지난 2월 입법예고된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 시행령과 시행규칙 개정안에서는 대학이 명시돼 있지 않다는 것이다. 입법예고안에는 매출 또는 세입이 1500억원 이상인 의료기관 및 금융업종을 의무대상으로 규정하고 있다. 그러나 금융업종은 규제개혁위원회 회의를 통해 중복규제라는 이유로 제외된다.

최철호 한국대학IT관리자협의회 소속 보안 전문 실무자(과장)는 “규제개혁위원회 권고로 모든 금융기관이 제외됐는데 이는 중대한 하자”라며 “심지어 규제개혁위원회 구두 발표 때 말한 것과 공문에서 밝힌 중복규제 비율조차 다르다”고 말했다.

금융위원회가 지난 2월23일 시행령 개정안에 대해 제출한 의견에서는 금융회사의 경우 ISMS 인증과 내용이 유사한 전자금융감독규정에 의해 검사·감독하고 있다고 중복규제를 우려했다. 또, ISMS 점검 항목의 73.9%가 전자금융감독규정에 포함된다고 주장했다.

반면, 은행협회는 5월13일 열린 규제개혁위원회 회의에서 금융회사의 경우 기존의 정보보호관체계와 ISMS가 약 90% 중복되며, 차이가 나는 10%를 위해 추가 인증을 받는 것은 불합리하다고 했다.

또한, 대학 측은 일평균 이용자수 1만명 이상에서 재학생수 1만명으로 변경된 부분도 문제 삼았다. 당초 입법예고안에서는 이용자수 기준이었는데 돌연 재학생수로 변경됐고 이 과정에서 미래창조과학부(이하 미래부)와 잡음도 있었다는 것.

최 과장은 “미래부와 한국인터넷진흥원(KISA)에서는 일평균 이용자수가 1만명 이상 되는 곳이 대학뿐이라고 했는데, 입법예고안에 대학은 명시돼 있지도 않았다”며 “미래부는 랭키닷컴 자료를 근거삼아 고려대 일평균 이용자수를 5만6000명이라고 했는데, 구글 애널리틱스에 따르면 4400명에 불과하다”고 설명했다.

이어 “관계부처가 의견을 나눴지만, 미래부는 목표를 관철하기 위해 의견교환을 한 것 뿐”이라며 “대부분 단순검색만 이용하기 때문에 이용자수 산정에 문제가 있다고 했는데, 결국에는 재학생 1만명으로 바꾸면서까지 대학을 포함시켰다”고 부연했다.

교육부는 미래부에 입학시험·수강신청 등 특정기간에 홈페이지 이용자가 폭주해 의무대상자에 포함됐으나 중요정보가 송·수신되는 경우가 아닌 단순 정보검색이 다수라며 이용자수 산정방식에 문제를 제기했다. 이에 대해 미래부는 랭키닷컴 자료를 이용해 지난해 일평균 이용자수는 연평균 5만6284명이며, 10~12월 평균은 5만7872명이라고 불수용 의견을 전했다.

이에 대해 대학 측은 고려대의 경우, 구글 애널리틱스에 따르면 연간 일평균 이용자수는 약 4400명이며 연말 3개월은 약 6800명에 불과해 요건에 한참 미치지 못했다고 반박했다.

당초 교육부는 비영리 고등교육기관을 인증 의무대상에 포함시키는 것은 부적절하고, 일일 사용자수와 정보보안 수준과는 직접적 관계가 미흡해 대학이 자율적으로 시행하는 것이 바람직하다는 입장이었다. 현재 교육부 측은 대학과 미래부 간 협의해야 할 내용이라며 말을 아끼고 있다.

미래부는 대학의 ISMS 인증 의무화는 합법적 절차와 수단을 통해 제도화됐다는 입장이다. ISMS 인증 의무화는 대학의 정보보호 중요성을 인식시키고 효과적인 보안시스템을 갖추는 계기가 될 것이라고 판단하고 있다.

지상호 KISA 보안인증지원단 단장은 “법 개정 당시 교육부에 미래부 입장을 전달했고 의견수렴 과정 때 교육부에 안내를 했었는데, 개별 대학에 전파되지 않아 대학 측에서 절차상 문제를 제기하는 것으로 보인다”며 “지난 2월에 ISMS 의무 대상 안내를 한 후 6월에 최종적으로 확정되면서 다시 설명하면서 교육을 실시하는 등 정부 입장에서는 노력했다”고 말했다.

이어 “이는 처음에 권은희 전 의원의 의원법안 발의로, 입법예고 전 법안에는 대학이 포함돼 있었다”며 “올해까지 ISMS 인증을 받아야 하지만, 시행일이 촉박하고 대학에서 문제제기를 하니 내년까지 받도록 할 것”이라고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr