그동안 지적돼온 교육기관의 부실한 정보보안 실태가 객관적으로 드러났다.
16일 교육과학기술부에 따르면 지난해 말 전국 16개 시·도 교육청 및 368개 대학을 상대로 실시한 ‘정보보호 수준진단’의 평균점수가 50∼60점(100점 만점)에 그치는 것으로 밝혀졌다.
수준진단은 정보보호 기반조성 및 침해사고 대응체계 등 5개 항목 14개 부문 66개 세부 지표로 구성됐다. 지난해 11월부터 자가진단 템플릿을 통해 대학 측이 스스로 보안수준을 진단하도록 했으며 진단 결과의 신뢰성 확보를 위해 대학 총장 명의의 보고서를 제출토록 하고, 40여개 샘플 기관을 선정해 2차 현장진단도 실시했다.
진단결과 대학의 정보보안 관리 수준이 크게 미흡할 뿐만 아니라 국립·사립대와 서울·지방 소재 대학 간의 격차도 큰 것으로 나타났다. 이용해 교과부 정보보호팀장은 “진단 결과 예산이 비교적 균형있게 짜여지는 국립대보다 사립대와 지방 소재 대학의 정보보호 시스템이 더 부실한 것으로 드러났다”며 “대학들이 정보보안의 중요성에 대해 인식은 하고 있지만 실제로 시스템 투자 등에는 소극적이다”고 말했다.
전문가들은 정보보호책임자(CISO) 제도 등 대학 차원에서 보안 전문 인력과 적정 예산을 확보할 수 있도록 이번 정보보호 수준진단 결과를 가감없이 공개해야 한다는 지적이다. 특히 사립대학의 경우 학교 본부의 인식 수준에 따라 보안 관련 예산의 변화 폭이 클 수밖에 없어, 진단 결과가 나와야 정보 보안 강화 움직임도 구체화될 수 있다는 주장이다.
서울 소재 사립대학 전산처 관계자는 “대외적으로 발표되지 않는 진단 결과에 학교 측이 신경을 쓸 것이라고는 보기 어렵다”며 “학내 정보보안에 대해 경각심을 고취시키려면 이번 진단 결과를 발표하고 대학별 순위도 공개해야 한다”고 주장했다.
그러나 교과부는 당초 지난 1월로 예정했던 진단결과 발표를 계속 미루고 있다. 수준진단의 객관성이 아직 담보되지 않았다는 것이 표면적 이유지만, 예상보다 결과가 크게 미흡하고 대학 간 격차도 워낙 커 공식적인 발표를 꺼리고 있다는 지적이다.
이용해 교과부 팀장은 “일부 지방 소재 중소 대학은 신입생 충원도 여려운 마당에 사실상 정보 보안에 신경쓸 여력이 없다”며 “공개 여부를 놓고 좀 더 대학들의 의견을 수렴할 계획”이라고 밝혔다.
황태호기자 thhwang@etnews.co.kr
