대학 사이버보안 '빨간불'…ISMS 인증 신청 '0건'

본문 글자 크기 설정
글자크기 설정 시 다른 기사의 본문도 동일하게 적용됩니다.

ISMS 인증 의무 대학 37곳, 단 한 곳도 인증 신청 안 해

[아이뉴스24 성지은기자] 올들어 대학 30여곳의 서버가 무더기로 해킹돼 대학 내 사이버보안에 '경고등'이 켜졌다.

이 가운데 정보보호관리체계(ISMS) 인증 의무화 대상에 포함된 대학 증 ISMS 인증을 신청한 곳이 단 한 곳도 없는 것으로 나타나 논란이 되고 있다.

23일 한국인터넷진흥원(KISA)에 따르면 ISMS 의무 신청 대상에 포함된 대학 37곳 중 현재까지 ISMS 인증 심사를 신청한 곳은 단 한 곳도 없는 것으로 나타났다.

그나마 순천향대학교가 정부에서 지원하는 'ISMS 시범대학 구축 사업'에 참여, ISMS 인증 컨설팅을 지원받고 향후 ISMS 인증을 취득할 것으로 기대되지만 이 외 대학의 움직임은 나타나지 않고 있다.

ISMS는 기업(조직)의 정보보호 시스템이 체계적으로 관리·운영되고 있는지 평가해 인증을 부여하는 제도다. 정보통신망법에 따라 정보보호 관련 관리절차, 운영체계 등 104개 기준에 따른 심사를 통과해야 ISMS 인증을 받을 수 있다.

미래부가 ISMS 인증기관으로 지정한 KISA 등이 심사를 맡고 있으며, 인증 유효기간은 3년이다. 이후에는 갱신 심사를 받아야 한다.

지난해 6월 시행된 정보통신망법 개정안에 따라, 연간 매출액 또는 세입이 1천500만원 이상이면서 직전 연도 기준 재학생 수가 1만명 이상인 대학 37곳 역시 새롭게 ISMS 인증 의무 대상에 포함됐다.

대학은 학사정보, 주요 연구개발 자료 등 민감한 정보를 서버 내에 보관하고 있어 정보보호 관리체계 수립과 일정 수준 이상의 보안 유지가 필요하다는 판단에서 신규 의무 대상에 포함된 것.

그러나 대학들은 지난해 예산·인력·준비시간 부족 등 현실적인 문제를 들어 ISMS 인증을 거부해왔다. 이에 정부가 이를 반영, 올해까지 한시적인 유예 기간을 부여했다.

◆해커 놀이터 된 대학…ISMS 인증 반발 왜?

문제는 이들 대학이 여전히 중복·과잉 규제 등을 거론하며 ISMS 인증 취득을 거부하고, 일정 수준의 보안을 유지하지 못해 대학 서버가 해킹에 악용되고 다른 침해사고에 동원되고 있다는 점이다.

최근 KISA가 국회 미래창조과학방송통신위원회 소속 민경욱 자유한국당 의원에 제출한 자료에 따르면, 올들어 대학에서 발생한 것으로 확인된 정보보안 사고 건수만 33건에 달한다. 이는 지난 2013년 2건에 비해 16배가량 증가한 수치다.

자료에 따르면 대학 내 PC가 '좀비PC'가 돼 디도스(DDoS) 공격에 악용되는 사례가 매년 발생하고 있다. 또 대학 서버가 기본적인 보안 설정조차 되지 않아 해킹에 악용되고 다른 침해사고에도 악용되고 있다.

그럼에도 대학들은 이번 ISMS 인증 의무 대상에 우선 선정된 것이 부적절하다며 이를 거부하고 있어 논란이 예상된다. 대학을 ISMS 인증 의무 대상으로 포함한 조치를 두고 과잉·중복 규제라는 주장도 여전하다.

