28일 백기승 원장은 서울 한국과학기술회관에서 열린 ‘클라우드 보안 워크샵 2016’에 참석해 보안문제 인식에 대해 언급하며 “대학가에서 ISMS 관련 여러 이견이 있다”며 “정보보호는 IT적 상상을 현실로 만드는 기본이 되는 부분인데, 이를 갖추지 않고 꿈을 그리겠다는 것은 현실성이 없는 것”이라고 강한 톤으로 지적했다.

백 원장은 이어 “나만 예외가 되겠다고 하면, 그로 인해 피해를 보는 다수가 생길 수 있다”며 “정보보호에는 예외가 없다”고 강조했다.

이는 시행령 개정을 통해 ISMS 인증 의무 대상에서 제외시킬 것을 요청하고 있는 대학을 향해 불편한 심기를 드러낸 것이다.

앞서, 미래창조과학부(이하 미래부)는 지난 6월 ISMS 의무 대상을 확대하면서 학부 재학생 1만명 이상의 대학교를 추가했다. 이에 한국대학정보화협의회(이하 협의회)는 대학 현실을 고려하지 않은 정책이라며 거세게 반대 의사를 표출하고 있다.

이와 관련 미래부와 KISA는 대학의 ISMS 인증 참여를 이끌기 위해 인증 수수료 부분을 지원하는 예산을 마련하고 내년까지 인증을 연기하는 한편, 최소한이라도 도입하자는 제안을 내놓았다.

하지만, 협의회는 대학의 ISMS 인증은 학내망에 대한 과도한 보안강화로 학문 활동의 장애물이 되거나 학내망 관련 보안이슈를 잔존시키는 미봉책이 될 수밖에 없다는 입장을 유지하고 있다.

전산실에 모든 서버를 두고 운영되는 기업과 달리, 대학은 인증대상이 되는 서버가 대부분 학내망에 산재해 있다. 협의회에 따르면 A대학의 경우, 전산실·학내망·연구실 등에서 2000대 이상의 서버가 운용되고 있고 ISMS 보안인증 기본 대상이 되는 웹서버는 1200대가 넘는다. 이 때문에 보안 인증 과정에서 과도한 비용을 지출해야 한다는 주장이다.

협의회 관계자는 “인증범위를 축소할 경우, 법적 강제를 통해 대학의 보안수준을 강화시키려던 본래의 목적을 달성할 수 없게 돼 왜 대학을 ISMS 의무대상에 지정했는가에 대한 실효성에 의문을 갖게 될 것”이라며 “대학은 ISMS인증을 받았음에도 여전히 보안에는 형편없다는 비난을 피하기 어려울 것”이라고 말했다.

이어 “학사행정, 학생정보와 같이 대학이 보유한 개인정보 등의 진짜 중요한 정보는 서버망에서 안전하게 보호되고 있어 학내망에서는 중대사고가 발생할 수 없다”며 “ISMS 인증 의무대상 지정은 강력범을 잡아야 할 공권력으로 좀도둑을 잡겠다고 덤비는 형국으로, 관 주도의 무리한 정책집행”이라고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr