"민감한 정보가 많지 않아 인증제도가 필요 없다는 것입니다.”
대학들이 정보보호관리체계(ISMS) 인증을 받지 않겠다며 내세우는 핑계에 대해 보안 당국 관계자가 이렇게 전했다. ISMS는 정부가 정보통신망법(정보통신망이용촉진및정보보호에관한법률)에 따라 체계적인 정보보호 관리체계가 운영되고 있는 주요 기업과 기관에 부여하는 인증제도다. 연간 매출액이나 세입 등이 1500억원 이상이거나 정보통신서비스 매출액 100억원 또는 이용자 수 100만명 이상 사업자는 의무 대상이다. 종합병원과 대학교도 여기에 포함된다. 민감한 개인 의료정보 등을 보유한 병원은 물론 대학도 학사 정보, 연구개발 등 활용가치가 높은 데이터를 다량 보관하고 있어 체계적인 정보보호 시스템이 필요하기 때문이다.
그럼에도 예산과 인력, 준비 시간 부족 등을 이유로 ISMS 인증을 기피하는 대학들이 적지 않다는 전언이다. 든다. 하지만 연간 수입이 3000억~8000억원에 달하는 사립대학들이 인증에 필요한 2억~3억원을 융통하지 못한다는 건 선뜻 납득할 수 없다. 이들의 아우성에 인증기관인 한국인터넷진흥원(KISA)은 1년 넘게 준비 기간을 주고 인증 수수료를 감면해 주는 특혜도 줬다. 과잉 규제라는 대학들의 불만도 이해하긴 힘들다.
대학들의 안일한 보안 의식으로 인한 피해는 이미 벌어지고 있다. 대학 홈페이지나 동아리 서버 등은 해커들의 놀이터다. 최근 5년간 대학에서 발생한 보안 사고는 확인된 사례만 총 61건이다. 2013년부터 한 해도 거르지 않고 악성코드 공격을 당하고 있다.
해외 대학들은 정보 보호와 활용에 눈을 뜬지 오래다. 학생 수 6만5000명의 호주 라트로브대학(La Trobe University)은 2년 전 세계 최대 기업용 소프트웨어(SW)기업과 손잡고 대학이 축적한 다양한 데이터를 활용하고 이들 정보를 보호하기 위한 IT 인프라 구축에 열을 올리고 있다. 벌금 3000만원을 내고 정보보호 책무를 버리려는 우리나라 대학들과는 차원이 달라 보인다.