미래창조과학부와 대학들이 교육 분야 정보보호관리체계(ISMS) 인증 의무화를 놓고 갈등을 빚고 있다. 미래부는 정보보호 강화를 위해 인증 의무화가 불가피하다고 주장하지만, 대학들은 의무화 과정에 절차 문제가 있다고 반발하고 있다.

한국대학교육협의회, 한국대학정보화협의회, 한국교육전산망협의회, 전국대학IT관리자협의회는 8일 서울 중구 프레스센터에서 ISMS 인증의 대학 의무인증에 대한 토론회를 개최했다.

정부는 정보보호 강화를 위해 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’을 올해 3월 개정했다. 여기에서 연간 매출 또는 세입이 1500억 원 이상인 경우 ISMS 인증을 의무적으로 받도록 했다. 법령은 7월 25일부터 시행됐다.

대학들이 반발하고 있는 것은 정보통신망법 시행령 때문이다. 5월 31일 공포돼 6월 2일 시행된 시행령에서는 매출 1500억 원 이상인 병원과 1만 명 이상이 재학하고 있는 학교를 인증 의무대상으로 정했다. 의무대상은 시행 후 6개월 이내에 인증을 받아야 한다. 다만 미래부는 2017년 말까지 대학의 의무를 유예할 방침이다.

그런데 대학들은 시행령 개정 내용을 제대로 알지 못했다며 반발하고 있다. 8일 토론회에서 전국 133개 대학교 및 대학의 정보화 책임자 모임인 한국대학정보화협의회는 대학교가 인증 의무대상으로 포함돼서는 안 된다고 촉구했다.

협의회는 현재 인증 대상인 38개 대학이 장비 교체 비용 등을 포함해 전체적으로 최초 인증에 2400억 원이 들고, 매년 유지비로 650억 원이 소요돼 부담이 크다고 주장하고 있다. 또 대학들이 행정자치부의 개인정보보호 영향평가와 교육부의 정보보호 수준진단을 받고 있다며 중복 규제라고 반발하고 있다. 또 협의회는 2월 입법예고에 없던 대학을 5월 규제개혁위원회 세부요건을 변경해 포함시켰다며 절차적 문제를 지적하고 있다.

반면, 미래부와 한국인터넷진흥원(KISA)은 대학 ISMS 인증 의무화가 필요하다고 주장하고 있다. 이들 기관은 8일 배포한 자료에서 2013년부터 2015년까지 교육 분야에서 105건의 침해사고가 있었다며 교육 분야 보안의 취약점을 지적했다. 또 국무조정실이 주관하는 규제개혁위원회를 통해 이번 사안이 결정돼 절차적인 문제가 없다고 주장하고 있다.

(김기홍 미래부 사무관(오른쪽부터), 김가연 오픈넷 변호사, 이정태 아주대 중앙전산원장 등이 8일 프레스센터에서 열린 대학 ISMS 인증 의무화 토론회에서 토론을 하고 있다.)

이날 토론회에서 이를 두고 치열한 공방이 벌어졌다.

이정태 아주대 중앙전산원장은 “미래부가 규제개혁위원회에서 논의했다고 하는데 교육부는 참여하지 않았고, 부처 간 협의를 했다고 하는데 교육부는 반대의견을 표명한 것으로 안다”며 “교육계에 충분히 의견을 제시할 기회를 줬는지 의문”이라고 말했다.

김가연 오픈넷 변호사도 “보안사고가 발생했을 때 해당기업이 국가가 받으라는 인증을 받았는데 문제가 생겼다고 책임을 회피하려고 할 수 있다”며 “인증을 강제하지 말고 알아서 선택할 수 있도록 해야 한다”고 주장했다.

반면 김기홍 미래부 사무관은 “입법예고를 하고 규개위에 참여했으며 시행령 내용은 규개위와 참여기관들이 논의한 것으로 절차를 거쳤다”며 “과잉, 중복 문제를 이야기하는데 정보보호라는 시스템과 업무를 규제로만 볼 수 있는지 묻고 싶다”고 말했다.

김 사무관은 또 “보안이 미흡한 분야가 의료와 교육분야였다”며 “의무화를 하기 전에 자발적으로 점검하고 개선하려는 노력이 있었다면 의무화가 입법화도 안 됐을 것”이라고 반박했다.

이날 참석한 대학 관계자들은 절차적인 문제와 부담 등을 주장했지만 미래부는 이에 대해 반박하며 정보보호라는 목적을 이해해달라고 주장했다. 관계자들은 미래부가 대학들의 의견을 수용하기 어려울 것으로 보고 있다. 대학들의 주장을 수용할 경우 의료계도 의무화에 반발하고 법조항 자체가 무력화될 수 있기 때문이다. 하지만 대학측의 반발이 거세 당분간 갈등이 지속될 것으로 보인다.

[테크M = 강진규 기자(viper@techm.kr)]