「국립대학자원관리시스템(KORUS) 운영 등에 관한 규정」 제정안에 대한 의견서

전북대학교 교수회

「국립대학자원관리시스템(KORUS) 운영 등에 관한 규정」 제정안에 대한 의견을 다음과 같이 제출합니다.

1. 국립대학자원관리시스템(KORUS) 도입 자체의 문제점

2017. 5. 17. 입법예고한 「국립대학자원관리시스템(KORUS) 운영 등에 관한 규정」(안)(이하 ‘규정(안)’이라 합니다.)에 관한 의견을 말하기에 앞서 국립대학자원관리시스템(KORUS)(이하 ‘코러스’라 합니다.) 자체가 가진 문제가 중대하여 그 문제점을 지적하지 않을 수 없습니다. 이미 다른 여러 문서를 통하여 공표되었듯이, 코러스가 국립대학 경영효율화와 재정건전성 강화라는 목적을 가진 것임에도 불구하고 현실적으로 그 도입의 필요성이 인정되지 않으며, 그 도입과 관련한 의사결정 과정에서 절차적인 흠결이 있고, 사업 도입의 법률상 근거가 충분하지 않을 뿐만 아니라, 재정적인 낭비도 초래하고 있으며, 무엇보다 보안이 매우 취약하다는 문제를 안고 있습니다.

가. 코러스의 사업 타당성 문제

대학의 경영효율화나 재정건전성의 강화라는 목적이 코러스 도입에 의하여 달성되기는 어렵습니다. 코러스의 도입 이전에도 각 국립대학은 자체적으로 학교의 실정에 맞는 프로그램을 사용한 독자적 시스템을 큰 불편 없이 운용하여 왔습니다. 그리고 국립대학의 경영이 비효율적이거나 재정의 건전성에 문제가 있다면, 그것은 관리시스템보다는 업무의 처리 자체로 인한 것이라고 보아야 합니다. 프로그램이나 시스템의 문제라면 각 대학별로 고쳐 나가면 될 일입니다. 코러스가 최신의 정보기술을 적용하여 각 대학이 편리하게 활용하도록 하고 이로써 업무처리를 효율적으로 하도록 한다고 해도 기존에 각 대학이 사용했던 시스템보다 그 효율성에 있어 더 낫다고 단언하기가 어렵고, 클라우드 기반 서비스의 특성상 오히려 보안성에 있어서는 매우 취약한면을 보여주고 있어 기존의 시스템보다 안전하다고 보기도 어렵습니다. 특히, 교육부가 극구 부인하듯이 각 국립대학에 대한 재정회계 등 정보를 통합함으로써 국립대학에 대한 통제와 감시를 할 의도가 아니라면, 각 대학마다 별도로 관리하고 있던 시스템을 통합해야 할 어떠한 이유도 없습니다. 나아가 코러스가 도입된 이후에도 대학마다 다른 시스템을 병행하여 사용할 수밖에 없다면 당초 제시된 경영효율화라는 목적은 오히려 달성되기가 어렵게 됩니다.

나. 코러스 도입의 절차적 문제

이 사업은 그것을 도입하여야 할 현실적인 필요성이 뚜렷하게 제시되지 않은 상황에서, 교육부가 국·공립대 교직원의 의견을 충분히 수렴하지도 않고 암암리에 추진해 오다가 2017. 1. 2. 전격적으로 도입한다고 발표하였습니다. 이 사업의 도입에 관하여 국립대학 총장의 동의가 있었다고는 하나, 교육부가 추진하는 사업에 대해 국립대학의 총장이 반대의견을 제시하기는 쉽지 않다는 점에서 그 동의가 자발적이고 흔쾌한 것이라고 보기는 어렵습니다. 더구나 2017년 1월 국교련 임원진이 교육부를 방문한 자리에서 교육부의 담당자도 이 사업 도입의 절차적 문제에 대해서 인정을 한 바있으며, 코러스의 도입 이전에 진행되었어야 할 사업설명회나 의견청취 등의 절차가이 사업 도입을 결정하고 나서야 진행되는 등 사업의 추진 과정 자체가 절차적으로정당하지 않습니다.

