동국대가 정보보호관리체계(ISMS) 인증을 신청했다. 시범 사업을 한 순천향대를 제외하면 첫 사례다. 2년 넘게 인증을 집단 거부했던 대학 ISMS 인증을 시작하는 신호탄이다.
과학기술정보통신부는 동국대가 ISMS 인증 신청을 했다고 19일 밝혔다. 정부는 2016년 6월 정보통신망법 시행령 개정에 따라 대학을 ISMS 의무화 대상으로 지정했다.
ISMS는 기업이나 기관이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호 관리체계가 기준에 적합한지 심사해 인증하는 제도다. 한국인터넷진흥원이 적합성을 종합 심사해 인증한다.
대학 정보통신처장이 모인 대학정보화협의회(대정협)는 법 개정 후 2년간 대학 현실을 반영하지 않은 법은 따를 수 없다며 집단 반발했다. 대정협은 현행 ISMS가 대학 현실에 맞지 않게 무거운 체계인데다 비용 부담이 크다며 단체 거부했다.
과기정통부는 지난해 ISMS 인증을 받은 대학이 한 곳도 없었지만 과태료를 부과하지 않고 설득을 지속했다. 대학을 직접 찾아다니며 ISMS 필요성과 방법을 설명했다. 대학에 꼭 필요한 부분만 ISMS를 받게 인증 범위도 조정했다.
강경했던 대정협은 4월 대학 스스로 ISMS 인증 여부를 결정키로 한 발 물러섰다. 대정협은 한국대학교육협의회에 보고한 후 ISMS 인증을 각 대학이 정하는 방향으로 입장을 바꿨다. 이후 동국대가 자발적으로 ISMS 인증을 신청했다.
인증 의무 대상 대학은 41곳이다. 순천향대는 지난해 ISMS 시범사업에 참여해 올 3월 인증을 획득했다. 대학 학사행정 시스템 전반에 인증을 받았다. 유효기간은 2021년 2월 까지다.
ISMS 심사와 인증에 통상 5~9개월이 소요되는 것을 감안하면 동국대도 올해 안에 인증을 획득할 것으로 보인다. 동국대 외 20여개 대학이 ISMS 인증 신청을 문의하고 절차를 준비 중인 것으로 알려졌다.
과기정통부 관계자는 “2년에 걸쳐 대학을 일일이 찾아다니며 ISMS 인증을 설명하고 시작할 환경을 조성하는데 집중했다”면서 “대학이 규제로 받아들이기보다 함께 정보보호 수준을 올릴 수 있는 계기로 만들 것”이라고 말했다. 이어 “예산 절차가 복잡한 국립대는 시간이 더 소요될 전망”이라면서 “사립대가 먼저 ISMS를 받을 것으로 기대한다”고 덧붙였다.
ISMS 인증심사는 해당 기관 보안 문제점을 파헤쳐 담당자를 문책하는 게 아니다. 신청기관이 운영 중인 관리체계 미흡점을 발견해 개선하는 목적이다. CEO와 경영진 참여 의지, 정보보호 업무 전담 조직 구성이 중요하다. ISMS 인증은 침해사고를 최소화는 노력이며 해킹이 100% 나지 않는다고 보장하는 건 아니다. 인증 후에도 지속해 기준을 준수하고 유지해야 한다. 의무대상이 인증을 받지 않으면 정보통신망법 제76조에 근거해 3000만원 이하 과태료가 부과된다.
김인순 보안 전문기자 insoon@etnews.com
