법제도/정책

반대 기류 속 ISMS 구축 나선 대학들, 원광대·충북대 ‘눈길’

최민지

[디지털데일리 최민지 기자] 대학들이 정보보호관리체계인증(이하 ISMS) 의무화를 조직적으로 반대하며 정부와 대립각을 세우고 있는 가운데, 원광대학교와 충북대학교가 ISMS 구축 준비에 나서 눈길을 끌고 있다.

지난 6월 미래창조과학부는 ‘정보통신 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’을 개정하면서 ISMS 의무 대상을 학부 재학생 1만명 이상의 대학으로 확대했다. 요건이 되는 대학이 ISMS 의무기관 인증을 받지 않으면 3000만원 이하의 과태료가 부과된다.

이에 대학들은 지난달부터 한국대학정보화협의회를 중심으로 과도한 비용 및 대학 현실에 맞지 않은 인증 규제 등을 이유로 반발하기 시작했다. 물론, 원광대와 충북대도 기본적으로 협의회 측 입장에 동감하고 있다. 하지만, 이들 대학은 협의회와는 별개로 ISMS 구축을 진행하기로 결정했다.

◆원광대, ISMS 포함 정보보호 컨설팅 사업에 1억2000만원 투입=ISMS 인증 의무 대상에 포함된 원광대는 정보보호 컨설팅 사업 입찰을 제시했다. 인증 의무화 대상에 포함된 대학이 공식적으로 ISMS 구축을 밝힌 것은 처음이다.

원광대는 정보보호 컨설팅 사업 제안서 제출을 25일 마감하고, 오는 26일 제안설명회를 열고 입찰을 실시할 계획이다.

이 사업은 정보보호 체계·마스터 플랜 수립, 개인정보영향평가 사업으로 구성된다. 사업금액은 1억2000만원으로 책정됐다. 선정된 사업자는 계약 후 4개월간 프로젝트를 진행한다. 이후 원광대는 개선사항을 반영 점검키로 했다. ISMS 구축의 경우, 6개월가량 소요될 것으로 보인다.

정보보호 체계·마스터플랜 수립 사업 내용은 ▲ISMS 인증체계에 적합한 정보보안 체계 수립 ▲정보보호 계획수립 및 정보보호 정책·지침·절차 정비 ▲정보보호 중·장기 로드맵 수립 등이다. 한국인터넷진흥원(KISA)의 ISMS 인증 기준과 취약점 분석·평가 가이드라인을 고려해 계획을 마련할 예정이다.

개인정보 영향평가 사업의 경우, 개인정보 유출 방지를 위한 기술적·업무적 보호 대책을 수립·적용하고 개인정보 위험분석과 관련된 법률 요구사항을 위한 대책 등을 마련한 후 관리할 수 있는 체계를 정립한다. 이는 행정차치부의 개인정보 영향평가 기준으로 실시된다.

원광대의 정보보호 관리체계 시스템은 ▲서버시스템 100대 ▲네트워크 장비 28대 ▲보안시스템 7대 ▲데이터베이스관리시스템(DBMS) 4대로 총 139대다. 전자결재시스템, 학사행정시스템, 홈페이지 등 의무 인증 범위에 해당하는 발주기관의 모든 시스템을 대상으로 한다. 웹 취약점 점검 대상은 대표 홈페이지와 웹 정보서비스, 기관 홈페이지 등이다.

원광대는 추진 배경에 대해 정보통신망법 제47조의 정보보호 관리체계 인증 기준에 따른 종합적인 보호 대책을 수립하고, 학사행정서비스 제공범위 확대에 따른 보안사고를 예방하고 효과적인 정보보안 관리를 위해서라고 밝혔다.

원광대 관계자는 “이달 내 사업자를 선정할 예정이며, ISMS 준비는 6개월가량 걸리기 때문에 최종 사업자가 결정되면 내년에 완료될 것”이라며 “협의회 측 반대 주장에 동의하지만, ISMS 의무화 대상에 포함된 만큼 행정행위는 하는 것으로 결정됐다”고 말했다.

◆학생들과 ISMS 자체 구축키로 한 충북대=ISMS 인증 의무화 대상에 포함되지 않은 충북대는 자체적으로 학생들과 ISMS를 구축할 준비를 하고 있다.

충북대는 학부생과 대학원생을 대상으로 ISMS 관련 교육과정을 개설했다. 보안컨설팅과 연계해 경영대 및 공대 학생들이 ISMS 인증에 필요한 내용을 중심으로 현재 수업을 듣고 있다.

보안컨설팅, 개인정보보호 등 정규 및 비정규 과목을 개설하고 인턴십까지 포함해 1년간 12학점을 부여할 방침이다. 해당 교과목을 이수한 학생들은 인턴 자격으로 ISMS 구축을 경험하게 된다. 이와 관련 충북대 전산정보원과 협력키로 했다.

또한, 충북대는 ISMS·PIMS 심사원 자격을 갖춘 보안컨설팅 업체 대표를 산학 협력 중점 교수로 내달 1일 정식 채용한다. 실무 경험이 있는 전문가를 초빙해 충북대 교원 자격을 부여, 본격적으로 인증 작업을 추진하겠다는 것이다.

충북대는 입찰 공고를 통해 외부 보안컨설팅 사업자와 계약을 맺는 대신 자체 구축을 선택했다. 인증 비용 부담을 줄이고 학생들에게 좋은 경력을 쌓게 해줄 수 있는 방안이라는 설명이다.

김태성 충북대 정보보호경영전공 주임교수는 “수업에서 ISMS를 강의하고 있기 때문에 학생들이 직접 참여하게 되면 쉽게 경험할 수 없는 좋은 경력이 될 수 있고 향후 인증심사원으로 활동할 수 있을 것”이라며 “경영대의 관리기법과 이공계의 보안 기술이 모두 접근 가능한 정보보호 컨설팅을 학생들과 내부적으로 해보자는 것”이라고 강조했다.

이어 “외부인이 거의 참여하지 않기 때문에 정보 유출을 막을 수 있고 비용 부담도 줄어들 것”이라며 “협의회 주장에 대해 일부 수긍하지만, 이와 관련 없이 논란 이전에 교육기관도 보안에 관련해 책임져야 할 부분이 있기 때문에 학생들과 인증 작업을 함께하기로 결정했다”고 덧붙였다.

한편, 한국인터넷진흥원 관계자는 “협의회는 아직도 반대하고 있는 입장이지만, 이런 움직임이 보이는 것은 고무적인 일”이라며 “과태료나 이미지 부분 때문에 인증을 받고 싶으나 아직 관망 중인 대학들이 많다”고 전했다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널