2019-07-24 18:13 (수)
대학 ISMS 인증 거부, 중심 못잡는 과기정통부…의료기관 “그럼 우리도 집단거부”
상태바
대학 ISMS 인증 거부, 중심 못잡는 과기정통부…의료기관 “그럼 우리도 집단거부”
  • 길민권 기자
  • 승인 2018.01.05 17:18
이 기사를 공유합니다

대학 “현실에 맞는 인증범위 정해 달라”, 의료기관 “이런 식이면 올해 인증 거부 할 것”

gavel-6.jpg
대학의 정보보호 수준을 높이기 위해 지난 2016년 6월 2일 개정한 정보통신망법 시행령에 의거 37개 대학을 ISMS(정보보호관리체계) 의무화 대상으로 지정했다. 하지만 법 시행 1년 반이 지났지만 ISMS 인증을 받은 대학은 순천향대학교 1곳 뿐이다. 나머지 대학은 “대학의 현실을 반영하지못한 법은 따를 수 없다”며 집단 보이콧하고 있다.

과학기술정보통신부(장관 유영민)는 교육부(장관 김상곤)와 한국대학교육협의회 및 대학정보화협의회에 끌려다니며 제대로 법 집행도 못하고 있는 현실이다. 법을 어긴 대학에 대해 과태료 부과도 주저하고 있다.

◇”대학, ISMS 집단거부…법치주의 무시하는 행위”

이에 대해 ISMS 심사원들은 “과기정통부의 책임이 크다. 시행령 개정전에 대학의견을 제대로 수렴하지 않았고 대학과 교육부를 설득하는데 실패한 것이 원인이다. 하지만 과정이 그렇더라도 법이 시행됐으면 대학들은 지켜야 하는 것이 맞다. 지금처럼 집단거부 행동은 초법적 발상이며 법치주의를 무시하는 이기적 집단행동”이라고 지적하고 “법이 통과됐으면 법을 어긴 대학에 단호한 조치를 취해야 한다. ISMS 의무대상으로 지정된 타 기관과의 형평성과 법률의 안정성을 고려해서도 원칙대로 집행해야 한다”고 강조했다.

또 “이제와서 과기정통부가 교육부와 협의해 교육부의 정보보호 수준진단제도와 ISMS를 병합하려는 움직임이 보인다. ISMS 인증 100개 항목에 비해 수준진단제도는 현저히 떨어지는 보안수준을 요구하고 있다. 이를 ISMS와 동등한 수준으로 인증하겠다는 것은 대학 정보보호 수준 강화를 위해 만든 법 취지와 맞지 않다”며 “학내 전체 시스템이 아니라 중앙전산소 학사관리시스템을 중심으로 ISMS를 우선적으로 받아야 한다. 그렇게 되면 비용도 생각보다 부담이 덜하다. 대학에 부담을 주려고 만든 법도 아니고 대학 보안 수준을 높이려고 만든 법인데 대학도 동참해야 한다”고 밝혔다.

이 문제에 대해 고려대 김승주 교수는 “첫 단추를 잘못끼운 것이 문제다. 하지만 대학도 주요 정보를 보호하기 위해 ISMS 인증을 받는 것이 맞다고 생각한다. 과기정통부에서도 대학 총장과 전산처장들 설득에 적극 나서야 한다. 특히 전산처장들은 대부분 교수들이고 임기도 2~4년 정도다. 자신의 임기 기간에 굳이 ISMS 인증을 준비하고 문제점이 나오면 사후처리도 해야하는데 적극적으로 나설 처장들은 많지 않을 것”이라며 “그럼에도 불구하고 법이 만들어졌으면 예외를 주면 안된다. 교육부 수준진단과 ISMS는 수준이 다르다. 낮은 수준으로 타협점이 이루어지면 안된다. 과기정통부의 설득과 지원이 필요하고 더불어 대학도 어려운 상황이지만 예산과 시간을 투입할 의지를 보여야 한다”고 전했다.

◇ “ISMS 인증범위, 대학 현실 반영해 확정해주면 거부 철회”

한편 5일 이 건으로 회의가 열렸다. 과기정통부, 교육부, 대학정보화협의회, 한국인터넷진흥원 관계자들이 모였다. 다음주 초 다시 회의도 잡혀 있다.

