지난 6월, 고등교육법이 개정되면서 기업을 대상으로 시행되던 ISMS 인증제가 재학생 1만 명 이상인 대학교도 의무 실시 대상에 포함하게 됐다. 이에 우리 대학교를 포함한 대학 37곳이 대상으로 선정됐다. 이에 따라 보안 문제나 비용 문제 등 실효성에 대해 논란이 되고 있는 상황이다.

 ISMS 인증제는 정보보호를 위한 정보보호관리체계의 적합성에 대해 인증을 부여하는 제도이다. 이는 인터넷진흥원이 정한 기준에 따라 ‘관리과정’, ‘인적보안’ 등 14가지 항목에 대해 평가한다. 미래창조과학부(이하 미래부)는 법이 개정되고 6개월 뒤인 올해 말까지 ISMS를 인증하지 않을 시 3,000만 원 이하의 과태료를 부과하려 했으나, 현실상의 문제로 최근 과태료 부과를 내년으로 연기했다. 또한 비용지원, 제도 개선 등을 통해 ISMS 도입을 지원하겠다고 밝혔다.

 이에 대해 한국대학정보화협의회는 재정 여건뿐 아니라, 인증의 경쟁력이 부족하다는 입장이다. 실제로 일본의 ISMS 인증제는 국제 인증이 되지만, 우리나라의 K-ISMS는 국제 인증이 되지 않는 문제가 있다. 이에 대학 측에서는 ISMS 인증이 비용과 인력을 투자하는 만큼의 효과를 보지 못할 것이라며, 대학의 자율성이 보장돼야 한다고 주장한다. 김규태 한국대학정보화협의회 회장은 “정보보호라는 취지는 좋으나 제도에 대한 실효성이 의심된다”며 “내년 1월 대학교육협의회를 통한 총회에서 시행령 개정을 공식적으로 요구하고, 대학과의 연계를 통해 더 나은 방안을 찾을 것이다”고 말했다.

 반면 미래부는 학사정보나 연구성과물 등을 보호하기 위해서 ISMS 의무화가 필요하다는 입장이다. 김기홍 미래부 사무관은 “ISMS 인증제는 대학에 대한 일반적인 규제가 아니라, 정보보호를 체계와 틀에 따라 자율적으로 지속시키는 가이드라인과 같다”고 말했다. 정보보호의 수준을 높이는 것이 당장 효과를 보여주지는 않지만, 체계적 정보보호시스템은 정보보호의 역량을 강화하고, 사이버 침해의 피해 발생 확률을 줄일 수 있다는 것이다. 또한 김기홍 사무관은 “ISMS 인증을 받는 대학교는 이후에 ‘정보보호 R&D’, ‘대학IT연구센터(ITRC)’, ‘소프트웨어 중심대학’과 같은 사업을 진행할 시 가산점을 받도록 제도를 개선하겠다”는 계획을 밝혔다.

 한편 한국대학정보화협의회는 학생 수 3만 명 규모의 대학이 ISMS 제도를 시행할 경우, 보안인증에 필요한 인건비 등을 포함해 매년 25억 원의 유지비가 들어갈 것으로 예상했다. 또한 이를 전담하는 인력은 지금보다 더 보충돼야 하는 상황이다. 이에 우리 대학교 조행래 정보전산원장은 ISMS 인증에 대해 “한국대학정보화협의회에서 대학들의 의견을 모으고 있는 상황이다”며 “아직 한국대학정보화협의회에서 구체적인 결정이 내려지지 않았지만, 협회의 결정에 따르겠다”는 입장을 밝혔다.

최준혁 준기자