ISMS 인증 의무화 ‘대학’ 강력반발…‘시행령 개정’ 요구에 미래부 ‘기한유예·지원 확대’
정보통신망법과 시행령 개정으로 정보보호관리체계(ISMS) 인증이 새롭게 의무화된 대학이 강력 반발하고 있다.
ISMS 인증 의무대상 요건에 매출 또는 세입 1500억원 이상 요건이 추가된 정보통신망법은 지난 6월2일 시행됐다. 이에 기반해 세입이 1500억 이상인 의료법상 상급종합병원, 고등교육법상 재학생수 1만명 이상인 학교가 ISMS 인증 신규 의무대상에 포함됐다.
한국인터넷진흥원(KISA)에 따르면, ISMS 의무화 대상은 대학이 37곳 병원이 43곳이다. 지난 5월 진행된 규제개혁위원회 심의에서 금융사는 의무대상에서 제외됐다. 신규 의무대상은 법 시행 후 6개월 이내에 ISMS 인증을 받아야 한다. 이를 이행하지 않으면 개정 법에 따라 3000만원 이하의 과태료가 부과된다. ISMS 인증 심사항목은 12개 보안관리 과정, 92개 보안대책 등 총 104개다. 유효기간은 3년이다.
주무부서인 미래창조과학부와 국회 등에 부당하다는 의견을 전달하고 해결책을 모색하려 했던 대학정보화협의회와 한국대학교육협의회, 한국교육전산망협의회, 전국대학IT관리자협의회는 급기야 공동으로 토론회까지 개최했다.
‘ISMS 실효성과 대학 의무인증의 문제점’을 주제로 8일 오후 프레스센터에서 진행된 토론회에서는 대학과 미래부 사이에 팽팽한 줄다리기가 이어졌다.
이날 대학쪽 패널과 참석자들은 ISMS 인증 의무화는 과잉규제에다 중복규제라는 입장을 분명히 했다. 또 개정된 시행령 시행 직전에 금융사는 대상에서 빠진 대신에 대학 등 비영리기관이 포함된 것과 법 개정 과정에서 교육부와 대학 입장은 배제돼 절차상 문제가 있다고 지적했다. 정보보호 인력과 재원 부재 등 현실적인 어려움도 토로했다.
이를 근거로 미래부에 정보통신망법 시행령 개정 등을 요청한 상태다.
토론회 시작에 앞서 김규태 대학정보화협의회 회장(고려대)은 “ISMS 인증 의무화는 교육현장의 현실을 고려하지 않은 탁상공론이고 과잉규제로 액티브엑스(ActiveX)와 공인인증서에 준하는 문제의식을 갖고 있다”며 “대학 관련 모든 협의회와 함께 시행령을 비롯한 법률 개정을 위해 우선 노력하고 있다. 그리고 ISMS 인증을 받을 경우 대학에서 나타나는 문제를 살펴봐야 한다”고 밝혔다.
“ISMS 의무화 강제는 부당한 과잉규제, 다른 정보보호 규제와 중복돼 부담 가중”
이날 토론자로 참여한 이정태 아주대 중앙전산원장(소프트웨어학과 교수)은 “ISMS 인증 대상에 대학을 포함한 것은 과잉규제·중복규제이고 이중처벌 논란의 여지도 있다. 법 개정 과정에서 절차적 하자가 있고, 인증비용 지출을 강요한다는 점에서 기본재산권 침해에 해당할 수도 있다”고 말했다.
그는 “대학은 정보통신망의 안전성을 확보하기 위해 ISMS와 개인정보영향평가(PIA), 교육부 개인정보 수준진단을 모두 받아야 하는데, 이는 중복된 행위와 일이 수반된다”며 “대학은 정보보호 문제가 생기면 책임자가 문책을 당하는 것은 물론 행정자치부 과태료 부과 등 처벌 대상이다. ISMS 인증을 받지 않아도 과태료 처분을 받는다. 이 역시 통념상 이중처벌”이라고 주장했다.
또 “시행령 개정에 교육부도 반대의견을 제시한 것으로 알고 있다. 이에 대한 적절한 대응조치를 했는지 의구심이 있다. 또 규제개혁위원회 회의에서는 교육부나 대학관계자가 참석하지 않았다. 피규제자인 대학은 배제됐다”며 절차상 문제를 지적했다.
이 원장은 “ISMS는 중요하고 반드시 시행돼야 하지만 법적 강제화는 자율규제라는 세계적 추세에도 역행하는 시대착오적 제도다. ‘강제’라는 무리수를 두려다 보니 공식적으로 금융사는 ISMS를 면제해 면죄부를 주게 된 것처럼 역효과가 나고 있다”고 강조했다.
토론자로 참여한 김가연 오픈넷 변호사도 ISMS 의무화 반대에 힘을 실었다. 오픈넷이 오랜기간 주도해온 공인인증서 강제 반대 운동의 취지와 과정을 설명하면서 ISMS 인증 의무화도 공인인증서를 강제하는 것과 비슷한 문제로 취급했다.
김 변호사는 “ISMS 인증 의무화는 여러 문제가 있다”며 ▲정보보호컨설팅 시장을 확대하기 위해 도입한 과정부터 ▲인증 받은 기업도 보안사고가 일어날 수 있다는 점에서 인증자체 실효성이 부족하다는 점 ▲보안사고시 인증받은 기관은 면책될 소지가 있어 이용자에 피해가 전가될 수 있고 ▲갈라파고스 규제이며 ▲ISMS 인증 과정에서 심사원과 컨설팅업체 등 간에 커넥션이 생길 수 있다는 문제점을 꼽았다.
