정보보호관리체계(ISMS) 인증 의무 대상에 포함된 대학들의 불만이 고조됐다. 상반기 관련법 시행령 개정안이 발효됨에 따라 재학생 규모가 일정 수준을 넘는 학교는 ISMS 인증을 받아야 하며, 미인증시 3천만원 이하 과태료를 물어야 한다.
정부는 ISMS 인증 의무 대상 대학 1~2곳을 대상으로 올 연말까지 시범인증을 진행하고, 그 과정에서 도출된 사항을 제도 개선에 반영할 계획이다. 전체 인증은 준비 부담을 감안해 2017년까지 유예를 두기로 했다. 미인증 과태료 부과 시점을 2017년말까지 미룬다는 방침이다.
전국 대학의 열악한 교육기관 정보보호 실태에 개선이 필요하다는 점은, 정도의 차이일 뿐 공감대를 형성할 수 있는 사안이다. 다만 인증 의무에 대응해야 할 실무자의 부담은 제도의 시행 계획 일정에 충분히 고려되지 못한 걸로 파악됐다.
■무슨 일 있었나
ISMS는 조직의 정보보호 대응 수준을 심사해 관련 체계를 갖췄다 인정될 때 미래창조과학부 산하 한국인터넷진흥원(KISA)에서 부여해 온 인증이다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 '정보통신망법')에 따라 일정 요건의 국내 '사업자'에게 인증 의무가 부과되고 있었다.
지난 6월 2일 개정된 법과 시행령 발효로 그 대상이 '재학생 1만명 이상 대학'으로 확대됐다. 미인증 과태료 상한도 기존 1천만원에서 3천만원으로 늘어났다. 재학생 1만명 이상 전국 38개 대학은 당장 ISMS 인증을 받아야 하는 상황이다. 정부는 각 대학의 실무적 부담을 감안해 내년(2017년)말까지 미인증 과태료 부과를 유예하기로 했지만, 충분하지 않다는 게 실무자들의 입장이다.
대학 전산부문 조직장과 담당자들은 이런 의무를 지운 법의 개정 과정이 부당하고 내용에도 현실성이 없다며 정부에 문제를 제기해 왔다. 지난 2월초 교육부를 통해 미래부에 교육기관을 포함한 법의 개정을 검토해달라는 의견을 전하고 5월초 시행령 개정안에도 반대 의견을 전했다. 그러나 미래부 측은 교육부 의견을 수용하지 않았고 6월초 개정 시행령 발효를 공지한 뒤, 관련 설명회를 열며 ISMS 인증제 시행에 들어갔다. 이후 이어진 문제제기에 법 개정에 절차상 문제는 없으며 대학에 인증 의무 부과가 필요하다는 입장으로 대응해 왔다.
양측의 대립은 지난 8일 서울 중구 프레스센터에서 열린 'ISMS인증의 실효성과 대학 의무인증의 문제점 전문가 토론회'에서 재차 가시화했다. 전국 133개 대학별 정보화 책임자 모임인 한국대학정보화협의회와, 전국대학IT관리자협의회, 한국대학교육협의회, 한국교육전산망협의회(KREN)가 함께 주최한 자리였다.
■대학들 "비현실적 비용-실무 부담, 절차적 부당성, 인증 실효성" 문제 제기
협의회는 토론회에 앞서 보도자료를 배포해 "한 대학이 ISMS 인증을 모두 받을 경우 설비 교체에 100억원, 연간유지비 25억원이 든다"며 "인증 대상인 38개 대학 전체적으로 최초 인증에 2천400억원, 연간 유지비 650억원 비용이 든다"고 주장했다. 이미 대학 환경을 고려한 '정보보호 수준진단' 및 교육부와 행정자치부의 실태점검 결과를 공시, 대학 평가에 반영하고 있다고 강조했다. 학사행정시스템에 '개인정보 영향평가'에 따른 학생정보 처리 등 개인정보보호도 이행하고 있다고 덧붙였다. 기존 활동과 목적이 같은 ISMS 인증 의무를 부과하는 건 부당하단 얘기다.
김규태 한국대학정보화협의회장(고려대 교수)은 토론회 당일 발제를 통해 ISMS 인증 의무화 대상에 대학을 포함한 것에 "교육현장의 현실을 고려치 않은 탁상공론"이라 지적하고 "대학 관련 모든 협의회와 함께 시행령을 비롯한 법률 개정을 위해 노력 중"이라고 밝혔다.
토론 패널 중 아주대학교 이정태 중앙전산원장도 대학을 ISMS 인증 의무 대상으로 포함한 법에 반대 논지를 폈다. 그는 개정법이 규제개혁 및 완화와 중복규제 해소 등 '정부의 국정기조'와 자율규제가 정착되고 있는 '국제 정보보호 추세'에 반하는 과잉규제라 봤다. 미인증에 대한 과태료와 보안사고 발생에 따른 과태료가 중첩될 경우 이중처벌 소지가 있다고도 주장했다. 법개정에 교육부 반대 의견이 반영되지 않아 절차적 하자라고 지적하기도 했다.
