과잉규제·중복규제 주장 vs. 정보보호, 단순한 규제 아냐
ISMS 인증 의무화 반대하는 대학 측 인사들 대다수 참석, 성토 이어져
미래부, ISMS 인증 통해 효과적인 보안체계 구축 계기 삼아야
[보안뉴스 김태형] 지난 6월 2일 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’의 시행령 및 시행규칙이 개정되면서 정보보호 관리체계(ISMS) 인증제도의 인증 의무대상이 의료와 교육 분야로 확대됐다. 이에 띠라 연간 매출액 또는 세입이 1500억 이상의 상급병원과 재학생수 1만명 이상인 학교는 ISMS 인증을 받아야 한다.
이와 관련 국내 37개 대학들이 이번 ISMS 인증 의무화 대상에 포함된 것으로 알려졌다. 이에 전국 133개 대학교 및 대학의 정보화 책임자 모임인 ‘한국대학정보화협의회’는 지난 5월 31일 공포된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 시행령’에서 대학교가 인증의무 대상에서 제외될 수 있도록 하는 시행령 개정을 촉구하면서 대학의 ISMS 인증 의무화의 실효성과 문제점에 대해 토론하는 자리를 마련했다.
이번 토론회는 한국대학정보화협의회가 한국대학교육협의회, KREN(한국교육전산망)협의회, 전국대학IT관리자협의회 등과 공동으로 8일 서울 프레스센터에서 개최한 ‘ISMS 인증의 실효성과 대학 의무인증 문제점 전문가 토론회’라는 이름으로 진행됐다. 그러나 이번 토론회는 시행령 개정안을 마련한 미래창조과학부 김기홍 사무관 외에 패널과 참관객 대부분이 대학의 ISMS 인증 의무화에 반대하는 인사들도 채워져 공정한 토론보다는 이번 의무화 조치를 성토하는 자리가 됐다는 평가다.
이날 한국대학정보화협의회 김규태 회장은 “정부는 연간 매출 1500억 이상, 재학생 1만명 이상 대학에 인증을 의무화하는 정보통신망법을 개정했다. 이는 전형적인 탁상공론이며, 과잉규제 및 중복규제로 보고 있다. 이번 토론회가 정보통신망법 시행령 개정을 통해 대학이 ISMS 인증 의무화 대상에서 제외될 수 있는 방안을 강구하고, ISMS 인증을 받아야 한다면 어떤 이점이 있는지에 대해 심도 있는 논의가 이루어지길 바란다”고 말했다.
이날 패널 토론자로 나선 아주대학교 중앙전산원장 이정태 교수는 “ISMS 인증 대상에 대학을 포함하는 정보통신망법 개정안은 현 정부의 주요 국정 기조인 규제개혁 및 완화, 중복규제 해소 등에 역행한다”면서 “개정된 시행령은 과잉규제·중복규제이며 이중 처벌의 논란이 있다. 특히, 이번 시행령은 법률 효과에 대한 과학적·객관적 근거가 불충분하다”라고 말했다.
또한 그는 “평가항목의 규모나 난이도 측면에서 ‘ISMS > PIA(개인정보영향평가) > 교육부개인정보 수준진단’ 순인데, 모두 다 중복되는 부분이 있다. ISMS의 점검항목은 ISO 27001에서 시작했기 때문에 상당히 유사성이 있고 대학의 경우 이미 교육부에서 매년 개인정보 수준진단을 실시해 결과를 제출하고 있다”고 덧붙였다.
이 교수는 “결론적으로 해외에서도 대학을 인증제도 의무화로 규제하는 사례는 없으며 자율 규제가 국제적인 추세다. ISMS 인증 자체는 바람직한 제도이며, IT 선진국이 되기 위해 반드시 도입해야 할 제도이지만 법규로 강제화하는 것은 국제적인 추세에 역행하는 것”이라고 말했다.
이어서 오픈넷 김가연 변호사는 “정부가 특정 서비스나 기술을 편파적으로 강제화하는 것은 다양한 기술이나 서비스의 공정한 경쟁을 가로 막는 원인이다. 정부가 개입해 특정 인증이나 기술을 강요하는 행위는 나날이 발전하는 기술을 따라가지 못하고 기술 발전을 저해할 수 있다”면서 “공인인증서의 경우에도 정부가 강제로 규정하면서 기술중립성 위반, 금융기관 책임회피용으로 활용되는 문제가 발생했다. 이번 ISMS인증 의무화도 마찬가지다. 결론적으로 ISMS 인증은 기술중립적 규제이어야 하고, 자율규제로 시행되어야 한다고 생각한다”고 주장했다.
그러나 수많은 학생들의 개인정보와 연구인력들이 개발한 핵심기술을 보유하고 있는 대학의 보안을 강화하기 위한 정보보호 제도를 규제의 관점으로만 바라봐서는 안 된다는 미래부 측의 입장도 팽팽히 맞섰다.