교육부와 국립대학의 관계가 상하의 행정청 사이의 관계로 여겨질 수 있으나, 우리 헌법상 대학은 대학의 자율권의 주체로서 헌법적 기본권이 인정되고 있으며 코러스 도입이 대학의 자율성을 제약하고 대학의 정보에 관한 보유와 관리에 중대한 영향을 미치는 것이라는 점에서, 다음에서 언급하는 법률적 근거와 함께 행정절차법상의 절차를 지켜야 합니다. 대학의 구성원 대부분이 모른 채 오로지 총장만이 동의한 것을 근거로 사업설명회나 대학이나 대학구성원의 의견청취 절차가 생략된 채 전국 국립대학의 주요한 정보에 대한 관리를 한 곳에 집중시키고, 이에 대한 비용부담을 대학에 전가하는 의사결정을 하는 것은 행정절차법에 위반되는 것입니다.

다. 코러스 사업의 법적 근거의 문제

앞에서 말했듯이, 이 사업은 단지 국가기관 내의 행정적 처리절차의 변화에 관한 것을 넘어서는 것입니다. 이 코러스의 도입은 대학의 자율권과 대학의 정보관리 업무에 상당한 부담을 주고 그 관리에서의 위험성을 증가시키고 있습니다. 국립대학이 단지 국가기관 또는 영조물에 불과한 것이 아니라 헌법상 기본권의 주체가 된다는 점에 비추어 보면 국립대학의 사무처리에 관한 제도의 변경은 때로는 대학의 기본권을 제약하는 것이어서 그 추진이나 도입이 법률에 의하거나 법률에 근거를 가져야 합니다.

교육부가 코러스 도입의 근거로 재정회계법, 교육기본법, 전자정부법 관련조항 등을 제시하고 있으나, 이것만으로는 코러스가 재정회계 업무 이외에 산학협력, 교육과 연구 등 업무까지 관할하고 이들 정보를 통합하는 것을 설명하기 어렵습니다.

라. 코러스의 실용성 문제

교육부는 국립대학 경영효율화와 재정건전성을 높인다는 목적으로 코러스를 추진·도입한다고 하지만, 코러스는 이미 각 대학마다 사용중인 시스템을 충분히 대체하는 것도 아니고 또 그 동안 사용된 시스템보다 월등한 기능을 가진 것도 아닙니다. 한 예로, 코러스에서는 학사관리에 관한 사항은 다루지 않고 있으나, 이러한 사항을 기록하지 않고 다른 사항을 처리하기 어려우므로 각 대학은 코러스의 도입에도 불구하고 저마다 별도의 학사관리 프로그램을 함께 운용하지 않으면 안 됩니다. 즉, 코러스는 대학의 재정을 중심으로 효율성과 건전성을 강화한다는 취지에서 도입되었지만, 그 취지상 대학의 모든 기능을 시스템에 담지 못하여 기존의 대학이 운영한 시스템을 대체하지도 못하는 것입니다. 결국 각 국립대학은 코러스와 각 대학의 시스템을 이중으로 운영할 수밖에 없게 됩니다. 게다가 코러스 운영을 위해 각 대학에서 인력과 비용을 분담하도록 하고 있어 대학의 재정부담을 가중시키고 있습니다. 나아가 대학의 규모나 특성을 반영하지 못한 채 프로그램이 설계되어 있어 비효율적이기도 합니다.

이 사업은 초기 시스템 구축단계에서 무려 554억 원이 소요되었으며 이후에도 각국립대학이 그 유지비용을 부담하도록 하고 있습니다. 우리 대학의 경우도 시스템 구축에 약 20억 원을 지출하였으며, 이후에도 매년 약 3억 원을 운영비로 부담해야 하는 처지입니다. 기존의 시스템과 병행하지 않으면 안 되고 그 자체로 완전하지도 완벽하지 않은 시스템을 도입하는 것은, 국립대학에 재정적 부담을 주는 것인 동시에 국가재정의 엄청난 낭비라고도 할 것입니다.

더구나 코러스는 클라우드 방식의 사스(SaaS. Software as a Service) 시스템을 사용하고 있는데, 이는 저렴하게 시스템을 운용할 수 있다는 장점이 있는 반면에 기술적으로는 클라이언트의 권리(권한)부여가 곤란하다는 점과 취약한 보안이 심각한 문제점으로 지적되고 있습니다. 규정(안)에서는 각 국립대학이 정보의 소유권을 가진다고 하여 마치 각 대학의 정보가 대학별로 관리되고 안전할 것으로 전제하고 있으나(규정(안) 제3조 제3항), 클라우드 기반 서비스의 특성상 사용자에 해당하는 클라이언트는 본질적으로 소유권이나 소유권과 유사한 권리나 권한을 가질 수가 없습니다. 왜냐하면 클라우드 기반서비스에서의 클라이언트는 해당 정보를 직접 점유 또는 보유하고 있지 않기 때문입니다. 따라서 각 대학의 관리자는 터미널을 통해 제공되는 코러스 서비스에 대하여 어디까지나 가상의 권한만을 가질 뿐이고, 관리행위의 직접적‧최종적인 관리주체는 항상 서버측(즉 교육부)일 수밖에 없습니다. 즉 코러스가 클라우드기반의 서비스인 이상, 각 대학의 차원에서 해당 데이터에 대하여 가질 수 있는 실질적인 권리는 전무하다는 것입니다.

또한 코러스 시스템이 운용되면 종래에는 분산되어 있던 정보가 한 군데에 취합되게 되므로, 요즘처럼 해킹사고가 빈번한 시점에 매우 좋은 해킹대상이 새로이 구성된다는 점도 결코 간과할 수 없는 문제입니다. 설사 해킹의 가능성을 배제한다고 하더라도, 대량의 정보가 한 군데로 취합된다는 것 자체가 이미 통제나 사찰 등 오남용의 가능성을 내포하고 있기도 합니다.

한편 취약한 보안성이 또 다른 문제점입니다. 이는 코러스 시스템이라는 단일차원의 문제가 아니라, 클라우드 기반 서비스가 가지는 공통의 문제이자 치명적인 한계이기도 합니다. 물론 그 어떠한 시스템도 완벽한 보안성을 가질 수는 없는 것이겠으나, 특히 클라우드 기반 서비스는 여타의 시스템에 비해 보안성의 확보가 떨어질 수밖에 없는 본질적 특성을 가지고 있습니다.

2. 규정(안)의 문제점

가. 제1조(목적)

규정(안)의 법률적 근거로 교육기본법 제23조1)가 제시되고 있습니다. 그러나 코러스는 단지 교육의 정보화에 관한 시스템이 아니라 국립대학의 재정회계 등의 정보를 통합하여 관리하는 시스템입니다. 즉, 단순한 교육정보의 정보화가 아니라 대학정보의 통합이 코러스의 핵심입니다. 아직 어느 정도 수준에서 국립대학의 정보가 통합될지에 대해서는 알 수 없으나, 규정(안) 제2조의 1호에서 코러스(KORUS)가 “대학의 자원을 통합한 정보 서비스를 제공”함으로써 “대학 내·외의 상호조화와 협력”을 이룬다고 하고 있는 점에 비춰 보면 그 정보의 통합이란 단지 각 대학별로 통합된다는 의미가 아니라 전체 국립대학간의 정보 비교나 통합 등에 이를 것이라는 게 충분히 예상됩니다. 더구나 (교육부와 같은 주체가) 모든 국립대학의 정보를 한 눈에 볼 수 있는 이점이 아니고서는 이러한 시스템을 굳이 도입하여야 할 현실적인 필요성도 달리 찾을 수 없습니다. 따라서 이 시스템을 도입하는 데는 단지 교육에 관한 정보화를 규정한 교육기본법 제23조나 같은 법 제23조의2 정도를 제시하는 것만으로는 부족합니다.

앞에서 언급한 바와 같이 대학이 교육부의 하급 관청이 아니라 헌법상 기본권의 주체가 되는 지위에 있다면 더욱 그 주체의 정보를 통합관리하는 시스템을 도입하는 데에는 별도의 근거가 필요합니다. 규정(안)에는 이 시스템의 법률적 근거를 충분히 찾을 수 없습니다.

나. 제3조(코러스 운영원칙)

규정(안)은 대학 구성원이 우려하고 있는 바를 의식해서인지, 제2항에서 “개별대학의 시스템 운영에 대하여 독립성과 자율성을 보장하여야 한다”고 규정하고 있습니다.

그러나 이것은 각 대학별로 시스템을 사용하는 데 독립성과 자율성을 보장하겠다는 것이지, 각 대학의 다양한 정보를 실시간으로 조회하고 감시하는 행위를 배제한다는 뜻으로 읽히지 않습니다. 더구나 이 시스템이 기술적으로도 보안성이 취약하여 해킹에 노출될 위험이 높은 것과 각 대학 정보의 관리에 위험이 있다는 점에서 코러스에 대해 예상되는 위험이나 국가에 의한 대학 감시의 우려를 불식하기에는 결코 충분하다고 할 수 없습니다.