또다른 패널로 참석한 사단법인 오픈넷 측 김가연 변호사는 단지 대학을 대상으로 한 ISMS 인증만이 아니라 ISMS 인증 의무화 자체를 반대했다. ISMS 인증 도입과 활용을 민간의 자율에 맡겨야 한다는 주장이었다. 그는 국외 사업자 대비 국내 기업에 인증 의무에 따른 부담을 가중시키는 문제가 있다고 지적했다. 더불어 기존 ISMS 인증을 받았던 30여개 기업에서 정보유출 등 사고 발생 사례가 나왔다는 점을 근거로 인증의 실효성에도 의문을 제기했다.
■미래부 "절차 문제 없었다, 대학 실태 심각…의무화 취지 이해해야" 반박
토론회에 정부 측 패널로 미래부 공무원이 참석했다. 정보통신정책실 정보보호정책관 사이버침해대응과 김기홍 사무관이었다. 그는 대다수 참석자들과 상반되게 대학의 ISMS 인증 필요성과 의무 부과의 정당성을 주장해야 하는 입장이었다.
그의 발언 시간 대부분은 참석자들에게 제도의 취지를 이해해 달라는 점, ISMS 인증 과정을 각 대학 여건에 맞게 유동적으로 실행할 수 있다는 점을 설명하는 데 할애됐다. 발언을 요약하면 핵심은 제도의 정당성, 법 개정 절차의 합법성, 중복 및 과잉 규제론에 대한 반박, 국내 현실에 비춘 ISMS 인증의 필요성, 4가지다. 그의 발언을 일부 옮기면 다음과 같다.
"ISMS 제도의 합목적성은 충분하다. 정보보호는 영리를 추구하는 기업에서도 이슈인데, 정보로 가치를 창출하고 사회에 기여하는 대학에서 그에 대해 고민하는 것에 이견 없을 것. …(중략)… 법의 시행령을 고치는 제도화 절차는 합법적이었다. 민간 전문위원이 주도하는 논의과정의 하나인 규제개혁위원회가 열릴 때, 참석 대상 관계부처 중 교육부에서 어떤 사정에선지 불참했으나, 미래부에서 절차상 가능한 조치 했다. …(중략) 대학 대상의 ISMS 인증을 정보보호 수단이라는 관점으로 보더라도, 과잉 또는 중복은 아니다. 인증 의무화 이전에 각 대학이 자발적으로 자기 시스템을 점검하고 불안요소 개선 노력을 했다면 이를 강제하는 법 개정은 논의조차 되지 않았을 것이다. 실무자 입장에서 교육부 통해 하고 있는 정보보호 관련 조치로 충분하다 말할 수 있지만 학내 교육기관 정보침해 사례가 심각하다. 정부의 책임으로 돌아올 수 있기에 미래부와 교육부가 간과할 수 없다. …(중략)… 국내 현실은 정보보호를 재정 투자로만 바라본다. 학내에 상응하는 재원과 인력 확보 어려울 것이란 얘기 많이 들었다. 오히려 의무화를 계기로 의사결정권자들로부터 효과적인 정보보호 체계를 갖추려는 노력을 이끌어내려는 취지라 봐야 한다. 학내 정보보호 책임자 입장에서 본질적으로 하고 싶고 해야 하는게 뭔지 생각해 달라고 부탁드리고 싶다."
ISMS 인증기관인 미래부 산하 한국인터넷진흥원(KISA)도 토론회에서 보도자료를 통해 대학 측의 문제제기 근거를 반박했다. 최근 몇년새 불거진 학내 정보보호 사고에 비춰볼 때 ISMS인증 의무화는 불가피하며, 인증 내용도 기존 정보보호 수준진단, 개인정보보호 영향평가와 중복되지 않는단 주장이었다.
KISA는 실무 현장의 어려움을 반영해 ISMS 인증 지원방안으로 연말까지 의무 대상 학교 1~2곳을 선정해 시범인증을 실시하기로 했다. 또 미인증 과태료 부과는 내년말까지 유예를 두기로 했다. 시범인증 과정서 개선사항을 도출해 대학들과 공유해 제도에 반영할 계획이다. 대학별로 시스템 구성이 상이한만큼 인증범위, 심사기준, 일정 등 세부 협의도 거친다는 구상이다.
■대학 전산 담당자들, 정부의 실무 부담 외면 성토
이날 토론회에서 입장이 대표되지 않은 이해당사자가 있었다. 인증 의무를 이행해야 하는 각 대학 전산 담당 실무자들이었다. 패널들의 발언 후 이어진 질의응답 시간에, 몇몇 대학 전산 담당 실무자들이 미래부와 KISA의 ISMS 인증 관련 이행 계획에 부정적인 시각을 드러냈다. 이들은 미래부와 KISA가 대학의 인증 의무와 관련된 실무적 부담에 대해 충분히 고려하지 않고 단기간내 인증 실적을 달성하기 위해 서두르는 인상을 주는 상황에 깊은 유감을 드러냈다. 대학 3곳 담당자의 발언을 소개한다.
