미래창조과학부·한국인터넷진흥원(KISA)과 대학이 ISMS 의무화 대상을 놓고 극명한 온도차를 보이고 있다. 양 측의 입장을 조율하고 의견을 수렴하기 위해 지난 8일 토론회까지 열었으나, 여전히 정부와 대학은 서로의 주장만 확인한 채 평행선만 달리고 있는 상황이다.

지난 6월 미래창조과학부(이하 미래부)는 ISMS 의무 대상에 학부 재학생 1만명 이상의 대학교를 추가했다. 이에 전국 133개 대학교 및 대학의 정보화 책임자 모임인 한국대학정보화협의회(이하 협의회)는 시행령 개정을 요청했고, 미래부와 KISA는 의무대상에 대학을 제외할 수 없다는 입장을 고수하고 있다.

협의회는 추후 대학 총장, 국회의원들과 함께 공청회를 열고 ISMS 의무화에 대한 문제제기를 할 계획이다.

◆차·포 빠진 ISMS, 이해관계에 반쪽짜리로 전락=당초 권은희 전 새누리당 의원이 2014년 ISMS 의무대상 확대를 골자로 한 개정안을 발의했을 때 민감정보를 취급하는 의료기관과 교육, 에너지 기관은 인증 의무대상에 포함돼 있었다. 에너지 관련 시설은 국가에서 주요 정보 통신 기반 시설로 별도로 관리하기 때문에 추후 제외됐다.

이후 미래부는 연간 매출 또는 세입이 1500억원 이상이면 ISMS 인증을 모두 받도록 추진했으나, 범위가 너무 넓다는 이유로 시행령을 통해 축소 과정에 들어갔다.

지난 2월 입법예고된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 시행령과 시행규칙 개정안에서는 매출 또는 세입이 1500억원 이상 업체 중 의료기관 및 금융업종 전체, 이외 업종은 일평균 이용자수 1만명 이상 사업자가 ISMS 의무화 대상으로 규정됐다.

하지만, 금융권은 의무 대상에서 곧 제외됐다. 규제개혁위원회에서 중복 규제 등을 이유로 개선권고를 내렸기 때문이다. 규제완화 정책에 따라 공공기관 및 일반 사업자로의 대상 확대도 무산됐다. 이 과정에서 ISMS의 실효성 논란이 이어졌다.

결국, 정보보호 관리체계 인증 신규 의무대상은 세입 1500억원 이상인 의료법상 상급종합병원, 고등교육법상 재학생수 1만명 이상인 학교로 결정됐다.

업계 관계자는 “정부 정책 기조가 규제 완화인데, ISMS 의무 대상이 확대되는 것이 부담스러웠을 것”이라며 “당초, 필요한 분야에 인증을 모두 받게 하자는 취지였는데 진행과정에서 최소한의 법개정이 이뤄지며 너무 많이 제외됐다”고 말했다.

◆정부-대학, ISMS 이견 ‘도돌이표’=이러한 가운데 대학 측은 금융기관 등이 제외됐고, 대학 현실과도 맞지 않는 ISMS 인증을 수용하지 못하겠다고 거세게 반발하고 있다. 정부는 내년까지 ISMS 인증을 연기하고 최소한이라도 도입하자고 설득하고 있지만, 의무대상 제외는 고려하지 않고 있기 때문에 대립각을 세울 수밖에 없는 상태다.

협의회는 ISMS 인증을 모두 받으려면 38개 대학 전체적으로 최초 인증에 2400억원, 매년 유지비로 650억원이 필요하다고 주장하고 있다.

최철호 한국대학IT관리자협의회 소속 보안 전문 실무자(과장)는 “대학의 경우, 97.6%가 내부망이며 홈페이지 서버만 1200대가 존재하고, 연구실과 실습실에도 수많은 서버가 있다”며 “ISMS를 받게 되면 모든 홈페이지가 1차적 대상이며 연구망 서버까지 확대될 수 있기 때문에 허황된 금액이 아니다”고 말했다.

최 과장은 내부망 보안 문제가 해결되지 않은 상태에서는 KISA에서 제시하는 것처럼 일부만 ISMS 인증을 받더라도 결국 보안사고는 발생할 수밖에 없다고 우려했다. 또한 대학망은 폐쇄적인 기업망과 달리 학생들이 외부에서 접근할 수 있어야 하고, 연구활동 공유 등을 위해 자유로운 연결이 필요하다는 것이다.

이어 “대학의 고유성 및 현실을 반영하지 않았기 때문에 ISMS 인증은 현실적으로 어렵다”며 “KISA와 미래부에서는 시작하는 것에만 의의를 두고 있지만, 실제로 ISMS는 대학 내부망에 존재하는 엄청난 수의 서버에 대한 보안을 효율적으로 해결할 수 있는 인증이 아니다”고 덧붙였다.

정부는 협의회 측 주장이 터무니없다고 반박하고 있다. 통상적으로 ISMS 구축 때 규모에 따라 차이는 있으나 5000만원에서 1억원가량 소요된다는 것이다. 운용 인력 채용까지 합쳐도 협의회에서 제기한 금액과는 괴리가 크다는 것.

지상호 KISA 보안인증지원단 단장은 “쇼핑몰도 ISMS 인증을 받은 곳이 있는데, 2400억원이나 비용이 들어간다면 어느 누구도 인증을 받기 힘들 것”이라며 “어려움을 토로하니 정부에서 인증 수수료 부분을 지원할 수 있는 예산을 마련할 예정”이라고 제언했다.

또 “컨설팅을 받아 ISMS을 구축하게 되면 평균적으로 5000만원~1억원 정도 들어가며, 장비 도입 및 시스템 변경에 따른 비용이 추가로 투입될 수 있으나 대학들은 대부분의 시스템을 갖추고 있다”며 “한 번에 다 바꾸라는 것이 아니라, 기존 장비에서 천천히 도입해 발전시켜 구현하자는 것”이라고 말을 보탰다.

이처럼 정부는 대학의 ISMS 인증 도입에 주안점을 두고 있다. 시작부터 하자는 것이다. 그러나 대학 현실과 맞지 않는 ISMS를 적용할 수 없다는 협의회는 시행령 개정을 요구하고 있어, 양 측의 신경전은 지속될 것으로 보인다.

<최민지 기자>cmj@ddaily.co.kr