대학 ISMS 인증 파열음 …부산대 "과태료 무효" 주장

[아이뉴스24 최은정 기자] 대학 대상 정보보호관리체계(ISMS) 인증을 둘러싼 잡음이 여전하다.

기한 내 인증을 받지 않아 제재를 받은 부산대가 법원 약식결정에 불복 이의를 제기한 가운데 1차 심문기일에서 정보통신망법 시행령 개정안 등 관련 법 체계 문제에 대한 주장이 제기됐다. 입법 예고 등 절차 상 하자로 정부의 과태료 부과 등 제제는 무효라는 주장이다.

22일 법무법인 다산에 따르면, 지난 19일 오전 부산지방법원이 진행한 심문기일에서 부산대는 대학기관을 ISMS 의무 대상자로 지정했던 정보통신망법 시행령 개정안이 입법예고 없이 진행됐다는 점을 들어 과태료 부과 무효를 주장했다.

앞서 지난 2016년 6월 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)' 개정안이 시행되면서 대학과 종합병원도 ISMS 인증 의무 대상에 포함됐다. 이때부터 사용자 1만명 이상, 운영 수입 1천500억원 이상인 대학·병원 기관은 ISMS 인증을 받아야 했다.

다만 이 과정에서 부산대 등 일부 학교가 기한내 인증을 받지 않아 과태료 부과 등 제재를 받았다. 부상대는 관련 제재에 불복, 이의를 제기한 상태다.

부산대 측은 법 개정안 시행 이후 수정된 세부 기준이 입법예고에 포함되지 않았다는 이유를 들어 절차상 문제가 있다는 주장이다. 개정안 시행 당시 ISMS 인증 대상은 '이용자 수 1만명 이상' 기업·기관으로 표기돼 있었으나 구체적으로 대상을 지정, ISMS 인증 대상 대학 기준을 '재학생 1만명 이상'으로 바꾼 부분은 입법예고가 되지 않았다는 것.

또 부산대는 이날 심문기일 자리에서 현재 정부 부처에서 정보통신망법 시행규칙 등 개정 작업이 진행 중이라는 점도 근거로 제시했다.

실제로 지난 2월 과학기술정보통신부는 교육부 '정보보호 수준 진단'과 ISMS가 이중규제라는 점을 감안해 이를 상호인정하기로 했다. 정보보호 수준진단에서 최고 등급인 '우수' 등급을 받으면 그 해 ISMS 인증을 받은 것으로 간주하고, 정보보호 수준 진단 평가항목을 ISMS 인증 수준으로 강화하자고 교육부와 협의한 것이다.

과기정통부는 현재 정보통신망법 시행규칙과 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 개정을 추진하고 있다. 이런 상황을 고려할 때 대학이 고의로 ISMS 인증을 받지 않았다고 볼 수 없다는 게 부산대 측 입장이다.

이 외에도 부산대는 정보통신망법 시행령 개정 작업이 진행되고 있다는 점, 국립대는 과태료 부과 당사자가 될 수 없다는 점, 위반행위에 대한 정당한 사유가 있다는 점 등도 함께 진술한 것으로 알려졌다.

이에 대해 부산법원 재판장은 대학이 과태료 부과 대상이 될 수 있는지 법리적으로 검토가 필요하고, 심문 종결 이후 과태료 부과가 정당한지 살펴보겠다고 발언했다는 게 다산 측 설명이다.

이 가운데 일각에선 국립대 총 10곳을 대상으로 과태료 부과 결정이 내려질 경우, 국립대 측이 이에 항고할 것이라는 예측도 나오고 있는 상황이다.

이번 ISMS 미인증 국립대 사건을 공동 담당하고 있는 김영기 다산 변호사는 "법원이 어떤 판결을 내릴 지 정확하게 예측하기는 어렵다"고 말했다.

한편, 다산은 오는 26일까지 나머지 9개 국립대에 추가 의견서를 관할 법원에 각각 제출한다는 계획이다.