정보보호관리체계(ISMS)는 민감한 정보를 가진 기업/기관이 정보보호 체계를 수립하고 유지하는지 여부를 심사하고 평가하기 위한 것이지만, 실제로는 ‘규제준수’에만 급급한 상황이다. 만성적인 심사원 부족, 하반기에 집중되는 심사 요청, 가짜 증적자료를 구분해내지 못하는 점 등은 한계로 꼽혔다. 또한 지난해 대학이 ISMS 인증에 대한 집단 보이콧에 나서면서 부정적인 인식은 더욱 높아졌다. 그러나 올해 대학의 반발이 다소 누그러지는 한편, 기업/기관의 인식도 개선되는 분위기다.<편집자>
해커 놀이터된 대학
올해 국내 대학 30여 곳이 해킹을 당한 것으로 밝혀졌으며, 성적 조작, 연구내용 유출 등의 사고가 발생했을 가능성이 높은 것으로 나타났다. 또한 지난 1월에는 중국발 해킹으로 의심되는 사고가 15개 대학에서 발생한 사실이 알려졌다. 이어 최근 5년간 해킹 공격이 16배 증가했다는 분석결과까지 나왔다.
대학이 ‘해커의 놀이터’가 될 만큼 보안에 취약하다. 이미 많은 대학이 침해사고를 당한 것으로 알려지고 있는데, 대부분의 경우 자체적으로 탐지한 것이 아니라 한국인터넷진흥원(KISA) 등 외부 기관에서 침해사실을 알려줘서 알게 된 것으로, 대학이 보안위협에 소극적으로 대응하고 있다는 비판이 쏟아진다.
대학 시스템에는 학생 및 교수, 교직원의 민감한 개인정보와 각종 연구자료 등이 저장돼 있어 유출·악용됐을 때 큰 피해가 발생할 수 있다. 대학의 보안 취약점 문제는 오래 전 부터 제기돼 온 것이지만, 많은 대학은 안전불감증인 상황이다.
심지어 대학이 의무적으로 획득해야 하는 정보보호관리체계(ISMS) 인증을 거부하며 집단행동을 지속하고 있다. 지난해 ISMS 규정이 개정되면서 국내 대학 중 37개 대학이 의무 대상에 포함됐다. 그러자 대학정보화협의회에서 다른 산업군과의 형평성을 문제 삼으면서 ISMS 인증을 거부했다.
대학의 ISMS 인증 거부에 대한 사회의 시각은 곱지 않은 편이다. 올해 초 협의회장이 바뀌고 여론의 따가운 시선이 모아지면서 협의회 차원의 집단 반발 입장은 한 발 물러선 상황이지만, 여전히 대학들은 이에 대해 서로 눈치만 보고 있는 상황이다.
자유로운 연구활동 위해 ‘보안’ 전제돼야
대학이 ISMS 인증을 거부하며 내세운 가장 큰 이유는 가장 민감한 정보를 갖고 있는 은행은 ISMS 의무대상이 아니며, 이전에는 대상으로 거론되지 않았던 대학이 의무 대상에 포함됐다는 것이다. 또한 ISMS 인증에 소요되는 비용이 과도하게 들며, 민간기업에 맞춘 ISMS 규제 항목은 비영리법인인 대학에 맞지 않는다는 점도 들었다.
대학의 주장은 많은 부분이 사실과 다르다. 은행은 금융기관을 위한 F-ISMS 인증을 받아야 하기 때문에 ISMS 인증 의무에서 제외된 것이 아니다. ISMS 인증에 비용이 많이 든다는 것도 사실과 다르다. 대학은 ISMS 인증에 수십억원이 든다고 주장하지만 실제로는 컨설팅 비용과 보안 시스템을 구비하는 비용이 소요된다. 보안 수준을 유지하기 위해서는 반드시 필요한 비용이다. 유사한 규모의 다른 기업의 경우, 대략 컨설팅과 시스템 구비 비용으로 2억원 가량을 지출하는 것으로 나타나며, 어떤 시스템을 구입하는지에 따라 비용은 달라질 수 있다.
대학이 ISMS 의무 대상이 된 것은 연 1500억원 이상 매출을 올리는 기업/기관에 해당하기 때문인데, 등록금과 정부지원금으로 1500억원 이상 매출을 올리는 종합대학이 2억원의 보안투자가 부담스럽다며 집단적인 반발에 나선다는 사실 자체도 납득하기 어렵다.
ISMS는 정보보호에 대한 전반적인 관리체계를 수립해 상시 운영하는 것에 초점을 맞추고 있으며, 정보시스템을 운영하는 모든 조직에 반드시 필요한 ‘보안정책’을 수립하는 것이 중요하다. 따라서 영리를 추구하지 않는 대학과 영리를 추구하는 기업에 같은 보안 체계를 요구하는 것은 부당하다는 대학의 주장 역시 설득력이 떨어진다.
대학의 집단 반발을 누그러뜨리기 위해 정부와 KISA는 지난해 인증수수료 감면과 컨설팅 비용 지원 등의 혜택을 주었지만 이에 응하는 대학은 한 곳 뿐이었다.
지상호 KISA 보안인증지원단장은 “대학은 ISMS로 보안 정책이 강화되면 자유로운 연구 활동을 통제받게 된다고 주장하지만, 보안이 보장되지 않은 상태에서 중요한 정보를 공유하는 것은 위험한 일이다. 제대로 된 보안 체계로 보호된 상태에서 자유로운 정보공유와 연구활동이 진행돼야 한다. 연구를 위해서도 보안은 반드시 필요하다”고 강조했다.
그는 이어 “올해 대학의 강경한 입장은 조금씩 누그러지고 있으며, 대학에서도 보안강화에 대한 입장 변화가 있다고 파악하고 있다”며 “관련 부처와 함께 대학을 설득해 나가는 중”이라고 밝혔다.
