“ISMS 시행 취지를 대학총장 등이 이해해야 합니다.”
정보보호 전공 교수들은 ISMS 인증 의무화에 의사 소통 부족을 지적한다. 정부와 대학 간 이해 부족에서 온 문제로 진단했다.
대학은 과거부터 해킹 경유지로 악명을 떨쳤다. 교육부는 7월 `2016 교육기관 정보보호 콘퍼런스`에서 침해사고 통계를 공개했다. 교육기관 침해 사고는 2014년 3만8000건과 2015년 4만건, 올해도 6월까지 2만건이 넘게 발생했다.
대학은 교육부가 실시하는 정보보호 수준 진단에서도 낮은 점수를 받았다. 올해 정보보호 수준 진단 결과 국공립대 평균 점수는 81.18, 사립대는 72.76이다. 교육기관이나 관련 공공기관은 각각 87.64, 88.41이다.
교육기관은 급증하는 지능형지속위협(APT) 공격 등으로부터 기관을 보호하는 전문 인력과 예산 부족에 시달렸다. 정보보호와 개인정보 업무를 분리하지 못하고 함께 처리하는 곳이 많다.
박춘식 서울여대 정보보호학과 교수는 “대학 ISMS 인증 의무화를 앞두고 정책 사전 홍보와 고충 등에 대한 설명이 부족했다”고 지적했다. 박 교수는 “미래창조과학부가 직접 대학총장 등에게 정책 취지를 설명하자”면서 “대학 운영 최고결정권자가 ISMS를 충분히 이해해야 문제가 풀린다”고 덧붙였다.
김승주 고려대 정보보호대학원 교수는 “학교 전산시스템에 저장된 자료는 학생이 주인”이라면서 “대학이라고 예외일 수 없으며, 기본으로 받아야 한다”고 말했다. 김 교수는 “외국 대학은 보안 수준을 높이기 위해 외부 전문가의 도움을 받을 것을 권고한다”면서 “학교 전산시스템에는 학생 개인정보, 성적 등 매우 민감한 정보가 대거 저장됐다”고 부연했다.
<교육행정기관 침해 사고 (단위:건)>
<교육기관 정보보호 수준진단 (자료: 2016 교육기관 정보보호 컨퍼런스)>
김인순 보안 전문기자 insoon@etnews.com
