[아이뉴스24 최은정 기자] 정부가 정보보호관리체계(ISMS) 인증을 취득하지 않은 17개 대학에 대해 내달 과태료 부과 등 조치에 나선다. ISMS 인증을 취득한 대학은 현재 전체 42개 대학 중 25개다.
ISMS 인증은 기업·기관이 중요 정보자산 보호를 위해 수립·관리·운영하는 정보보호 관리체계가 기준에 적합한지 심사하는 제도다. 지난 2016년 법 개정으로 일정 규모 대학도 대상에 포함된 바 있다.
3일 과학기술정보통신부에 따르면 지난 8월 말까지 ISMS 인증 취득을 완료하지 못한 17개 대학기관을 대상으로 사전 의견을 취합하는 법상 행정절차를 진행 중이다.
그동안 기관 및 기업에 적용됐던 ISMS 인증은 지난 2016년 6월 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)' 개정안이 시행되면서 대학과 종합병원도 의무대상에 포함됐다.
이중 대학은 학부 재학생 1만 명 이상, 운영 수입 1천500억원 이상인 42곳이 대상이다.
과기정통부는 개정안 시행 후 예산·이중규제 등 어려움을 감안, 일정 유예 기간을 거쳐 인증 기한을 8월 31일로 정한 바 있다. 해당 기간 내 인증을 받지 못한 대학에 대한 행정절차에 나선 것.
황큰별 과기부 사이버대응침해대응 과장은 "현재 행정절차법에 따라 불이익 처분을 받기 전 해당 기관 의견을 듣는 '사전 의견청취' 절차를 진행중"이라며 "각 의견을 검토한 뒤 10월 쯤 과태료 고지서가 배부될 예정"이라고 말했다.
과태료 최대 금액은 3천만 원이며, 의견 검토시 불가피한 사유로 인정되면 과태료 면제가 가능하나 현재로서 가능성은 크지 않은 상태다.
황 과장은 "천재지변 등 정당한 이유가 있어야 과태료가 면제될 수 있다"며 "현재 ISMS 인증절차를 진행중인 몇몇 대학에 한해서는 기준금액인 3천만 원보다 낮은 과태료가 고지될 수 있다"고 설명했다.
이에 따라 대학 중 상당수가 과태료를 피하기는 어려울 전망이다.
다만 일각에서는 국내 대학의 보안 인식 자체가 미흡해 ISMS 등 관련 대응이 어렵다는 지적도 있다.
최운호 서강대 기술경영대학원 교수는 "외국 대학의 경우 최고정보보호책임자(CISO)를 별도로 채용하고 교내 전산실에 보안담당 부서가 있다"며 "반면 국내 대학은 교수가 순환 보직 형태로 보안을 담당하고, 관련 인원도 부족한 게 현실"이라고 말했다.
이어 "담당자가 보안 전문인식이 부족하고, 보안 인원도 적은 상황에서 ISMS 인증취득을 강요하는 건 무리"라면서도 "각 대학 홈페이지에 수업지원 현황·주민번호 등 학생 관련 정보가 노출돼 있어 조치가 필요하다"고 강조했다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기