지난해 6월 정보통신망 이용 촉진 및 정보보호 등에 관한 법이 개정된 후 시행됨에 따라 정보보호관리체계(ISMS) 인증 의무 대상에 우리 대학교를 포함한 37개 대학교와 43개 종합병원이 포함됐다. 하지만 대학가에선 ISMS 인증을 거부하고 있으며, 정부와의 견해 차이를 좁히지 못해 갈등이 지속되고 있다.

 지난해 9월, 대학정보화협의회(이하 협의회)는 ‘ISMS 인증의 실효성과 대학 의무인증의 문제’를 주제로 토론회를 열고, 미래창조과학부에 대학교를 인증 의무 대상에서 제외할 것을 촉구했다. 협의회는 미래창조과학부에서 법 개정 절차에 의견수렴 과정을 거치지 않아, 원활한 의사소통이 이뤄지지 않았다고 주장했다. 학교를 대상으로 공청회를 거치지 않았고, 의무대상에 포함됐음을 통보했기 때문이다.

 ISMS 인증은 통상 5~9개월 정도 소요된다. 과정은 준비·심사·인증·사후관리 단계로 나뉘며, 세부절차로는 컨설팅, 보완조치, 심사 등이 있다. 인증비용에는 컨설팅 비용, 심사비 등이 있으며, 우리 대학교에서 추정한 초기 투자비용은 7~8억, 연간 1.5~2억 정도이다. 올해 말까지 인증을 받지 못한 대학교에는 3천만 원 이하의 과태료가 부과된다. ISMS 인증을 받고 유지하기 위해 투자하는 비용보다 과태료가 더 적은 것이다. 법 취지가 대학교와 맞지 않다고 판단되기 때문에 협의회는 ISMS를 거부하는 집단행동에 나서고 있으며, 우리 대학교도 이에 동참하고 있다. 이호선 정보전산원 시스템운영팀 담당자는 “법의 부당함에 대해 학교들이 공동으로 대응할 예정이며, 과태료 부과에 대해서도 이의를 제기할 것”이라고 말했다.

 ISMS 인증을 받지 않아도 학교에서는 별다른 조치를 취하진 않는다. 기존에 학생·교수의 개인정보 보호를 위한 노력을 지속할 예정이기 때문이다. 우리 대학교는 사이버 보안에 신경을 많이 쓰는 편이고, 대구·경북 지역에서 사이버 보안을 전담으로 맡은 직원을 둔 대학교는 우리 대학교가 유일하다. 또한 사이버 보안 수준도 정보공시 상위권 등급이기에 주변 대학교와 비교하면 높은 수준이다. 이호선 담당자는 “학교가 사이버 보안에 노력을 기울이지 않는 것이 아니다”며 “투자대비를 생각해 학교 현실에 맞지 않는 것에 투자할 필요는 없으며, 학교 현실이 적용된 제도는 얼마든지 따를 의향이 있다”고 전했다.
 

곽미경 기자