이와 관련 미래창조과학부 사이버침해대응과 김기홍 사무관은 “이번 대학의 ISMS 인증 의무화는 합법적인 절차와 수단을 가지고 제도화 됐다고 본다. 즉, 국무조정실의 사전 검토와 관계부처 협의, 그리고 규제개혁위원회 논의를 거쳤다”면서 “절차적으로 최선을 다했고, 방법에 있어서도 과잉규제와 중복규제라는 지적을 따져 보면, 정보보호를 단순히 규제로만 볼 수 없다고 생각한다”고 말했다.
이어서 그는 “정보보호 조직이 있고, 정보보호 시스템을 운영하고 있다면 이번 인증 준비가 보다 효과적인 보안 시스템을 갖추기 위한 계기가 될 수 있다. 또한, 대학의 총장님이나 학내 관계자들에게 정보보호의 중요성을 인식시키고 지지를 이끌어 내는 계기가 될 것이라고 본다”면서 “특히, 대학 구성원의 소중한 정보를 보호하고 중요한 연구성과의 유출을 막기 위해 정보보호 체계를 강화할 필요가 있다. 최근 학내 정보침해 사고 사례를 보면, 교육분야가 전체의 11%를 차지하고 있다. 하지만 ISMS 인증을 받은 대학교는 한곳도 없기 때문에 대학의 ISMS 인증 의무화는 꼭 필요하다”고 강조했다.
김 사무관은 “‘정보보호 수준진단’과 ‘개인정보영향평가’ 등이 ISMS 인증과 유사해 ISMS 인증이 불필요하다는 의견이 있으나, 자율진단인 ‘정보보호 수준진단’ 또는 개인정보에 특화된 일회성 점검인 ‘개인정보보호 영향평가’와 ISMS 인증과는 목적이나 성격·방식·항목 등에 있어 큰 차이가 있다”면서 “대학의 인증준비 부담 등을 감안해 2017년까지 인증기한을 유예하고 개정 정보통신망법상 신규 의무대상은 시행 후 6개월 이내에 인증을 받도록 규정하고 있다”고 설명했다.
덧붙여 그는 “미인증시 3천만원의 과태료를 부과하도록 되어 있으나, 준비기간과 인력·예산 등의 부담을 고려해 2017년 말까지 과태료 부과를 유예할 것”이라고 말했다.
[김태형 기자(boan@boannews.com)]
ISMS 인증 의무화 반대하는 대학 측 인사들 대다수 참석, 성토 이어져
미래부, ISMS 인증 통해 효과적인 보안체계 구축 계기 삼아야
[보안뉴스 김태형] 지난 6월 2일 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’의 시행령 및 시행규칙이 개정되면서 정보보호 관리체계(ISMS) 인증제도의 인증 의무대상이 의료와 교육 분야로 확대됐다. 이에 띠라 연간 매출액 또는 세입이 1500억 이상의 상급병원과 재학생수 1만명 이상인 학교는 ISMS 인증을 받아야 한다.
이와 관련 국내 37개 대학들이 이번 ISMS 인증 의무화 대상에 포함된 것으로 알려졌다. 이에 전국 133개 대학교 및 대학의 정보화 책임자 모임인 ‘한국대학정보화협의회’는 지난 5월 31일 공포된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 시행령’에서 대학교가 인증의무 대상에서 제외될 수 있도록 하는 시행령 개정을 촉구하면서 대학의 ISMS 인증 의무화의 실효성과 문제점에 대해 토론하는 자리를 마련했다.
이번 토론회는 한국대학정보화협의회가 한국대학교육협의회, KREN(한국교육전산망)협의회, 전국대학IT관리자협의회 등과 공동으로 8일 서울 프레스센터에서 개최한 ‘ISMS 인증의 실효성과 대학 의무인증 문제점 전문가 토론회’라는 이름으로 진행됐다. 그러나 이번 토론회는 시행령 개정안을 마련한 미래창조과학부 김기홍 사무관 외에 패널과 참관객 대부분이 대학의 ISMS 인증 의무화에 반대하는 인사들도 채워져 공정한 토론보다는 이번 의무화 조치를 성토하는 자리가 됐다는 평가다.
이날 한국대학정보화협의회 김규태 회장은 “정부는 연간 매출 1500억 이상, 재학생 1만명 이상 대학에 인증을 의무화하는 정보통신망법을 개정했다. 이는 전형적인 탁상공론이며, 과잉규제 및 중복규제로 보고 있다. 이번 토론회가 정보통신망법 시행령 개정을 통해 대학이 ISMS 인증 의무화 대상에서 제외될 수 있는 방안을 강구하고, ISMS 인증을 받아야 한다면 어떤 이점이 있는지에 대해 심도 있는 논의가 이루어지길 바란다”고 말했다.