(A대)
"사무관은 정보보호팀을 둔 대학이 얼마나 있는지 아시나. 2곳이다. 그나마 1곳은 담당자 1명. ISMS 기반이 전혀 마련돼 있지 않은 게 현실이다. 7년간 대학등록금 동결 여파로 정보통신관련 사업비 지출이 없었다. 우리 임금도 안 올랐다. 이런 기반, 돈, 조직, 인원, 전혀 고려되지 않은 상태에서 ISMS 의무적용 강제해 언제까지 하라고 하면, 이거야말로 탁상행정 아닌가. 이제 걸음마 하는 아이더러 100미터 달리기 하라면 뛰나. 인증 대상 정보보호 취약하다고 하셨는데 (인증 의무 제외된) 1만명 이하 대학이 더 취약하다. 문제가 심각하다는 명분을 걸었으면서, 그나마 나은 곳부터 의무를 적용한다는 건 내 상식에 맞지 않는다. 과태료 1년 유예를 배려라고 하는데, 기간내 할 수 있을지도 의문이다. 이런 열악한 환경에서 관리 운영, 안정적인 보안 유지가 더 중요하지 않나. 인증만 의무화하면 (정보보호가) 다 된단 것처럼 들린다."
(B대)
"KISA 배포 자료의 대학 의무화 필요성 근거가 과장된 것 같다. '모 대학 악성코드 유포' 사고는 (외부 접속자 열람 못하는) 내부 게시판 얘기다. 최근 5년간 대학, 교육부, 교육청, 평가원 등 발생한 해킹을 12만건이라 표현한 자료는 과대포장이다. 이벤트량(전산망접근건수)이지 해킹 아니잖나. 이 정도는 전세계 다 합쳐야. KISA 동향보고서 보면 2011년도 침해사고발생건수에 개인이 7천900건, 금융기관이 3천600건, 교육기관이 103건이라 쓰고 있다. 그리고 이런 논의 하는게 정보보호 신경 안 쓰겠다가 아니다. 교육기관에 맞는 규제와 인증을 해야지 않나. 정보보호 관련 조치 의무가 개인정보보호법, 정보통신망법에 분산 중복돼 있다. 일부를 서로 상이하게 규율해 이행과 준수에 어려움을 겪으니 개선한단 이유로 신용정보 이용 및 보호에 관한 법률 개정안 또 나왔다. 지금 인증받아도 중복 분산 규제 일원화하면 결국 바뀌어야 한다. (제도정비 이전에 적용부터 한다는 게) 순서가 거꾸로 된 거다."
(C대)
관련기사
- "정보보호 공시하면 ISMS 인증수수료 30~40% 할인"2016.09.14
- ISMS 인증 의무 대상, 의료-교육기관까지 확대2016.09.14
- 다날, ISMS 인증 획득2016.09.14
- 스마일서브, 클라우드용 3단계 보안서비스 제공2016.09.14
"정보통신망법 시행령 개정되면서 대학이 의무대상으로 포함됐다. 그간 개인정보보호법, 기타사항 대통령령으로 정한다하고, 대통령령으로 공공기관중 고등교육법의거 각급 대학 포함해 개인정보보호법위주로 개인정보보호 정책 운영하고 있었다. 실무자는 어느 법 우선 적용해야 하는 건지. (김 사무관 답변 들은 후) 건의드리고 싶은 사안이다 사실. 행자부 개인정보보호법 감사, 이행 감사 받았고 교육부 정보보호수준진단 통한 수준, 개인정보보호 수준을 자율진단해 제출했다. 그리고 10월에 대학정보공시에 반영된다. 5년주기 이행하는 대학평가인증의 평가항목에도 반영돼있다. 난 이제 ISMS를 올 10월까지 준비해야 한다. 정보 보호를 규제만으로 볼수없다 말했는데, 같은 내용을, 조금 다르게, 네 벌 준비해 이행해야한다. 이건 반드시 일원화해야 하고, 통합된 정보보호 관련 논의 있어야한다고 생각한다."
미래부 김기홍 사무관은 대학 ISMS 인증을 의무화하면서 실무자의 어려움이 충분히 반영되지 못했다는 점을 인정했다. 작년말 법 개정 과정에 과태료 부과 시한을 설정하면서 6개월이라는 '통상 인증기간'만 적용됐고, 교육기관의 인증 실무에 드는 기간이 그보다 길어질 수 있다는 점은 검토되지 못했다는 설명이다. 다만 이를 감안해 미인증 과태료 부과 시기를 2017년말 이후로 설정했다고 덧붙였다.
