ICT뉴스

대학 36곳 ISMS 인증 버티기? 20일 현재 신청 한 곳만

[전자신문 변상근 기자] 정보보호관리체계인증(ISMS) 의무화 대학 37곳 중 36곳이 아직 ISMS 인증서 신청서를 제출하지 않은 것으로 나타났다. 지난해부터 ISMS 인증 의무화를 지속 거부한 한국대학정보화협의회(회장 차재혁)는 기존 입장을 고수했다. 정부는 ISMS 의무화 대상 대학이 올해까지 인증을 받지 않으면 최대 3000만원 과태료를 부과할 방침이다. 대학 몇 십 곳에 행정 처분이 내려질 가능성이 짙어졌다.

22일 정부에 따르면, ISMS 인증 의무화 대상 대학 37곳 중 36곳이 아직 ISMS 인증 신청서를 제출하지 않았다. ISMS 인증을 받으려면 통상 준비 단계만 2~6개월이 걸린다. 이후 심사 단계에서 통상 50~60일, 인증 단계에서 30일이 소요된다. 36곳 의무화 대상 대학의 연내 ISMS 인증 가능성이 사실상 없어진 셈이다.

한국인터넷진흥원(KISA) 관계자는 “22일 현재 순천향대 외에는 현재 ISMS 인증을 신청한 곳이 없다”며 “인증 준비 상태에 따라 빠르면 한 달 안에도 가능하지만 준비가 안 된 상황에서 늦게 신청한다면 절차를 밟아야 한다”고 밝혔다.

대학 연합체인 한국대학정보화협의회는 ISMS 인증을 거부하는 기존 입장을 고수했다. ISMS 도입이 비용·효용 면에서 의문이라는 주장이다. ISMS가 대학에 적합하지 않은 인증 기준을 가지고 있다는 입장도 되풀이 했다.

차재혁 대학정보화협의회장(한양대 정보통신처장)은 “정부가 학교 내 본부가 제공하는 학사 행정과 대표 홈페이지만으로 인증 대상을 축소했지만 학교 서비스에 대한 강제인증이라는 점에서 문제는 여전하다”며 “ISMS 구축에 대학마다 100억원 가까운 비용이 들고, 보안 향상 효용성도 의문이다”고 말했다.

정부는 올해까지 ISMS 인증을 받지 않은 의무화 대상 대학에 관련법에 따른 절차를 분명히 밟겠다는 입장이다. ISMS 인증 의무대상자는 정보통신망법 제47조2항에 따라 기업 스스로 의무대상 여부를 판단해 ISMS를 구축, 인증을 취득해야 한다. 이를 어길 경우 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(망법)'에 따라 최대 3000만원 과태료가 부과된다.

과학기술정보통신부 관계자는 “과태료 부과 수준 등 여러 조건을 봐야하지만 관련법에 따라 정상적으로 절차를 진행할 것”이라고 말했다.

ISMS는 정보통신망 안정·신뢰성을 확보하기 위해 관리적·기술적·물리적 보호조치를 포함한 종합 관리체계에 관한 정부 인증 제도다. 2013년 정보통신망법 개정으로 의무화 됐다. 인터넷서비스제공업체(ISP), 인터넷데이터센터(IDC), 인터넷 쇼핑몰·포털·게임업체 등 정보통신서비스제공자 중 일부가 ISMS 인증 의무 대상이다. 정부는 지난해 6월 세입이 1500억원 이상인 의료법상 상급종합병원, 고등교육법상 재학생수 1만명 이상인 학교를 ISMS 인증 의무 대상으로 추가했다. 대학·병원이 대량 개인정보를 가지고 있어 지속적인 사이버 위협에 노출돼 보안 체계 구축이 필요하다는 이유다.

[생략]