그는 “인증을 폐지하라는 것이 아니라 강제는 하지 말라는 것”이라며 “ISMS 인증은 각 기관이 알아서 선택해야 할 문제다. 정부는 개입을 자제해야 한다. 보안 시장의 새마을운동은 더이상 안했으면 한다”고 말했다.
미래부 “제도 시행 목적·절차 합당, 의료·교육기관 보호체계 강화 필요성 충분”
이에 대해 김기홍 미래부 사이버침해대응과 사무관은 정보통신망법 개정 목적이 합당하고 합법적인 절차에 따라 이뤄졌다는 점을 강조했다.
개정 과정에서 의료기관과 교육기관은 침해사고가 심각한 수준임에도 보호조치가 미흡하다는 것이 지적돼 이를 반영한 것이란 설명도 덧붙였다. 의무대상 검토와 심의 과정에서 대학 구성원들의 정보를 보호하고 중요 연구성과 유출을 막기 위해 정보보호 체계 강화 필요성이 제기됐다는 것이다. 보유정보의 중요성, 보안수준, 사고 발생빈도 등을 고려해 교육·의료분야로 의무대상을 우선 확대하기로 했다.
절차상으로는 정보통신망법이 개정·시행된 후 시행령에 따라 ISMS 의무대상 확대기준을 입법예고했고, 국무조정실 사전 검토와 규제개혁위원회 심의를 거쳤다.
“교육 분야 침해사고 심각성·해킹 빈도 ‘과장’, 대학 현실 반영해야”
하지만 대학 관계자들은 교육기관의 침해사고 수준이 심각하다는 것이 과장된 수치를 근거로 하고 있다고 맞받아쳤다.
이날 고려대에서 온 한 참석자는 미래부 자료에 담긴 ‘5년간 대학, 교육청 등 교육기관에서 12만건의 해킹이 발생했다’는 내용 등을 들어 “과대포장된 수치”라며 “이 엄청난 해킹 발생 수치는 침입방지시스템(IPS)에서 발생한 이벤트의 양으로 보인다. 한국인터넷진흥원의 동향보고서만 봐도 침해사고 발생건수는 금융기관 3600건, 교육기관 103건으로 금융기관이 훨씬 많다”고 말했다.
그는 “대학 웹사이트 악성코드 유포 등 침해도 대학이 운영하는 공식 사이트가 아니라 연구실이나 동아리에서 운영하는 경우가 많다”고 했다.
대학의 현실을 고려해 제도를 순차적으로 시행해야 한다는 목소리도 나왔다.
서강대 관계자는 “정보보호팀을 운영하고 있는 학교는 거의 없다. 서울대 외에는 대부분의 대학에 정보보호담당자가 부재한 실정”이라며 “최근 대학마다 재정이 어려워지면서 정보통신 관련 사업비 지출도 어려운 상황이다. 정보보호는 강화해야 하지만 이제 막 걸음마를 배운 아이에게 뛰라고 할 수는 없지 않는가”라고 토로했다. 그는 “한 번에 ISMS를 다 받으라고 할 것이 아니라 순차적으로 할 수 있도록 해줘야 한다”는 의견을 냈다.
대학정보화협의회는 3만명 규모의 대학이 ISMS 인증을 완전히 받을 경우 2억원 가량의 컨설팅 비용, 1600만원 가량의 인증 심사비용, 91억원 가량의 체계 구축비용이 드는 것으로 추산하고 있다. 보안인증에 필요한 인건비 등을 포함해 매년 25억의 유지비가 들어갈 것으로 추정했다.
38개 대학이 ISMS 인증을 처음 받을 경우 2400억원, 그 유지비로 650억원이 들 것으로 추산하고 있다.
이에 대해 김 사무관은 “시스템 전체를 갈아엎으란 얘기가 아니다. 정보보호를 위한 관리체계와 절차를 마련하고 이를 제대로 할 수 있도록 요구한다”고 설명했다.
김 사무관은 “ISMS 인증기준은 공통으로 적용 가능한 범용기준이다. 조직 전반의 정보보호관리체계, 정보통신망 안전성을 점검하는 기준”이라며 “인증 전에 대상기관과 인증범위를 정하고 적합한 인증기준을 선별하게 된다. 대학, 병원도 인증을 진행할 때 사전 협의를 거쳐 결정한 후에 진행될 것”이라고 덧붙였다.
2017년까지 인증기한·과태료 부과 유예, 인증범위 단계적 확대
미래부는 대학의 반발이 거세지자 인증 준비 부담 등을 감안해 2017년까지 인증기한을 한시적으로 유예하고, 과태료 부과도 2017년 말까지 유예한다는 방침을 수립했다.
의무대상 대학 1~2곳을 선정해 연내 시범인증을 실시한 뒤 도출되는 개선사항을 공유하고, 제도 개선에도 반영할 계획이다. 대학별 시스템이 달라 개별 협의를 거쳐 인증범위와 심사기준, 일정 등을 세부 협의한다는 것이다.
최초 심사 인증범위는 정보화 조직에서 직접 관리하는 학사행정 시스템을 우선으로 하고, 갱신심사에서 학교 홈페이지와 입학행정시스템 등으로 확대하는 방식으로 단계적 확대한다는 방침도 마련했다. 아울러 미래부와 인터넷진흥원(KISA) 공동으로 ISMS 인증 지원반을 구성, 인증 전 과정에서 실무를 지원하고 ISMS 운영 교육 등도 추진할 예정이다
김 사무관은 “정보보호를 규제 관점에서 보기 보다는 총장을 비롯해 학교 내 의사결정자들이 정보보호 수준을 강화하는데 있어 지지를 이끌어낼 기회로 삼았으면 한다”며 “대학의 현실과 특성을 고려해 최대한 지원하겠다”고 밝혔다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network