주요 내용은 대학도 대학 현실에 맞는 ISMS 인증 범위를 최소한으로 확정시켜주면 인증에 동참하겠다는 내용이었다. 예를들어 ISMS 통제항목에 망분리 항목이 있는데 대학 현실상 어렵다는 입장이다. 서울대만해도 직원이 4천명이 넘는데 망분리를 어떻게 적용하겠냐는 것이다. 이를 집행할 예산도 턱없이 부족하다는 것. 즉 대학 여건에 맞게 범위를 확정지어주면 따르겠다는 것이 대학측 입장이다. 대학도 마냥 법을 어겨가며 버틸 수만 없는 입장이라 지킬 수 있는 범위를 정해달라는 요구를 한 것이다. 지난해 대학교육협의회 47개 대학은 모두 ISMS 인증 거부 입장을 밝혔다. 과기정통부가 적절한 가이드라인을 확정해 주면 거부 입장을 철회할 수도 있다는 것이다.

◇과기정통부가 풀어야 할 숙제들

한편 서울 소재 주요 대학들은 예산 책정과 인력에 다소 여유가 있다고 하지만 문제는 지방 소재 재정이 어려운 대학들이다. 이들 대학들은 재원도 없는데 ISMS 인증은 엄두도 못내고 있으며 과태료를 부과하면 과태료를 낼 수밖에 없다는 입장이다. 하지만 과기정통부에서 과태료를 부과하면 행정소송까지도 생각하고 있다. 과태료를 받게 되면 대학 R&D 사업 수주시 불이익을 받을 수도 있기 때문이다. 주요 대학과 재원이 부족한 대학에 어떻게 차등해서 예산을 지원하느냐도 관건이다.

또 부처간 애매한 문제도 걸려있다. ISMS 인증을 위해 대학에 지원할 예산이 교육부 예산으로 나가야 한다. 과기정통부 사업을 교육부 예산으로 지원해야 할 판이다. 교육부 입장에서는 찜찜하기 그지없다. 과기정통부도 자신들 사업을 교육부 예산으로 해야 하니 난처하다. 그래서 대학에 적극적으로 과태료 부과도 못하고 눈치를 보고 있는 것일 수 있다. 한편 교육부는 이번 기회에 대학 ISMS 인증 사업을 교육부 소관으로 가져오려고 할 수도 있다. 한국교육학술정보원(KERIS)이 담당하면 된다. 하지만 과기정통부와 KISA는 당연히 반발할 문제다. 이 문제를 어떻게 처리해야 할지도 관건이다.

한편 국회에 계류중인 교육정보화진흥법안도 대학 ISMS 인증에 걸림돌로 작용할 수도 있다. 진흥법이 특별법이기 때문에 망법보다 우선 적용된다. 대학들은 이 법안이 통과되길 기다릴 수도 있다. 그래서 교육부 정보보호 수준진단으로 ISMS를 대체하려는 생각을 갖고 있을 수 있다.

하지만 많은 대학들이 지금까지 정보보호 예산 항목 자체가 없는 대학들이 대부분이었다. 인증범위를 한정해서라도 ISMS 인증을 받게 해서 대학의 정보보호관리체계를 일정 수준이라도 잡게하는 것이 바람직하다. 시작도 하지 않고 낮은 수준으로 기준을 정해 법의 본래 취지를 무색케 하는 것은 옳지 않다는 것이 대부분 정보보호 관계자들의 입장이다. 대학 전산처장들도 기업의 CISO와 같은 수준은 아니더라도 책임감을 갖고 대학 보안수준 향상에 의지를 보여야 한다.

◇의료기관 “이런 식이면 올해 ISMS 인증 재심사 거부하겠다”

한편 대학과 함께 ISMS 의무대상 기관으로 지정된 의료기관들도 반발하고 있다. 대학은 집단 반발해 보이콧하고 있는 반면 의료기관들은 대한병원정보협회(회장 한기태)를 중심으로 ISMS 인증에 적극 동참하고 있다.

의료기관 관계자는 “과기정통부가 교육부와 대학 눈치를 보고 법 대로 집행을 하지 않는다면 의료기관도 더 이상 따를 수 없다. 집단적으로 반발하면 안지켜도 되는 것이 우리나라 법인가. 법치주의를 무시하는 집단행동에 엄중한 대처가 필요하다”며 “힘없는 기관만 법을 따라야 하나. 만약 과기정통부가 대학 눈치를 보고 제대로 집행하지 않으면 의료기관들도 올해 ISMS 인증 재심사를 거부하겠다는 목소리가 커지고 있다”고 현 상황을 비판했다.

대학과 교육부의 의견을 제대로 수렴하지 않고 시행령을 개정한 예전 미래창조과학부. 이제 과학기술정보통신부가 이 문제를 해결해야 한다. 법의 취지를 이해하고 힘든 상황에서도 정부 정책을 따른 의료기관까지 현재 상황에 강한 불만을 표하고 있다. 과기정통부가 중심을 잡고 신속히 해결해야 할 문제다.

★정보보안 대표 미디어 데일리시큐!★