대학의 정보보호관리체계(ISMS) 인증이 여전히 난항을 겪고 있다.

지난해 6월 시행된 개정 정보통신망 이용 촉진 및 정보보호 등에 관한 법률(정보통신망법)과 시행령에 따라 37개 대학과 43개 병원이 새롭게 ISMS 의무화 대상이 된 지 10개월이 넘었다. 병원들은 지난해 하반기부터 순차적으로 인증을 획득하거나 준비작업을 벌이고 있는 반면, 대학들의 ISMS 인증 거부 문제는 여전히 해소되지 않고 있다.

대학들은 법개정 과정과 절차상 문제, 과잉·중복규제, 예산·인력·준비시간 부족 등을 이유로 ISMS 인증 의무화에 강력 반발하며 인증을 거부해 왔다. 지난해에는 한국대학정보화협의회 등 대학 관련 협·단체 차원에서 집단행동에 나서기도 했다.

4월24일 한국인터넷진흥원(KISA)에 따르면, 37개 ISMS 의무화 대상 대학 가운데 인증을 신청한 대학은 단 한 곳도 없다. 이대로라면 올해 말까지 사실상 ISMS 인증을 획득하기 어려워, 내년 초에 무더기 과태료 행정처분을 받을 것으로 예상되는 상황이다.

ISMS 인증은 인증 컨설팅을 포함해 시스템 구축까지 준비 과정에 2-6개월이 걸린다. 심사 과정은 50-60일이 소요되고, 인증위원회의 심의·의결을 거쳐 인증서가 교부되는 데까지 또 30일가량 필요하다. 처음 인증을 받는 조직의 경우엔 최소 일정으로 진행되는 것이 쉽지 않다는 것을 예상할 수 있다. 또 하반기에 인증 심사가 몰리게 되면 심사와 인증 일정이 지연될 수 있다는 점도 감안해야 한다.

인증 대상 병원의 경우, 지난해 10월 순천향대학교 부속 부천병원을 시작으로 삼성서울병원, 강북삼성병원, 서울아산병원, 조선대학교병원이 ISMS 인증을 획득했다. 현재 심사가 완료돼 인증단계에 접어든 병원도 5곳이다.

ISMS 의무화 대상 병원 43곳 가운데 나머지 30여개 병원도 발빠르게 진행하지 않으면 자칫 기한을 넘길 가능성이 있다.

ISMS 의무화 대상이 인증을 받지 않으면 법에 따라 최대 3천만원의 과태료가 부과된다.

미래창조과학부는 신규 의무대상인 병원과 대학의 인증준비 부담 등을 감안해 당초 지난해 말까지 받아야 했던 인증 기한을 1년 유예, 올해 말까지 연장했다. 인증 심사 범위와 대상도 당초보다 축소키로 한 상태다.

지상호 KISA 정보보호산업본부 보안인증지원단장은 “대학과는 달리 병원은 순차적으로 ISMS 심사를 받고 있어 순조롭게 진행되고 있다”라며 “5개 병원이 인증을 받았고 또 다른 5개 병원이 심사를 마치고 인증을 대기하고 있다. 최근에도 ISMS 심사 신청이 들어오는 상황”이라고 설명했다.

대학의 경우엔 인증심사를 신청한 기업은 없지만 순천향대학교가 현재 KISA로부터 ISMS 구축 컨설팅을 신청해 받고 있다.

미래부와 KISA는 지난해 말, 세 곳의 대학을 지원할 수 있는 ISMS 구축 컨설팅 지원 사업을 마련했으나 순천향대학교 한 곳만 신청했다. 대학 관련 연구개발, 지원사업 공모시 가점도 부여하고 인증수수료 감면, 해주겠다는 ‘당근’도 제시했다. 여전히 대학정보화협의회, 대학 정보화처장 등을 만나면서 지속적으로 설득 작업을 벌이고 있다.

미래부 관계자는 “대학이 ISMS 인증을 받을 수 있도록 지속적인 설득과 함께 지원책을 마련하기 위해 노력하고 있다”라며 “ISMS 구축 컨설팅 지원 사업 신청은 완료됐지만 예산을 만들어 외부 취약점 분석이나 점검, 상담·자문을 지원할 예정”이라고 강조했다.

꾸준한 설득과 지원에도 올해 말까지 인증을 받지 않으면 행정처분이 불가피하다. 과태료가 인증을 받는 데 들어가는 비용보다 저렴하다는 것이 함정이지만, 대학도 언제까지 법 이행을 거부할 수는 없을 것으로 보인다.

관련 업계에서도 정부가 ISMS 인증을 유예해준 시한이 다가오고 있는데다, 지속적으로 대학의 보안 문제도 거론되고 있어 대학들이 ISMS를 지속적으로 거부하지는 못할 것이란 예상이 나오고 있다. 일부 변화의 조짐도 감지된다.

지 단장은 “대학에서 ISMS 인증을 먼저 신청하는 것에 부담감을 크게 느끼고 있지만, 10곳 정도가 이미 인증 준비가 된 것으로 알고 있다”라며 “한국정보화협의회도 최근 회장이 바뀌면서 집단 ‘보이콧’ 입장을 풀고 대학별로 ISMS 인증 여부를 결정하자는 입장으로 선회하려는 움직임이 있다”라고 전했다.

한국대학정보화협의회측은 “조만간 신임 회장 발표와 함께 관련 입장을 밝힐 것”이라고 말했다.

■ ISMS 인증이란

ISMS는 정보통신망의 안정성, 신뢰성을 확보하기 위해 관리적·기술적·물리적 보호조치를 포함한 종합적인 관리체계가 체계적으로 운영되고 있는지 평가해 인증을 부여하는 제도다.

정보통신망법에 따라 인터넷서비스제공업체(ISP), 인터넷데이터센터(IDC), 인터넷 쇼핑몰·포털·게임업체 등 정보통신서비스제공자 가운데 연간 매출액 또는 세입 등이 1500억원 이상이거나 정보통신서비스 매출액 100억원, 또는 일일 평균 이용자 수 100만명 이상인 사업자는 의무적으로 ISMS 인증을 받아야 한다.

지난 2013년 2월 정보통신망법이 개정되면서 ISMS 인증이 의무화됐다. ISMS 인증 의무대상 요건에 매출 또는 세입 1500억원 이상 요건이 추가된 정보통신망법은 지난해 6월2일 시행됐다. 세입이 1500억원 이상인 의료법상 상급종합병원, 고등교육법상 재학생수 1만명 이상인 학교가 ISMS 인증 신규 의무대상에 포함된 상태다.

ISMS 인증 심사항목은 12개 정보보호 정책 수립 등 보안관리과정, 92개 보안대책 등 총 104개다. 유효기간은 3년이다.

ISMS 인증을 받은 기업 수는 의무화 이후 매년 증가해 2012년 152건에서 2016년 470곳에 달했다.

ISMS 인증 의무를 이행하지 않아 과태료 처분을 받은 기업은 2015년 38곳이며, 2016년 28곳이다. 2012년 법적 의무화된 후 2013년부터 2015년까지 증가하다 작년에는 감소했다는 게 미래부의 설명이다.

저작권자 © 블로터 무단전재 및 재배포 금지