하지만 법규로 강제화하는 것은 적절하지 못하다는 주장이다.
대학 측은 특히 절차적 하자를 강한 목소리로 꼬집었다. 개정안 입법예고안에 대학이 명시되지 않았다가 규제개혁위원회를 거치고 금융권이 빠지면서 대학이 갑자기 포함됐다는 주장이다. 대학 측 입장을 대변해 줄 교육부나 대학 담당자 없이 규제개혁위원회 회의가 진행된 부분에도 의구심을 제기했다.
ISMS가 대학 전산 환경을 전혀 고려하지 않아 실효성이 없다는 문제제기도 이어졌다. 학내에는 중앙 전산 시스템뿐만 아니라 각 단과대, 학과별로 마련한 개별적인 IT 자원과 외부 사용자가 산재해 있어 ISMS에서 요구하는 심사항목을 전체 일괄적용하기에 무리가 있다는 것이다.
한 대학 관계자는 “대학에서 보안이 취약하다는 근거로 자주 거론되는 좀비PC 문제 등은 대부분 중앙 전산망이 아닌 연구실, 동아리 등에서 사용하는 개별 PC인데 이 쪽은 ISMS 관련 대상에 포함되지도 않는다”고 지적했다.
반면, 미래부는 대학 ISMS 인증 의무화가 필요하고 절차적으로도 문제가 없다는 입장이다. 의무대상을 중요 분야로 한정할 필요가 있다는 국무조정실 의견을 반영했고 취급정보 중요성, 보안수준, 사고 발생빈도 등을 고려해 우선적으로 교육·의료분야로 의무대상을 한정했다는 설명이다.
중복규제 문제 역시 자율진단인 `정보보호 수준진단`과 개인정보에 특화된 점검인 `개인정보보호 영향평가`는 ISMS인증과 목적, 성격, 방식, 항목 등에 차이가 있다고 반박했다.
김기홍 미래부 사무관은 “자발적으로 보안을 강화하고 ISMS 인증을 받으면 좋겠지만 지금은 정부가 손놓고 있을 수 없는 상황”이라면서 “우선 제도 틀은 갖춰졌지만 대학 환경을 고려해 협의를 거쳐 실행할 여지는 많다”고 제도 참여를 요청했다.
대학 측은 이날 토론회 이후로도 ISMS 인증 의무대상에서 제외되기 위해 다양한 후속 조치를 이어간다는 입장이다. 전산 담당자 차원의 대응을 넘어 각 대학 총장 간 의견 공유도 진행되는 모습이다. 올해 국감에서도 문제제기가 이뤄질 전망이다.
김규태 한국대학정보화협의회 회장(고려대 정보전산처장)은 “ISMS 제도는 기업 특성에 맞춰져 있어 학문 자유를 상징하는 대학에는 맞지 않다”면서 “정보통신망법 시행령 개정을 위해 적극적으로 행동에 나설 것”이라고 말했다.
박정은기자 jepark@etnews.com