이는 대학들이 이미 정보보호 수준진단, 개인정보 영향 평가와 같은 정보보호 관련 진단 및 평가를 받고 있고 ISMS 인증이 기업을 대상으로 만들어진 인증제도라 대학에 적절하지 않다는 이유에서다. 여기에 예산·인력·준비시간 부족 등도 ISMS 인증에 반대하는 이유다.

그러나 정부 측 등은 대학 내 정보보호 등 보안관리 시급하다는 입장이다.

지상호 KISA 보안인증지원단장은 "금융 기관은 정보의 중요도 때문에 그에 맞는 정보보호 체계를 자체 구축한 데 반해 대학은 거의 무방비 상태에 가깝다"며 "동아리 홈페이지 등은 관리가 안 돼 해커들의 놀이터로 악용되고 있는 실정으로 보유 정보의 중요성 등을 고려할 때 대학의 정보보호 또한 시급하다"고 강조했다.

과잉·중복 규제라는 주장에도 선을 그었다. 정보보호 수준진단은 대학이 스스로 체크 리스트로 하는 진단이며, 개인정보 영향평가는 시스템 도입 시 일회성으로 만드는 점검이어서, ISMS처럼 상시 운영하는 정보보호 체계와 다르고 중복이라 볼 수 없다는 것.

또 ISMS 인증은 공공과 민간을 아우르는 모든 분야에 적용되는 범용 기준으로, 기업에만 적용 가능하다는 주장 역시 적절하지 않다는 게 KISA 측 설명이다.

지상호 단장은 "준비 시간은 지난해부터 충분히 제공했고, ISMS 인증 수수료를 감면받는 등 비용 부담을 덜 수 있도록 지원하고 있는데, 정작 대학들이 받아들이지 않고있다"며 "ISMS 시범대학 구축 사업도 3개 대학을 대상으로 진행했는데 순천향대학교 단 1곳만 지원한 것으로 봤을 때 의지 자체가 없다고 볼 수 있다"고 지적했다.

◆대학정보화협의회 "내달 중 입장 표명"

ISMS 인증을 받기 위해 통상 ISMS 인증 준비 단계(2~6개월), 심사단계(50~60일), 인증단계(30일)를 거치며, 올해 대학이 해당 인증을 받으려면 어느정도 준비단계가 완료돼야 한다.

그러나 상당수 대학이 관련 준비를 마치지 못한 것으로 알려져 많은 대학이 과태료 처분을 면치 못할 것으로 우려된다.

또 대학들은 비용적인 측면에서 과태료 처분을 선택할 가능성도 있다. ISMS 인증 취득에 컨설팅, 시스템 구입 등을 포함해 평균 1억~2억원 가량의 비용이 드는반면 과태료는 3천만원인 것을 고려하면 인증 획득 대신 과태료 처분을 선택할 수 있다는 것.

그러나 최근 대학 내 정보보안이 문제로 불거지면서 ISMS 인증 취득을 거부하는 집단행동에 대한 비판을 면하기 어려울 조짐이다. 그동안 협의회 차원에서 ISMS 인증을 반대해온 한국대학정보화협의회 역시 이 같은 비난여론에서 자유로울 수 없는 상태다. 협의회는 전국 133개 대학교 및 대학의 정보화 책임자 모임이다.

이에 대해 한국대학정보화협의회 관계자는 "내달 이사회를 열고 관련 입장과 세부적인 내용을 발표할 계획"이라고 말했다.

한편, 정부는 각 대학의 처장을 순차적으로 만나 설득하고, 대학들이 ISMS 인증을 연내 취득할 수 있도록 적극 돕겠다는 방침이다.

성지은기자 buildcastle@inews24.com




주요뉴스


공유하기

주소가 복사되었습니다.
원하는 곳에 붙여넣기 해주세요.
alert

댓글 쓰기 제목 대학 사이버보안 '빨간불'…ISMS 인증 신청 '0건'

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
댓글 바로가기


뉴스톡톡 인기 댓글을 확인해보세요.