[디지털데일리 최민지기자] 과학기술정보통신부(이하 과기정통부)가 정보보호관리체계(ISMS) 인증 의무화 대상인 대학에 대해 과태료 처분을 아직 내리지 못하고 있다.

이를 두고 일각에서는 지원방안을 내놓되 법에 있어서는 엄격하게 집행해야 하는데, 대학 눈치 보기에 급급한 것 아니냐는 지적까지 나오고 있다.

반면 과기정통부는 대학을 ISMS 울타리에 포함시키기 위한 노력을 우선적으로 꾀해야 하기 때문에, 과태료 부과부터 검토하는 것은 아니라는 입장이다. ISMS 정책의 실효성을 확보하기위해 가능한한 끝까지 대학들의 동참을 이끌어내겠다는 것이다.

최동원 과기정통부 사이버침해대응과 과장은 “과태료에 대해서는 검토 중이고, 아직 결정된 바 없기 때문에 공식적으로 답변하기 어렵다”며 “현재 대학과 ISMS 인증 의무화에 대해 논의하고 있고, 내주에는 결론을 낼 수 있다”고 말했다.

◆과태료 부과 엄포, 꿈쩍않는 대학가 = 결과적으로 보면, 현시점에선 대학에 ISMS를 적용하는 정부의 정책 의지는 확고하지만 이를 강제시킬만한 수단은 마땅히 없는 상황이다. 당국이 3000만원 수준의 과태료를 부과한다해도 대학들은 오히려 과태료를 내고 ISMS를 여전히 거부할 가능성이 커 보인다.

대학들이 과태료를 기꺼히 감수하고 ISMS를 계속 거부하게된다면 ISMS는 정책만 존재하고 사실상 실행은 되지않는 좀비법으로 전락할 수 우려가 커지고 있는 셈이다. 교착상태에 빠진 ISMS 정책에 대한 당국과 대학간의 새로운 절충안이 필요해 보인다.

지난 2016년 6월 ‘정보통신망 이용촉진 정보보호 등에 관한 법률(정보통신망법)’ 개정에 따라 재학생 1만명 이상의 대학 37곳이 ISMS 인증 의무화 대상에 포함됐다.

그러나 대학들은 “현실과 맞지 않은 정책으로 비용 부담만 발생한다”며 ISMS 정책에 반발하고 있다. 대학들은 교육부를 통한 정보보호 정책과 교육정보화진흥법에 따른 조치안을 따를 것을 요구한 바 있다.

앞서 과기정통부는 지난해까지 ISMS를 받지 않은 대학에 대해 법령대로 3000만원 과태료를 부과하겠다는 방침을 밝힌 바 있다. 같은 기간에 인증 의무화 대상에 포함된 병원들은 큰 마찰 없이 ISMS를 받고 있는 상황이다.

◆"그래도 과태료 부과해야",,, 법집행에 느슨하면 정책의 형평성 상실, 지적 = 한편 대학이 ISMS 문턱에 진입하는 것과 별개로 법은 법대로 집행해야 한다는 의견도 나오고 있다.

과기정통부가 아직까지 과태료 부과에 대해 주저하는 이유는 대학들의 참여 독려를 위해서지만 이는 어디까지나 공평해야 할 법 집행에 있어 ‘봐주기 논란’으로 확대 해석될 우려가 있다.

대상에 따라 다르지만 통상적으로 준비부터 인증심사 완료까지 통상적으로 6개월가량 걸린다. 기존에 정보보호체계가 잘 갖춰져 있다는 가정을 하더라도, 최소한 한 달 이상은 예상해야 한다.

이에 의무화 대상이 법을 위반하지 않으려면 지난해 말까지 ISMS 심사에 돌입해야 했다. 한 해가 지난 시점에서 이미 대상 대학들은 정보통신망법을 위반한 셈이다. 현재까지 ISMS 인증을 완료한 곳은 지난해 8월 인증 심사를 신청한 순천향대학교가 유일하다.

업계 관계자는 “원래는 과태료 내는 것이 맞는데 차일피일 미루고 있다”며 “법은 임의대로 해석할 수 있는 것이 아니라, 정해진 법의 취지에 따라 부처는 엄격하게 집행해야 할 의무가 있다”고 꼬집었다.

이 관계자는 이어 “그렇지 않으면, 법을 지키는 다른 곳이 피해를 볼 수 있고 집단 이기주의로 인해 법을 경시하는 현상도 나타나게 된다”며 “사이버보안 위협에 노출되는 경우는 어제 오늘 일이 아니기 때문에 사회적으로 영향력과 공익성을 띄는 곳을 대상으로 ISMS를 적용하자는 취지로, 정부는 법에 대한 집행을 하면서도 지원할 부분에 대해서는 적극적으로 찾아봐야 한다”고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr