백기승 한국인터넷진흥원장

지난해 국내 한 국립대학의 학사 행정 관리 포털사이트에서는 어떠한 인증 절차나 로그인 없이도 교직원과 학생들의 주민등록번호를 마음대로 빼낼 수 있는 치명적 취약점이 발견됐다. 학교 자체 감사가 아닌 한 고등학생의 제보로 알려지게 된 그 취약점은 간단히 ID만 입력하고 소스 열람 버튼을 누르면 관련 직원이나 학생의 개인정보를 바로 볼 수 있게 돼 있었다. 또 2015년 8월 한 대학에서 학생들이 학교 전산망을 해킹해 출석 정보를 조작한 사건도 있었다. 처음에 2명으로 추정됐던 범인은 이후 5명이 추가로 더 적발되면서 출석뿐만 아니라 성적 조작 가능성이 제기됐지만, 수사 의뢰 없이 학내 징계로 마무리됐다.

이처럼 취약한 대학들의 정보보호 역량을 강화하기 위해 정부는 지난해 6월부터 매출액이나 세입이 1500억 원 이상인 종합대학의 경우 외부 전문기관으로부터 정보보호관리체계(ISMS) 인증을 의무적으로 받도록 했다. 하루 이용자 100만 명 이상, 정보통신 서비스 매출 100억 원 이상인 기업에 대해 2013년부터 의무화하고 있음을 고려하면 일부 종합대학과 병원들의 인증이 올해부터 의무화된 것은 오히려 늦은 감이 있다.

그동안 대다수 대학이 정보보호에 대한 체계적인 대응책과 투자에 소홀했던 게 사실이다. 그럼에도 대학들이 비용·관리의 부담을 우려해 ‘인증 의무화가 자유로운 연구 분위기를 저해한다’는 이유로 인증 취득 의무를 회피하려 하고 있다. 그러나 대다수 정부기관과 주요 기술연구소 등 대학과 연계된 다양한 기관이 안전하지 않은 대학의 인터넷망으로 인해 해커에게 열리고, 많은 기술과 정보가 탈취될 수 있는 위험에 노출된다면 참으로 위험하기 그지없다. 연구와 협력의 중심인 대학이 관련 기관 전체의 안전에 심대한 영향을 미칠 수 있음을 고려할 때 ISMS 인증은 ‘규제’가 아니라 필수적 ‘의무’라는 책임 의식이 필요하다.

물론, 인증 의무화에 따라 컨설팅 비용, 시설 투자, 보안인력 확보 등 어느 정도의 부담이 발생한다는 점에서 추진의 고충을 이해하지 못할 바는 아니다. 하지만 1500억 원이 넘는 대학의 연간 세입과 1만 명이 넘는 학생의 정보 및 연구 성과물의 안전을 고려할 때 자발적 보안 책임은 반드시 필요하며, 안전하게 보호되는 대학 자산의 가치에 비해 수천만 원의 정보보호 비용은 결코 많지 않은 투자다. 정보보호 특성화 대학 지원과 정보보호 연구·개발(R&D) 자금의 확보에는 적극적인 대학들이 정보보호를 위한 기본적 조치조차 규제라고 반대하는 것은 사회적 공감을 얻기도 어려울 뿐만 아니라, 기업과 병원 등 여타 기관의 노력과도 균형이 맞지 않는 비상식적인 주장이다.

정부가 대학의 여러 입장을 고려해 인증 부담을 최소화하면서 정보보호 체계를 정착시키기 위해 정부 R&D 과제 신청 시 ISMS 인증대학에 가점을 주는 등의 인센티브 도입을 적극 추진하고 있다. 한국인터넷진흥원도 2∼3개 대학을 대상으로 사전진단 컨설팅을 해 최소의 비용과 시간으로 인증을 취득할 수 있도록 지원하고 그 결과를 모든 인증 대상 대학들에 제공하겠다는 입장을 거듭 밝혀 왔다. 그럼에도 이기적 집단행동을 통해 인증취득 자체를 거부하고 있다.

ISMS 인증 의무화는 전국의 컴퓨터공학 및 정보보호학과 학생들이 새로운 기술과 제도를 경험하며 신기술 개발과 정보보호 산업 발전을 이끌 대들보로 성장해 나갈 수 있는 좋은 기회가 될 것이다. 대학이 자신들이 육성하는 학생들의 장래를 위해서 정보보호를 사회적 책임으로 인식하고, 앞장서서 투자하며 관리 체계를 강화해 나갈 때 보다 안전한 세상으로 한 발 더 내디딜 수 있다.