법제도/정책

미래부, ISMS 위기 돌파 위해 예산 6배 증액…철옹성 대학문 깰까?

최민지

[디지털데일리 최민지기자] 미래창조과학부(이하 미래부)가 정보보호관리체계인증(이하 ISMS) 확산을 위해 강수를 뒀다. 당초 결정한 내년도 예산보다 6배가량 많은 자원을 ISMS에 투입키로 내부 결정을 내렸고, 반기를 들고 있는 대학 측 의견을 최대한 고려키로 했다.

대학 반발이 심상치 않기 때문이다. 예상치 못한 암초를 만난 셈이다. 그러나 대학 측은 여전히 완고하다. 대학 현실에 맞지 않는 ISMS를 받아들일 수 없다는 주장이다.

미래부는 대학이 ISMS를 받을 수 있도록 최대한 협조하겠으나, 대상에서 빠질 수는 없다고 선을 그었다. 양보는 있어도 후퇴는 없다는 것이다.

◆미래부, ISMS 예산 65억7000만원 증액 ‘파격 결정’=우선, 미래부는 ISMS 예산 증액에 적극 나섰다. 당초 내년도 예산은 올해 14억1700만원보다 감소한 11억2300만원으로 잡혀 있었다. 하지만, 이번에 신규 ISMS 의무 대상자로 포함된 상급종합병원과 대학교의 인증 구축비용 지원을 위해 6배가량 예산을 확대키로 내부 결정한 상태다.

이에 ISMS를 위한 예산으로 65억7000만원이나 증액됐다. 당초 예산보다 6배가량 많다. 기존에는 정보보호 관리체계 인증 심사 수행을 위한 3억9000만원, 정보보호 관리체계 인증제도 활성화 및 기반 확충을 위한 7억3300만원으로 구성돼 있었다.

ISMS를 반대하는 대학 측 주요 주장 중 하나는 비용 부담이다. 이에 따라 미래부는 내년도에 한해 일시적으로 ISMS 구축비용을 최대한 지원하기 위한 예산을 최대한 확보할 방침이다.

우선, 인증 수수료 지원을 위해 4억원이 늘어났다. 총 8억원 소요 예산 중 이미 반영된 3억9000만원 외 4억1000만원 증액을 요구한 것이다. 이는 신규의무대상인 병원 43개·대학 37개, 총 80개 기관을 대상으로 한다. 평균 인증 수수료 1000만원을 감안한 금액이다.

컨설팅 비용 지원을 위해서는 61억6000만원이나 증액됐다. 평균 컨설팅비를 7700만원이라 계산했을 때 80개 기관을 지원할 수 있는 비용이다.

만약, 대상 대학들이 ISMS를 내년에도 계속 거부한다면 지원액은 43개 병원과 일부 대학에 집중될 것으로 보인다.

미래부 측은 “신규 의무대상으로 추가된 기관의 최초 인증에 대한 재정적 부담을 경감하고, 비영리분야 인증제도 조기 안착 도모를 위해 추진했다”며 “ISMS 예산은 현재 국회 예결위 단계에 있고, 추후 확정 예산이 발표될 것”이라고 말했다.

◆양보는 있되 후퇴는 없다…정부 입장 들어보니=이와 함께 미래부는 대학의 ISMS 인증범위에 자율적인 교수·학생 자치망 등은 제외되고 학사행정시스템, 입학행정시스템, 대표 홈페이지 등 대학 정보화 조직이 운영하는 서비스 및 시스템으로 한정할 예정이다.

사전협의에 따라 인증범위가 정해지면 적용되지 않는 심사항목이 존재할 수 있고, 이 경우 적용불가 항목으로 제외 후 심사된다.

이 같은 조치는 ISMS를 받게 되면 자유로운 협업 활동에 제약을 받게 된다는 대학 측 주장을 검토한 것이다.

또한, 3~4개 대학을 대상으로 시범인증을 실시해 결과를 다른 대학들과 공유하고 인증 수수료를 지원한다. 내년 말까지 과태료 부과도 유예키로 했다.

미래부는 대학 등에 대해 적극적인 지원안을 내놓겠지만 인증 제외는 곤란하다고 밝혔다. ISMS는 기업·기관들이 정보보호 활동을 수행할 수 있는 최소한의 보편적 기준이며, 자율성을 저해한다고 볼 수 없다는 설명이다.

교육부의 정보보호 수준진단은 학교가 자체적으로 수행하는 임의 제도며, 행자부의 개인정보보호 영향평가는 일회성 점검인 만큼 과잉·중복 규제로 보기 어렵다는 것이 미래부 측 입장이다.

6월 기준 ISMS 인증기업 수는 의무대상 257개, 자율 취득 142개 총 399개 사업자다. 신규 대상자인 병원의 경우, 삼성서울병원과 순천향대학교 부천병원이 이미 인증을 획득했으며 주요 병원들이 ISMS에 착수했다.

병원 측은 ISMS에 특별한 거부 의사는 없으며 대학 지원에 상응한 혜택을 제공해달라고 요청한 것으로 알려졌다. 대학의 경우, 원광대와 충북대를 비롯해 약 4개 대학이 ISMS를 준비하고 있다.

◆ISMS 반대 입장 고수, 물러서지 않는 대학=이러한 회유책에도 대학의 태도는 강경하다. 대학 현실에 맞지 않는 인증제도를 위해 과도한 비용을 지불할 수 없다는 것이다.

한국대학정보화협의회 등은 ISMS 인증 의무대상 교육기관 확대에 반발하는 성명서를 지난 6월 제출한 후 본격적으로 반대 활동에 돌입했다. 주요 인증 대상 대학들은 한국대학정보화협의회를 중심으로 궤를 같이 하고 있다.

이와 관련 지난 17일 한국대학정보화협의회는 추계 워크샵 및 임시총회를 통해 교육부·국회 등과 교육정보화진흥법 추진에 나선다고 발표했다. 독자적인 교육 분야 정보보호 추진을 위한 입법 활동을 진행해 ISMS를 대체할 수 있는 방안을 강구할 예정이다. ISMS를 끝까지 받아들일 수 없다는 것으로 해석 가능한 대목이다.

미래부 측은 “새로운 법안에서 ISMS를 대체할 수 있을 정도로 잘 갖춰진 정보보호 방안을 명시한다면 미래부는 이를 지원할 수 있다”며 “그러나 ISMS는 전문가들도 인정하고 있는 기본서나 마찬가지며, 어떤 정보보호 체계를 갖추더라도 ISMS를 먼저 받는 편이 효율적”이라고 제언했다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널