이에 따라 그동안 정부의 ISMS 인증 의무화 정책에 대립각을 세우던 대학들의 입장이 어떻게 변화할지 귀추가 주목되고 있다.

앞서, ISMS 인증 의무화 대상에 학부 재학생 1만명 이상의 대학이 포함되자, 대학들은 이를 인정할 수 없다고 반발하기 시작했다. 대학들은 한국대학정보화협의회를 주축으로 비용 부담과 대학 현실에 맞지 않은 인증체계라는 점을 들며, ISMS 미인증에 따른 과태료도 불사하겠다는 의지를 드러낸 바 있다.

이런 가운데 순천향대학교가 ISMS 인증심사를 신청했다고 지난 23일 밝혔다. 순천향대학교는 지난해부터 본격적으로 ISMS 인증을 준비하며 다른 대학들과 다른 노선을 걸었다. 정부의 대학 ISMS 구축을 위한 컨설팅 지원 사업에 참여한 유일한 대학이기도 하다.

순천향대학교 관계자는 “올해 초 ISMS 인증심사를 신청할 계획이었는데, 컨설팅 지원 사업과 대학 반발 속에서 늦어졌다”며 “순천향대학교는 전자정부 정보보호관리체계(G-ISMS)를 받았을 정도로 상당히 오래전부터 이를 준비해 왔고, 이번 ISMS에 대한 실질적 준비는 지난해부터 이뤄졌다”고 설명했다.

이어 이 관계자는 “학생들의 중요한 정보를 위탁받아 관리하는 만큼, 체계를 구축할 필요가 있다”며 “의무 여부를 떠나서 중요 정보를 보호하기 위한 수준을 높이고 위협에 대응한 대책을 수립해야 한다는 점을 총장을 비롯해 대학 측에서 인식한 것”이라고 덧붙였다.

한국대학정보화협의회는 순천향대학교의 ISMS 인증 신청으로 인한 기존의 입장 변화는 없다고 밝혔다. 다만, 관련 내용을 과학기술정보통신부(이하 과기정통부)에 질의서를 보내고 각 대학이 ISMS 인증에 들어가는 비용을 산출해 검토 작업을 하기로 했다.

지난 21일 한국대학정보화협의회는 워크숍을 열었고 30여곳의 대학 실무자들과 과기정통부 및 한국인터넷진흥원(KISA) 관계자들이 참석했다.

한국대학정보화협의회 측은 “입장 변화는 없지만, 과기정통부가 ISMS 기준을 낮춘 것 같아 질의서를 보낼 예정”이라며 “기준을 낮추면 대학정보보호 취지에 맞지 않으며, 시늉만 하자는 것”이라고 지적했다.

또 “교육부 중심으로 단일규제를 대학에 적용하고 싶은 바람이 있다”며 “각 대학이 ISMS에 대한 비용을 산정한 후 10월 총회 또는 내년 춘계 총회를 통해 정확한 입장을 밝힐 예정”이라고 말했다.

과기정통부는 실질적으로 제도 취지 달성할 수 있도록 대학 특성을 고려해 진행하겠다는 방침이다. 과기정통부는 협의회 워크숍에 참여해 대학 지원방안과 시범인증 결과를 공유했다.

과기정통부 관계자는 “대학들에게 정책 방침에 대해 소개했음에도 아직 비용·투자 및 거버넌스 조정에 대한 부담과 걱정이 여전히 남아있다”며 “학교 전체를 인증범위로 포함시키는 것은 오해며, 전사 범위로 인증을 실시하는 제도는 정보보호 관리등급제”라고 설명했다.

또 “ISMS는 기업·정부기관을 비롯해 어느 조직에게나 해당되는 내용이며, 모든 범위에 적용될 수 있는 기준”이라며 “ISMS가 대학 실정에 맞지 않는다는 주장을 고려해 교육분야 특성을 반영할 수 있는 초안을 마련해 제공하려고 제안 중”이라고 강조했다.

대학을 위해 ISMS 세부 점검 항목에서 교육분야의 특성을 반영한 별도 기준을 만들겠다는 것이다. 순천향대학교 결과를 바탕으로 대학 스스로 운영할 수 있는 기준과 가이드라인을 대학에 제공하기 위한 계획도 세웠다.

이 관계자는 “1년 전에는 대학이 등을 돌리고 있었다면, 이제는 우리 쪽을 보고는 있는 상황이라 긍정적으로 생각한다”며 “대학들에게 부담을 덜 주고 보안수준을 높이기 위한 목표이니, 교육부와도 직간접적 협의채널을 가동하려고 한다”고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr