지난 2014년 1월 주요 신용카드 회사에서 보관하고 있던 이용자들의 개인정보가 유출돼 약 1억 명의 피해자가 발생했다. 이에 해당 신용카드 이용자들은 “기업들의 정보보호에 대한 신뢰가 떨어졌다”며 불신을 보였다.
지난해 8월 법률업체 로앤비는 수도권 소재 모 대학으로부터 제공받은 모 교수의 개인정보를 불법적인 경로로 제삼자에게 제공해 처벌받았다. 이에 대학 관계자들은 개인정보 유출문제가 일반 기업뿐 아니라 대학까지 확장됐다며 우려했다.
지난 6월 2일(목) 미래창조과학부는 대학의 정보보안을 강화하기 위해 정보통신망 이용 촉진 및 정보보호 등에 관한 법률을 개정하면서 ISMS 의무 인증 대상에 대학을 포함시킨다고 밝혔다. ISMS 인증은 정보통신망의 안정성과 신뢰성을 확보하기 위해 기술적·물리적 보호조치를 포함한 종합적 관리체계 운영이 법적 기준에 적합한지를 인증받는 것이다. 미래부 관계자는 “그동안 개인정보보호를 위한 대학 자체의 노력이 미비하다고 판단했고 대학들도 여타 기업과 마찬가지로 다수의 개인정보를 다뤄야 하기 때문에 인증 대상에 포함했다”고 밝혔다.
이에 대학들은 ISMS 인증은 현 대학가의 상황을 고려하지 않아 현실적으로 시행하기 어렵고, 법안이 통과되기까지의 절차가 공정하지 못했다며 불만을 토로했다. 또한 일각에서는 ISMS 인증제 효과에 대한 의문점을 제기하며 논란이 일고 있다.
대학, “ISMS 인증 의무화는 대학 내부 사정도 모르는 횡포다”
그동안 교육기관은 ISMS 인증 대상이 아니었으나 이번 개정안을 통해 의무 대상으로 지정됐다. 이에 해당되는 대학은 수익 1,500억 원, 재학생 1만 명 이상인 대학들이며 현재 38개의 대학들로 추정되고 있다. 이 대학들은 올 연말까지 인증 받지 않으면 3,000만 원의 과태료를 내야 한다.
이에 국내 대학들은 강력히 반발하고 나섰다. △한국대학정보화협의회 △한국교육전산망협의회 △한국대학교육협의회 △전국대학IT관리자협의회(이하 협의회)가 공동으로 배포한 자료에 따르면 한 대학이 ISMS 인증을 받을 경우 소모되는 비용은 2,400억 원이다. 또한 지속적으로 관리하기 위해서는 650억 원의 추가 비용이 발생한다. 협의회는 학령인구 감소로 인해 등록금 수입이 줄어 대학가 재정난이 심화되고 있는 현 상황에서 막대한 인증 비용은 부담이라는 입장이다. 한국대학정보화협의회 김규태 회장은 “현재 대학들의 등록금 동결 및 인하로 인해 수입이 점점 줄어들고 있는 추세인데, 당장 올해부터 저렇게 많은 예산을 정보보안 쪽에만 투입하기는 실질적으로 불가능하다”며 “ISMS 인증 의무화 대상에 대학을 포함한 것은 특히 재정적 측면에서 교육현장의 현실을 고려하지 않은 탁상공론에 불과하다”고 비판했다. 또한 ISMS 인증제가 정보보안에 대한 정부의 이중규제라고 지적했다. 협의회는 “이미 많은 대학들은 매년 교육부로부터 정보보호 수준을 진단받고 있으며 실태점검에 따른 결과를 대학 알리미에 공시하거나 대학 평가에 반영하고 있다”며 “또 대학마다 학사행정시스템에 저장된 교수 및 학생들의 정보보호를 충실히 이행하고 있는 현 시점에서 인증 의무화는 중복 규제일 뿐이다”고 주장했다.
