국내 대학이 정보보호관리체계(ISMS) 인증 의무화에 대해 집단 보이콧을 이어가고 있는 가운데, 순천향대(총장 서교일)가 최근 ISMS 인증 심사를 신청해 향후 다른 대학에서 변화가 일어날지 관심이 모아지고 있다.
순천향대학교는 한국인터넷진흥원의 ISMS 구축 컨설팅 지원사업을 진행하면서 ISMS 인증 의무 규제를 준수하는데 앞장서고 있다.
ISMS 인증제도는 주요 정보자산 유출과 피해 방지 등 정보통신망의 안전성과 신뢰성 확보를 위해 기업, 기관이 스스로 수립 운영하는 정보보호체계가 적합한지 한국인터넷진흥원이 심사해 인증을 부여하는 제도다.
전창완 순천향대 기획처장은 “인증을 통해 보다 체계적이고 종합적인 정보보호 대책을 구현함으로써 대학의 정보보호 관리 수준을 향상 시킬 수 있고, 이를 통해 해킹, DDoS 등의 침해사고 발생 시 신속하게 대응하는 등 피해 및 손실을 최소화는 물론 정보보호 분야 투명성 제고에도 기여할 수 있을 것으로 기대된다”고 말했다.
대학, ISMS 인증 반발 실마리 풀릴까
ISMS는 지난해 의무 대상이 확대돼 고등교육법상 재학생 수 1만 명 이상의 학교, 세입 1500억 원 이상 의료법상 상급병원 등 민감 정보를 다루는 비영리 기관을 의무 대상에 포함시켰다.
병원은 ISMS 규제 준수를 위한 노력을 순조롭게 진행하고 있으며, 순천향대학교 부속 부천병원이 지난해 10월 인증완료한 후 다른 종합병원 6개 병원이 인증을 획득했다. ISMS 인증을 획득하면 과학기술정보통신부 주관 사업 선정 시 인센티브를 부여받을 수 있으며 문서, 소장, 광고 등에 정보보호관리체계 인증을 표시할 수 있다.
그러나 대학은 등록금 인상에 제약을 받고 있어 정보보호에 투자할 여력이 없으며, 다른 산업군과의 형평성에도 문제가 있다며 집단적으로 반발하고 있다. 대학들은 ISMS 인증 중 망분리에만 100억원 이상 소요된다는 주장까지 펼치면서 ISMS 인증의 부당성을 강조하고 있지만, 업계의 반응은 싸늘한 편이다. 대학이 주장하는 것 처럼 ISMS 인증에 예산이 많이 소요되는 것은 아니며, 대학의 정보보호 투자가 절대적으로 부족한 것은 부인할 수 없는 사실이기 때문이다.
일각에서는 ‘대학이 해커의 놀이터가 되고 있다’는 비판까지 나오고 있다. 올해 초 국내 대학 30여곳이 해킹을 당한 사실이 알려졌으며, 중국발 해킹으로 의심되는 사고도 15개대학에서 발생했다. 최근 5년간 대학을 대상으로 한 해킹 공격이 16배 증가했다는 분석도 있는데, 대부분의 침해사고는 KISA 등 외부 기관에 의해 알게 된 것으로, 실제 사고는 이보다 훨씬 더 많이 발생하고 있는 것으로 보인다.
업계에서는 “대학이 해커들의 공격을 집중적으로 받고 있는데, 적어도 정보호호 관련 학과가 있는 대학에서 먼저 정보보호 투자에 나서야 하는 것 아닌가”라고 꼬집는다. 이처럼 대학의 집단 반발을 바라보는 시각이 곱지 않음에도 불구하고 대학들은 ISMS 인증에 투자하느니, 과태로 3000만원을 내는 것이 낫다고 버티고 있다.
한편 과학기술정통부와 한국인터넷진흥원(KISA)은 지난달 전국 133개 대학 정보화 책임자 모임인 대학정보화협의회와 협의체를 구성하고 이 문제를 해결하는데 나설 계획을 밝힌 바 있어 향후 어떠한 변화가 있을지 주목된다.
