정보보호관리체계(ISMS) 인증이 대학들의 강한 반발을 남긴 채 한 해를 마무리한다. 올해 일부 대학과 병원으로 의무 대상을 확대했지만 상당 부분 제도를 수용한 병원 쪽과 달리 대학은 인증 심사 신청조차 하지 않았다. 내년 초 시범 사업 대학을 선정할 예정이지만 의무인증을 거부하는 대학 입장이 강경, 추이가 주목된다.
26일 한국인터넷진흥원(KISA·원장 백기승)에 따르면 올해 신규 추가된 의무인증 대상 80개(대학 37개, 병원 43개) 가운데 기간 내 인증을 획득한 곳은 강북삼성병원, 삼성서울병원, 순천향대 부속 부천병원 세 곳뿐이다. 그나마 아직 인증은 안 나왔지만 10곳 정도가 심사를 받고 있는 병원 쪽과 달리 대학은 단 한 곳도 심사를 신청하지 않았다.
법에 명시된 경과 조치 관련 사항에 따르면 의무인증 대상은 이달 2일까지 ISMS 인증 획득이 요구됐다. 이행하지 않을 경우 올해 최고 3000만원으로 상향된 과태료 부과 대상이 된다.
미래창조과학부와 KISA는 의무 대상 확정 후 남은 기간이 촉박한 현실이었기 때문에 당장 내년에 과태료 부과는 하지 않는다는 방침이다. 다만 제도 수용을 안내하는 차원에서 최근 인증심사 신청을 권고하는 공문을 보낸 것으로 알려졌다.
ISMS 인증 제도는 주요 정보자산 유출과 피해 사전 방지를 위해 기업 스스로 수립·운영하고 있는 정보보호 체계 적합 여부를 인증하는 제도다. 기존에는 영리 목적 정보통신서비스 제공자를 의무 대상으로 지정했지만 올해 매출 1500억원 이상 상급 종합병원과 재학생 수 1만명 이상 대학교를 추가했다.
대학은 6월 신규 의무인증 대상이 확정된 이후 한국대학정보화협의회(회장 김규태 고려대 정보전산처장·전기전자공학부 교수)를 중심으로 조직 차원의 반대 움직임에 들어갔다. 대학 환경의 특수성이나 여건을 반영하지 못하고 제도 실효성, 과잉·중복 규제 문제 등을 이유로 줄곧 시행령 개정을 요구했다.
대학정보화협의회는 새해 초 전국 대학 총장이 모이는 총회에서 ISMS 반대 안건을 상정할 방침이다. ISMS를 대신해 대학에 맞는 정보보호인증 체계를 포함시킨 대체 법안 제정에 나서서 미래부, KISA와 대립각을 이어갈 것으로 보인다.
미래부와 KISA는 최대한 대학 입장을 반영하지만 제도 추진에 예외가 없다는 입장이다. 인증 심사료와 컨설팅 등을 지원하는 시범 대학을 새해 1~2월에 선정, 대학 ISMS 물꼬를 틀 계획이다.
박정은기자 jepark@etnews.com