충북대학교가 정보보호 분야 정규교과목과 현장실습, 산학협력 기반을 활용해 정보보호관리체계(ISMS) 인증 획득을 준비한다. 자체 정보보호 컨설팅 수행으로 외부 위탁·용역에 따른 비용 부담을 줄이고, 지역 전문인력을 양성한다. ISMS 인증 의무화로 대학가 반발이 거센 가운데 대학 환경에 맞춘 대안을 제시할 것으로 기대된다.
충북대는 가을학기부터 일반대학원 정보보호경영전공과 학부과정 보안컨설팅연계과정 학생을 대상으로 보안컨설팅, 개인정보보호 각 3학점씩 정규수업을 시작했다. 방학 중 인턴십(3학점)까지 포함해 총 12학점을 이수한다. ISMS 인증 수검을 대비하거나 인증 획득 후 보안 유지관리를 수행하는 과정이다.
정보보호 특성화 참여 학부생과 석·박사과정 대학원생이 모교 ISMS 인증주기 전반에 걸친 컨설팅 업무에 참여하며 실무 역량을 쌓는다. 아키섹컨설팅 등 산업체 실무자와 충북대 정보보호경영학과를 졸업한 보안컨설턴트가 멘토단으로 참여해 정보보호 교육과 컨설팅 수행 자문을 제공한다. 충북대 직원 대상으로도 정보보호 관리 역량 강화 활동을 한다.
자체 ISMS 인증 획득 추진 사례를 바탕으로 타 대학에서 참고할 수 있는 `대학교 ISMS 인증 가이드라인`도 배포할 계획이다. 나아가 대학 ISMS 추진 경험과 노하우를 살려 지역 내 영세·중소기업 정보보호 수준 제고를 지원한다.
특성화 연계 일환으로 ISMS/PIMS 전공(6학점) 이수자에게는 인증심사원 자격 요건에 이론·실습 경력으로 1년을 인정하는 제도 개선방안도 정부에 제안한다. 여러 대학 내 전공과목 개설을 유도해 ISMS 인증 관련 전문인력을 양성하고 인증제도를 활성화한다는 취지다.
김태성 충북대 정보보호경영전공 주임교수는 “보안업체나 보안컨설팅 전문업체(정보보호 전문서비스 기업) 대부분이 서울과 수도권에 집중돼 지역 대학이나 기업은 지원받는데 한계가 있다”면서 “대학이 스스로 정보보호 수준을 제고하고 지역별 선순환 정보보호 생태계를 구축하기 위해 학생이 참여하는 방안을 마련했다”고 말했다.
ISMS 인증제도는 올해 6월부터 시행된 개정 정보통신망법에 따라 의무대상이 비영리 기관을 포함한 교육·의료기관으로 확대됐다. 고등교육법상 재학생 수 1만명 이상인 학교와 세입 1500억원 이상 의료법상 상급종합법원 등 80여곳이 신규 의무대상에 포함됐다.
대학은 개정안 시행 이후 의무 대상 선정에 절차적 하자와 제도 실효성, 대학 환경 특수성과 여건 등을 문제 삼으며 거세게 반발했다. 전국 대학 전산책임자 등으로 구성된 대학정보화협의회 등은 전문가 토론회를 열어 ISMS 의무 적용 반대와 시행령 개정 요구 목소리를 높였다.
ISMS 제도 운영을 주관하는 한국인터넷진흥원(KISA)은 `예외는 없다`는 입장을 고수해 입장차가 뚜렷한 모습을 보였다. 미래부 역시 최대한 의견을 수용돼 대학의 인증 참여를 이끌어간다는 방침이다.
박정은기자 jepark@etnews.com
