3일 기준 37개 대학 중 순천향대학교를 제외한 36개 대학이 ISMS를 신청하지 않았다. 오는 12월31일까지 인증 절차에 돌입하지 않는다면, 3000만원 과태료를 부과해야 한다.

한국대학정보화협의회는 과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원이 추진하는 대학 대상 ISMS 인증 의무를 거부하고, 교육정보화진흥법에 따라 정보보호 조치를 취하겠다고 밝혔다. 과태료 등 행정처분과 관련해서는 이에 저항해 행정소송을 제기할 대학도 나올 수 있다는 언급도 보탰다.

차재혁 한국대학정보화 협의회장은 “교육부는 그 동안 제도를 시행할 때 지원책을 통해 장려하는 방식을 취해 왔다”며 “교육부에서는 정보보호관리체계를 대학에게 자율로 맡기되, 가점이나 패널티 방안으로 대학 참여를 유도할 것으로 예상하고 있다”고 말했다.

이어 “만약, 과기정통부가 ISMS 미인증에 다른 과태료를 부과한다면 각 대학은 행정소송을 진행, 집단소송으로도 번질 수 있다”며 “출발부터 여러 문제가 있었던 만큼, 소송을 통해 짚어야 한다는 이야기가 나오고 있다”고 덧붙였다.

대학 대상 ISMS 연내 도입은 사실상 물 건너 간 것. 통상적으로 원점에서 ISMS를 준비해 인증까지 받는 기간은 6개월 이상 소요된다. 정보보호 체계가 잡힌 대학이라도 최소 한 달 이상은 걸린다.

과기정통부 측은 “심사 일정을 잡기까지 보통 3~4주 걸리며, 심사만 1주일을 진행한다”며 “노출된 결함사항을 안내를 위해 며칠이 소요되며, 대학이 이를 보완하려면 기본적으로 한 달이 걸리는데 최장 3개월까지 기간을 연장할 수 있다”고 설명했다.

또 “보완 결과를 받으면 인증위원회가 열린다”며 “연내 ISMS를 인증하려면 지금 시작해야 한다”고 강조했다.

과기정통부는 ISMS 신청서를 제출하고 수수료를 납부하는 등 인증절차를 연내 진행하는 대학에 대해서는 인증서를 최종 발급받지 않더라도 과태료를 부과하지 않을 방침이다. 인증절차를 진행한 경우는 ISMS에 대한 의지가 있다고 판단, 예비 인증을 받은 것으로 간주하겠다는 것이다.

하지만, 대학들은 과기정통부의 ISMS를 거부하고 김민기 더불어민주당 의원이 대표발의한 ‘교육정보화진흥법안’을 따를 방침이다. 교육정보화진흥법안에는 개인정보보호와 정보보안에 대한 조치가 일부분으로 속해 있다.

제21조 개인정보보호 및 정보보안에 따르면 대학은 ▲개인정보 보호 지침 마련·운영 ▲교육정보시스템을 통해 관리되는 교육자료·정보와 각종 데이터베이스 등의 구축·운영 때 개인정보 보호 및 유해정보 차단 등 정보보안 대책 수립·시행 ▲주요 정보통신기반시설로 지정된 교육정보시스템 취약점 분석·평가 ▲정보 유출, 위변조 등의 예방, 백업·복구 등 물리적·기술적 보안방안을 포함한 관리대책을 시행해야 한다.

또한, 이 법안에는 교육정보보호 관리체계를 인증하도록 돼 있다. 교육부장관은 과학기술정보통신부장관과 협의를 거쳐 교육정보시스템의 정보보호 관리체계에 관한 인증을 위해 관리적·기술적·물리적 보호대책을 포함한 인증기준 등 필요한 사항을 정하여 고시할 수 있다. 인증을 받아야 하는 기관의 범위, 방법 및 절차 등에 필요한 사항은 대통령령으로 정하기로 했다.

과기정통부는 대학 정보보호 수준을 높이겠다는 입법취지를 감안해 ISMS에 상응하는 제도를 교육부에서 추진한다면, 이에 협조할 수 있다는 입장이다.

과기정통부 측은 “교육부와 정보보호제도의 연계, 상호 인증과 관련한 논의를 하고 있다”며 “대학 대상으로 법상 의무를 이행하라는 노력과 설득도 계속하고 있다”고 전했다.

<최민지 기자>cmj@ddaily.co.kr