ISMS 미인증 대학 17곳, 내달 3000만원 과태료

ISMS 미인증 대학 17곳, 내달 3000만원 과태료

대학 정보보호관리체계(ISMS) 인증 의무화 제도가 시행된 지 3년이 지났지만 대상 대학 가운데 절반 정도만 인증을 받았다. 나머지 대학은 예산 부족과 이중규제를 이유로 인증을 거부했다. 과학기술정보통신부는 대학 사정 등을 감안해 과태료 부과를 2년 유예한 만큼 더 이상 물러서기 어렵다는 입장이다. 다음 달부터 미인증 대학에게 과태료 3000만원을 부과할 방침이다.

21일 과기정통부에 따르면 현재까지 ISMS 인증을 완료한 대학은 순천향대, 동국대 등 25개 대학에 그친 것으로 나타났다. 전체 42개 대학 가운데 17개 대학은 예산·인력 문제 등을 들어 인증을 신청하지 않았다. ISMS 인증은 통상 6~9개월의 인증 준비 기간이 필요해 현재까지 완료하지 못한 대학 대부분이 과태료 처분 대상이다.

과기정통부 관계자는 21일 “부산대, 강원대 등 인증 대상 대학이 아직까지 인증 신청을 하지 않았다”면서 “8월 31일 이후 인증 신청을 하지 않은 대학에는 3000만원 과태료를 부과할 방침이다. 인증 노력에 따라 50%까지 감면이 가능하다”고 말했다.

ISMS는 기업, 기관이 주요 정보 자산을 보호하기 위해 수립·관리·운영하는 ISMS가 기준에 적합한지 심사해 인증하는 제도다. 한국인터넷진흥원(KISA)이 적합성을 종합 심사해서 인증을 부여한다.

대학은 종합병원과 함께 2016년 6월 2일 시행된 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법) 개정에 따라 ISMS 인증 의무 대상에 포함됐다. 운영 수입 1500억원 이상, 학부 재학생 1만명 이상 대학교(42곳)가 해당됐다. 대학이 연구 자료, 학생 개인정보 등 중요 정보를 보유하고 있지만 정보 보호 수준이 미흡하다고 판단함에 따라 의원 입법 발의로 시행됐다.

대학은 인증에 대한 불만을 지속해 밝혀왔다. 과도한 인증비용, 교육부 진단과 중복되는 규제라고 주장하며 인증제 도입을 거부했다. 대학은 교육부에서 수립한 정보보호 관리수준 진단표에 맞춰 항목별로 정보보호 수준을 입력, 공시한다. 대학은 교육부 정보보호 관리수준 진단이 ISMS와 상당부분 겹쳐 사실상 이중규제나 다름없다는 입장이다.

대학정보화협의회는 “등록금 동결로 예산이 충분하지 않은 상황에서 ISMS 인증을 위한 비용투자는 현실적으로 불가능하다”면서 “교육부의 정보 보호 수준 진단과 중복되는 부분이 많아 이중 규제”라고 반발했다. 협의회는 “이미 자체 보안 체계를 갖춘 대학이 많다. ISMS 인증을 신청하면 추가 비용이 든다”고 덧붙였다.

과기정통부는 예산 등 대학의 어려움을 감안해 법 시행 이후 2017년, 2018년 두 차례 유예 기간을 부여했다. 정부는 그동안 시범사업, 가이드라인 배포 등을 지원했다. 대학 측 문제 제기와 달리 대학 당 인증 평균비용이 1억원 이하로 최대 2억원을 넘지 않아 과도한 예산 집행은 아니라는 게 정부 입장이다. 의무 대상인 종합병원은 대학과 달리 모두 인증을 받았다.

ISMS 미인증 대학 17곳, 내달 3000만원 과태료

과기정통부는 이미 법 시행을 두 차례 유예한 만큼 추가 유예는 없다는 입장이다. 다만 대학 현실, 교육부 정보 보호 수준 진단 강화 등을 반영해 협의는 열어뒀다.

과기부 관계자는 “대학이 제기하는 부분을 충분히 이해하고 있지만 이미 법으로 정하고 있고, 두 차례 유예 기간까지 둔만큼 더 이상 유예는 어렵다”면서 “교육부의 정보보호 관리수준 진단과 ISMS 인증이 중복되는 부분은 교육부와 협의해 개선 방향을 찾고 있다”고 밝혔다.

염흥열 순천향대 정보보호학과 교수는 “대학이 학생 개인 정보, 학사 정보 등을 갖고 있어 침해 사고가 발생하면 사회 혼란을 부를 수 있다”면서 “ISMS 인증이 결국 대학의 보안 유지에 도움이 되는 만큼 의지를 발휘해서 보안 투자에 우선을 둬야 한다”고 말했다.

정영일기자 jung01@etnews.com, 전지연기자 now21@etnews.com