지난 6월부터 정보보호관리체계(ISMS) 인증 의무 대상에 대학교와 종합병원이 포함됐지만 이들이 “심사가 복잡하고 비용도 많이 든다”며 반발하는데다 막상 인증심사원도 부족해 부실심사 등 혼란이 우려된다. 이들은 연내 의무적으로 인증심사를 받고 이후 1년 단위로 갱신해야 하지만 현재까지 인증을 받은 곳은 한 군데도 없어 미래창조과학부의 심사 체계에 허점이 많다는 지적이 나오고 있다.
한국정보화진흥원장 출신의 김성태 새누리당 의원(비례대표)이 미래부 자료 등을 분석한 결과, ISMS 인증심사원 1,307명 중 이제까지 한 번도 심사에 참여하지 않은 심사원이 577명에 달한 것에서도 알 수 있다. ISMS 인증을 새로 받아야 할 대학 37곳, 병원 43곳이지만 ISMS를 받지 않아도 최대 연 3,000만원의 과태료만 내면 돼 법의 실효성에 의문도 제기된다. 인증 신청에서 심사, 평가까지 보통 6개월이 소요된다는 점에서 어차피 연내 인증은 사실상 물건너갔다는 지적이 나온다.
ISMS는 주요 정보자산 유출과 피해를 사전에 예방하기 위해 기업 등이 수립·운영 중인 정보보호 체계가 적합한지 인증하는 제도다. 지난 2월 ‘정보통신망법 이용 촉진 및 정보보호 등에 관한 법률’ 개정에 따라 정보통신망서비스 제공자, 집적정보통신시설(IDC) 사업자 등 외에도 6월부터 세입 1,500억원 이상 상급종합병원과 재학생 수 1만명 이상 학교가 의무 인증 대상으로 추가됐다.
대학과 병원 측은 다양한 서버와 컴퓨터 사용 현황을 고려하지 않고 일괄적으로 ISMS 인증을 받도록 해 비용도 많이 들고 복잡하다고 반발하고 있다. 병원, 의료, 금융, IT 등 인증 대상별 보안 특성이 다양해 심사 기준, 인증 심사 기관을 차별화해야 한다는 것이다. 인증 심사비는 심사기관이 기업, 대학, 병원 등에서 약 1,400만원꼴로 받는데 규모가 큰 기업은 2~3주 소요된다.
심사원 관련해서도 한 번도 심사에 참여하지 않은 미래부, 방송통신위원회 공무원도 포함돼 있는 등 허수가 많다는 지적이 나온다. 기술사, 산업기사 자격만 있으면 정보통신 유관 경력으로 인정해 심사원이 될 수 있는 점도 개선이 필요하다. 심사 기관 중 한국정보통신진흥협회(KAIT)처럼 보안 전문성이 떨어지는 곳도 있다. 정부는 지난해부터 심사원의 자격을 강화해 필기·실기 자격시험을 도입했으나 현재 심사원은 대부분 자격시험을 거치지 않은 상태다.
김성태 의원은 “기업과 달리 대학은 학교, 학과 홈페이지, 학사관리시스템 등 학생 개인정보가 산재돼 있는 만큼 심사가 복잡한 데 6개월 내 인증을 마칠 수 있을지 의문”이라며 “미래부가 심사원에 의무심사 횟수 부여, ISMS 인증기관 예산 배분 등 대책 마련에 나서야 한다”고 지적했다.
미래부 측은 “아직 대학과 병원의 인증 심사 주문이 몰리는 상황이 아니어서 심사원 숫자보다 심사 질 향상에 집중하고 있다”며 “대학과 병원이 정보보호 역량을 갖추도록 유도하는 것이 목적이라 당장 과태료를 부과할 계획은 없다”고 설명했다. /김지영기자 jikim@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
jikim@sedaily.com