법안을 개정하는 과정에서 인증 대상인 대학의 의견을 반영하지 않았다는 비판도 일었다. 실제로 지난 6월 법안이 통과되기 전까지 법안에 대한 토론회는 열리지 않았다. 아주대학교 이정태 중앙전산원장은 “ISMS 인증 법안을 수정하라는 교육부의 의견이 일절 반영되지 않았다”며 “당장 올해부터 예산을 투입해 인증을 실시하라는 것인데 결국 이는 대학의 현실이 담긴 목소리를 듣지 않고 의무만을 부과하는 횡포다”고 말했다
미래창조과학부, 개인정보보호 대학만 예외 될 수 없어…
미래부는 그동안 교육기관들의 정보침해 사고가 심각한 수준임에도 불구하고 보호조치가 미흡했기 때문에 정보보안 인증제도가 당연하다는 입장이다. 실제로 한국교육학술정보원의 통계자료에 따르면 최근 5년간 교육기관의 사이버 침해 위협이 12만 건에 달했다. 미래부 정보통신정책실 정보보호정책과 김기홍 사무관은 “현재 대학에서 발생하는 정보 침해의 수준은 심각하다”며 “이런 상황에도 대학들이 경제적 여건과 현실성을 운운하며 ISMS 인증제를 회피하는 것은 정보보호의 중요성에 대한 인식이 미비하다는 것을 보여주는 것이다”고 말했다. 이어 “또한 정보를 통해 가치 창출을 이루고 사회에 기여하는 대학들이 정보보호에 대해 망설일 이유는 딱히 없기 때문에 대학들도 ISMS 제도 취지를 이해하고 잘 따라줬으면 한다”고 덧붙였다.
미래부는 대학들이 주장하는 ISMS 인증 비용은 근거없는 이야기라는 비판도 했다. 통상적으로 구축규모에 따라 차이가 있으나 평균적으로 약 5,000만 원에서 1억 원 가량 소요되며 그에 더해 운용 인력을 채용하는 데 발생하는 비용까지 합쳐도 대학들이 주장하는 비용과는 괴리가 상당하다는 것이다. KISA 보안인증지원단 지상호 단장은 “컨설팅을 받아 ISMS을 구축하게 되면 평균적으로 5,000만 원~1억 원 정도 들어가며, 장비 도입 및 시스템 변경에 따른 비용이 추가로 투입될 수 있으나 현 대학들은 대부분의 시스템을 갖추고 있다”며 “쇼핑몰도 ISMS 인증을 받는 곳이 있는데, 2,400억 원이나 사용된다면 어느 누구도 인증을 받기 힘들 것이다”라고 대학 측의 주장을 반박했다.
법안을 통과시키는 과정에서 교육부의 입장을 반영하지 않았다는 것에 대해서도 부정했다. 김 사무관은 “교육부의 의견을 듣기 위해 공식적인 논의의 장을 열었으나 교육부가 참석하지 않았다”며 “법을 제도화하는 과정도 합법적이었으며 교육부가 불참했던 논의도 절차상으로는 문제되지 않는다”고 전했다.
미래부, 내년 말까지 인증제 의무화 유예
대학들의 반발이 거세지자 미래부는 대학들의 인증 준비 부담을 감안하여 인증 기한과 과태료 부과를 오는 2017년 말까지 유예했다. 또한 의무대상 대학 1~2곳을 선정해 연내 시범인증을 실시한 뒤 도출되는 개선사항을 공유하고 제도를 개선할 계획이다. 김 사무관은 “정보보호를 규제 관점에서 보기보다는 총장을 비롯해 학교 내 의사결정자들이 정보보호 수준을 강화하는데 있어 지지를 이끌어 낼 기회로 삼았으면 한다”고 밝혔다.
ISMS 인증제, 실효성에 대한 의문 제기돼…
ISMS 인증제를 둘러싼 대학가와 정부의 공방전을 두고 일각에서는 ISMS 인증제 실효성에 대해 문제를 제기했다. 실제로 ISMS 인증제를 실시하는 기업 중 30여 곳에서 정보유출 사고가 발생했다. 지난 8일(목)에 열린 ‘ISMS 인증 실효성에 대한 토론회’에 참석한 오픈넷 김가연 변호사는 “이와 같은 상황에서 정부에서 인증하는 정보보호제도를 실시하다가 정보유출 사태가 발생한다면 그 책임을 전적으로 정부에게 떠넘기는 회피현상이 나타날 수 있다”며 인증제도의 위험성을 강조했다.