재학생 1만명 이상의 국내 대학교 37곳이 올해 준수해야 하는 정보보호관리체계(ISMS) 인증 의무를 모두 따르지는 못할 공산이 크다는 우려가 나왔다. ISMS 인증기관 한국인터넷진흥원(KISA)의 진단이다.
ISMS는 정보통신망을 운영하는 공공, 민간 조직의 기술적, 물리적 보호조치를 비롯한 보안 프로세스 개선 활동을 가리키는 용어다. ISMS 인증은 그 활동을 심사해 KISA에서 부여하는 인증이다. 현행 '정보통신망 이용 촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)'은 일정 규모 이상의 통신사업자, 호스팅사업자, 정보통신서비스사업자가 반드시 ISMS 인증을 받도록 규정하고 있다.
지난해(2016년) 6월 개정된 정보통신망법과 그 시행령은 일정 규모 이상의 대학교와 병원에도 ISMS 인증 의무를 부과하고 미준수 과태료 상한선을 기존 1천만원에서 3천만원으로 높였다. 전년도 기준 재학생 수 1만명 이상인 국내 대학교 37곳, 의료법 제3조의4에 따른 세입 1천500억원 이상의 '상급종합병원' 43곳이 새 인증 의무 대상이다. 의무 준수 시한은 올해(2017년)말 까지다.
그런데 ISMS 인증기관인 KISA에 따르면 인증 의무 대상 병원의 대응은 순조로운 반면, 대학교의 움직임은 그렇지 않다. 지난달(4월) 관련 질의에 KISA 지상호 보안인증지원단장은 다음과 같이 답했다.
"ISMS 인증 의무 대상 병원은 준비된 곳부터 순차적으로 인증 심사를 받고 있다. 이미 5곳이 인증을 완료했고, 다른 5곳은 인증을 대기 중이다. 나머지 병원도 계속 인증을 신청하고 있다. (ISMS 인증 의무 대상) 대학들이 올해 안에 인증을 마치려면 지금쯤 (37곳)모두 이미 인증을 완료하거나 준비하고 있어야 한다. 그 단계 와 있는 곳이 절반도 안 된다."
KISA 측 설명에 따르면 ISMS 인증 과정은 짧게는 5개월에서 길게는 9개월이 소요된다. 의무 대상 대학교가 연말까지 인증을 완료하려면 질의 당시 적어도 절반은 인증을 준비하거나 심사를 받고 있어야 했다. 그런데 의무 대상 대학교 상당수가 그러지 않고 있어, 의무 준수가 줄곧 '난항'이란 지적이다. 이대로라면 올해 ISMS 인증 미준수에 따른 과태료 3천만원을 부과받는 대학교가 다수 나올 수 있다.
■KISA, 대학 ISMS 인증 거부 사유 반박
ISMS 인증 의무화, 의무 준수를 거부하는 대학교의 움직임은 지난해 '한국대학정보화협의회(KAUIC)' 차원에서 이뤄졌다. KAUIC는 대학교 전산부문을 담당하는 정보처장과 담당자들의 협의체다.
지 단장은 KAUIC 차원의 ISMS 인증 의무를 거부 사유를 다음 4가지로 요약하고 각각을 반박하는 논리를 함께 제시했다.
첫째는 금융, 에너지, 공공기관보다 정보보호 우선순위가 덜한 대학교에 왜 인증 의무가 먼저 강제되느냐는 반발이다. 지 단장은 "타 조직보다 중요도가 덜하다 볼 수는 있지만, 산업별 보안수준 관점에서 대학교는 보유 정보 중요도에 걸맞는 보호체계를 갖추지 않았다"고 비판했다.
둘째는 이미 대학교가 정보보호수준진단, 개인정보영향평가를 하고 있기에 ISMS 인증 의무 부과는 과잉중복규제라는 입장이다. 지 단장은 "수준진단이 체크리스트식 자율점검이고, 영향평가는 1회성이기 때문에, 상시 운영하고 매년 사후심사, 3년마다 갱신하는 ISMS와 동일시할 수 없다"고 반박했다.
셋째는 대학교의 예산, 인력, 준비시간이 현실적으로 부족해 인증이 어렵다는 논리다. 지 단장은 "인증 기업 설문조사 결과에 따르면 평균 시스템 도입 1억원, 컨설팅 1억원 정도"라며 "연수입 1천500억원 이상 대학이 2억원을 못 써 인증을 못 받는 건 어불성설"이라고 지적했다.
넷째는 현행 ISMS 인증 제도의 심사기준이 대학교에 적합하지 않다는 입장이다. 지 단장은 정보보호정책 수립, 담당 인력 채용, PC 있으면 백신 설치와 백업 적용 등의 심사기준을 대학이라 적용 못할 리는 없다고 말했다. 이미 자발적으로 인증을 받은 대학교가 있었단 점도 이를 방증한다고 덧붙였다.
■"KAUIC 입장 변화…개별 대학 인증 신청 기대"
법과 시행령 개정 후 KAUIC를 중심으로 진행된 인증 거부 움직임은 최근 누그러진 상태다. 올해 남은 기간중 개별 대학교가 개별적으로 ISMS 인증 신청에 나설 수 있다는 뜻이다. 지 단장의 설명이다.
"과태료 부과 시한을 유예하고 대학 관련 R&D지원사업 공모시 (인증 대학에) 가산점 지원과 같은 혜택도 제시했지만 여전히 잘 안 돼 왔다. 개별 대학에 접촉해 보면 모두 '우리가 먼저 받긴 부담스럽다, 다른 대학 한두곳 인증 해보면…' 이런 입장이었다. 최근 나아지고 있다. KAUIC가 거부하지 않고 대학이 스스로 결정할 문제란 입장으로 바뀌었다. 앞으로 한 두 곳이 인증을 신청하지 않을까 기대한다."
변화 흐름에 대학교 정보보호 실태에 대한 비판 여론이 계기로 작용했을 수 있다. 미래창조과학방송통신위원회 소속 한 의원이 지난달 배포한 보도자료 내용에 따르면 2013년부터 올해 3월까지 확인된 대학에서 발생한 정보보안사고는 61건인데 그중 과반인 33건이 올해 1분기 발생했다. 해킹 사고와 별개로 올해 1월 해킹툴 대량 유포 사고에 주요 대학 15곳의 서버가 연관되기도 했다.
관련기사
- KISA "클라우드서비스, ISMS 인증 범위에 넣겠다"2017.05.07
- KISA, 2017년 ISMS 인증심사원 신규 모집2017.05.07
- 대학 ISMS 인증 의무화, 연착륙 가능한가2017.05.07
- ISMS 인증 의무 대상, 의료-교육기관까지 확대2017.05.07
KAUIC의 회장이 최근 바뀐 점도 대학의 태도 변화를 기대케 하는 대목이다. KAUIC는 지난 2월 이사회를 통해 부회장이었던 한양대학교 차재혁 정보통신처장(공과대학 컴퓨터소프트웨어학과 교수)을 회장으로 선임했다. 이는 KAUIC가 대학 ISMS 인증 거부의 구심점이었던 지난해 하반기와 다른 입장을 내걸 명분으로 작용할 수 있다.
개별 대학 ISMS 인증에 관한 KAUIC의 입장이 실제로 바뀌었을지는 아직 확인되지 않았지만, 관련 안건이 이사회에서 검토될 예정이다. 관련 문의에 협의회 측은 "5월 11일 열릴 이사회를 통해 그에 대한 공식 입장이 확정될 수 있다"며 "ISMS 인증과 관련된 사항을 추후 별도로 알릴 계획"이라고 답했다.