){kind=link}
){kind=link}
){kind=link}
){kind=link}
){kind=link}
 |
ESC 대표·고려대 공대 교수 마을 사람들이 자물쇠를 문고리에 단단히 물리려 합니다. 도둑이 출몰하기 때문입니다. 이때 촌장이 이렇게 말합니다. “보안은 중요한 문제라 개인에게 맡길 수 없으니, 지정된 공인 자물쇠를 모두 의무적으로 사서 이용하시오.” 안전한 자물쇠를 제공받는 사람들과 그걸 만들어 돈을 버는 장인에게 두루 이로운 정책처럼 보이기도 합니다만, 사실 이건 도둑에게도 나쁘지 않은 일입니다. 공인 자물쇠 하나만 풀면 되니까요. 게다가 이제 마을엔 다른 자물쇠를 만드는 장인도 남아 있질 않습니다. 정부 공인인증의 문제는 본질적으로 이와 같습니다. 인증 기준이 아예 필요없다는 뜻이 아닙니다. 하나의 기준을 정부가 정해 강제하는 게 잘못이란 이야기입니다. 우리는 이미 공인인증서를 의무적으로 사용하면서 그 폐해를 직접 경험한 바 있습니다. 정부가 최소한의 기준만 제시하고, 구체적인 대책은 민간에 맡기는 게 순리입니다. 사고가 생기면 서비스 제공 기관이 제대로 책임지도록 해야 할 테고요. 안타깝게도 공인인증은 여전한 현실입니다. ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’(정보통신망법)에 따라 기업들이 ‘정보보호 관리체계’(ISMS)의 인증을 받고 있기 때문입니다. 관치 보안의 한계가 분명한데도 말입니다. 실제로 2014년 국정감사에선 ISMS 인증을 받은 254개 기업 가운데 무려 30곳에서 정보 유출 사고가 있었다는 사실이 드러나기도 했습니다. 이렇듯 ISMS의 실효성에 의문을 제기할 수밖에 없는 상황에서 최근 놀라운 일이 일어났습니다. 미래창조과학부가 지난 6월2일 정보통신망법 시행령을 통해 병원과 대학을 ISMS 의무 인증 대상에 포함한 것입니다. 설령 ISMS가 기업의 정보 보호와 보안에 도움이 되는 인증 체계라 하더라도 교육기관인 대학엔 알맞지 않습니다. 대학이 ISMS 인증을 받으면 외부 클라우드 서비스를 사용하는 데도 여러 제약이 따르리라 예상됩니다. 클라우드에서 학생들과 문서도 공유하며 지금처럼 자유롭게 협업하는 게 앞으론 어려울지도 모르겠습니다. 외장 하드디스크나 메모리를 쓰는 데도 보호 대책과 사용허가·등록·반출입 절차가 필요하고, 모바일기기를 업무 목적으로 활용할 때엔 기기 인증과 승인, 보안 설정, 접근 제한, 오남용 모니터링 등의 통제를 받게 될 수도 있습니다. 망 분리도 심각한 사안입니다. 교수에겐 학사·행정과 연구에 관한 일이 모두 연관돼 있기에 망 분리에 따르는 비효율성은 심각한 수준이 될 것입니다. 또 다른 문제는 ISMS 인증 비용이 만만찮다는 점입니다. 컨설팅에 1억~2억원이 들고, 조직 구성이나 장비 구매까지 합하면 대학마다 10억원에 이르는 돈이 필요할 수도 있습니다. 망 분리 비용까지 보태면 계산조차 쉽지 않습니다. 대학들로선 어쩌면 과태료를 무는 게 합리적인 선택일 수도 있을 듯합니다. 1천만원이었던 과태료가 3천만원으로 올랐다 해도 말입니다. 이익을 보는 이들도 물론 있습니다. 인증 주체인 한국인터넷진흥원(KISA)뿐만 아니라, 인증 컨설팅 업체도 수혜자입니다. 새로운 시장이 열린 셈이니까요. 최근엔 KISA에서 ISMS 심사를 책임져온 인사가 컨설팅 업체로 자리를 옮겼다는 소식도 전해졌습니다. 전형적인 이해충돌입니다. 한국의 대학은 갈 길이 멉니다. 지금 이렇게 잘못된 문제에 힘을 소모할 때가 아닙니다. 대학은 이미 정보보호 수준을 진단하고 그 결과를 대학 알리미에 공시하고 있으며, 이 과정은 대학평가에도 반영되고 있습니다. 대학의 정보보호 관리체계를 강화하려면 교육부와 협의해 이러한 시스템을 보완하면 될 일이라 여깁니다.
기사공유하기