이날 패널 토론자로 나선 아주대학교 중앙전산원장 이정태 교수는 “ISMS 인증 대상에 대학을 포함하는 정보통신망법 개정안은 현 정부의 주요 국정 기조인 규제개혁 및 완화, 중복규제 해소 등에 역행한다”면서 “개정된 시행령은 과잉규제·중복규제이며 이중 처벌의 논란이 있다. 특히, 이번 시행령은 법률 효과에 대한 과학적·객관적 근거가 불충분하다”라고 말했다.
또한 그는 “평가항목의 규모나 난이도 측면에서 ‘ISMS > PIA(개인정보영향평가) > 교육부개인정보 수준진단’ 순인데, 모두 다 중복되는 부분이 있다. ISMS의 점검항목은 ISO 27001에서 시작했기 때문에 상당히 유사성이 있고 대학의 경우 이미 교육부에서 매년 개인정보 수준진단을 실시해 결과를 제출하고 있다”고 덧붙였다.
이 교수는 “결론적으로 해외에서도 대학을 인증제도 의무화로 규제하는 사례는 없으며 자율 규제가 국제적인 추세다. ISMS 인증 자체는 바람직한 제도이며, IT 선진국이 되기 위해 반드시 도입해야 할 제도이지만 법규로 강제화하는 것은 국제적인 추세에 역행하는 것”이라고 말했다.
이어서 오픈넷 김가연 변호사는 “정부가 특정 서비스나 기술을 편파적으로 강제화하는 것은 다양한 기술이나 서비스의 공정한 경쟁을 가로 막는 원인이다. 정부가 개입해 특정 인증이나 기술을 강요하는 행위는 나날이 발전하는 기술을 따라가지 못하고 기술 발전을 저해할 수 있다”면서 “공인인증서의 경우에도 정부가 강제로 규정하면서 기술중립성 위반, 금융기관 책임회피용으로 활용되는 문제가 발생했다. 이번 ISMS인증 의무화도 마찬가지다. 결론적으로 ISMS 인증은 기술중립적 규제이어야 하고, 자율규제로 시행되어야 한다고 생각한다”고 주장했다.
그러나 수많은 학생들의 개인정보와 연구인력들이 개발한 핵심기술을 보유하고 있는 대학의 보안을 강화하기 위한 정보보호 제도를 규제의 관점으로만 바라봐서는 안 된다는 미래부 측의 입장도 팽팽히 맞섰다.
이와 관련 미래창조과학부 사이버침해대응과 김기홍 사무관은 “이번 대학의 ISMS 인증 의무화는 합법적인 절차와 수단을 가지고 제도화 됐다고 본다. 즉, 국무조정실의 사전 검토와 관계부처 협의, 그리고 규제개혁위원회 논의를 거쳤다”면서 “절차적으로 최선을 다했고, 방법에 있어서도 과잉규제와 중복규제라는 지적을 따져 보면, 정보보호를 단순히 규제로만 볼 수 없다고 생각한다”고 말했다.
이어서 그는 “정보보호 조직이 있고, 정보보호 시스템을 운영하고 있다면 이번 인증 준비가 보다 효과적인 보안 시스템을 갖추기 위한 계기가 될 수 있다. 또한, 대학의 총장님이나 학내 관계자들에게 정보보호의 중요성을 인식시키고 지지를 이끌어 내는 계기가 될 것이라고 본다”면서 “특히, 대학 구성원의 소중한 정보를 보호하고 중요한 연구성과의 유출을 막기 위해 정보보호 체계를 강화할 필요가 있다. 최근 학내 정보침해 사고 사례를 보면, 교육분야가 전체의 11%를 차지하고 있다. 하지만 ISMS 인증을 받은 대학교는 한곳도 없기 때문에 대학의 ISMS 인증 의무화는 꼭 필요하다”고 강조했다.
김 사무관은 “‘정보보호 수준진단’과 ‘개인정보영향평가’ 등이 ISMS 인증과 유사해 ISMS 인증이 불필요하다는 의견이 있으나, 자율진단인 ‘정보보호 수준진단’ 또는 개인정보에 특화된 일회성 점검인 ‘개인정보보호 영향평가’와 ISMS 인증과는 목적이나 성격·방식·항목 등에 있어 큰 차이가 있다”면서 “대학의 인증준비 부담 등을 감안해 2017년까지 인증기한을 유예하고 개정 정보통신망법상 신규 의무대상은 시행 후 6개월 이내에 인증을 받도록 규정하고 있다”고 설명했다.
덧붙여 그는 “미인증시 3천만원의 과태료를 부과하도록 되어 있으나, 준비기간과 인력·예산 등의 부담을 고려해 2017년 말까지 과태료 부과를 유예할 것”이라고 말했다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.JPG)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