제3항에서 대학 데이터의 소유권은 개별대학에 있고 해당 대학만이 정보와 보안관리를 한다고 규정하지만 이는 클라우드 기반 서비스의 특성상 허구에 불과합니다. 클라우드 기반서비스에서의 사용자에 해당하는 클라이언트는 해당 정보를 직접 점유 또는 보유하고 있지 않기 때문에 클라이언트는 본질적으로 소유권이나 소유권과 유사한 권리나 권한을 가질 수가 없습니다. 각 대학의 관리자는 터미널을 통해 제공되는 코러스 서비스에 대하여 어디까지나 가상의 권한만을 가질 뿐이고, 관리행위의 직접적‧최종적인 관리주체는 항상 서버측(즉 교육부)일 수밖에 없습니다. 즉 코러스가 클라우드 기반의 서비스인 이상, 각 대학의 차원에서 해당 데이터에 대하여 가질 수 있는 실질적인 권리는 전무하다는 것입니다. 또한 이 규정만으로는 각 대학의 정보관리자의 상위 단계에서 각 대학의 정보를 조회하고 필요한 감시를 하는 행위를 차단할 수없으며, 각 대학 정보관리책임자의 충실한 정보관리가 오히려 그러한 전체 시스템을 통제할 수 있는 자에 의한 정보조회나 대학 감시에 적절한 정보관리를 수행하고 있는 것에 지나지 않을 수 있습니다.

다. 제4조(운영위원회)

코러스 운영과 관련하여 운영위원회를 두고 국립대학 사무국장, 국·공립대학협의회 정보기관협의회장, 국립대학 정보전산원장 또는 정보화관련 부서장 등 15인 이내의 위원으로 구성한다고 규정하고 있습니다. 그러나 이 위원회가 단지 정보의 처리 등 기술적인 사항만이 아니라 정보관리의 안전성이나 윤리 등의 다양한 문제를 다룰 것이 예상되므로 이 위원회를 국립대학 사무국장 이외에 모두 정보업무 처리 관련 인사로 하는 것은 적절하지 않습니다. 자칫 기술적 문제 이외의 사항에 대해 국립대학 사무국장인 위원이 의사결정을 좌우하는 모습이 우려됩니다.

라. 제6조(관계 기관 등에의 협조요청)

제1항에서는 코러스 업무수행을 위하여 필요할 때 관계행정기관 또는 관련 기관·단체의 장에게 소속 공무원이나 임직원의 파견 및 근무지원을 요청할 수 있다고 하나 이에 관한 비용의 부담에 관하여 전혀 언급이 없습니다. 이는 직원을 파견하는 대학이 그 비용을 부담한다는 전제에 서 있는 것으로 보이지만 시스템의 도입을 교육부가 주도하고 정보를 통합관리하면서 그 비용을 대학에 전가하는 것은 부당합니다.

마. 제7조(접속방법)

접속방법을 제한하는 것은 시스템과 정보의 안전성을 확보하기 위한 것이지만, 이런 규정에도 불구하고 시스템이 각 대학의 정보를 ‘통합’한다는 목적을 추구하는 이상 각 대학 정보관리자 이외의 자가 시스템이나 정보에 접속하지 못한다는 규정에도 불구하고 시스템이나 정보관리의 안전성에 관한 의심이 제기될 수밖에 없습니다. 아울러 주지하는 바와 같이 공인인증서에 의한 인증은 그 본질적인 한계 때문에 사실상 더 이상 인증시스템으로 사용하기가 곤란한 지경에 이른 그야말로 문제의 시스템입니다. 덕분에 현 대통령이 지난 대통령선거에서 폐지하겠다고 공약한 사항이기도 하고, 현재 그 실천을 위한 논의가 진행되고 있는 상황에서 이렇듯 공인인증서를 통한 인증을 규정하고 있는 것은 타당하지 못합니다.

바. 제11조(비밀엄수)

코러스를 통해 취합된 정보를 공개‧사용하는 경우에 대하여 규정(안)은, 제2호에서 ‘통계 및 학술목적 등으로 특정기관이 나타나지 않도록 가공‧사용할 경우’를 규정하고 있습니다. 특정기관이 나타나지 않도록 가공한다는 것은 결국 해당 데이터를 소위 ‘비식별화’한다는 것인데, 그 비식별의 정도와 수준에 대하여는 규정(안)은 전혀 언급하고 있지 않아 문제입니다. 특히 최근의 데이터 가공기술에 의하면 비식별화된 데이터를 다른 데이터들과 조합하여 ‘재식별’해내는 것이 가능하기 때문에, 이렇듯 단순히 ‘특정기관이 나타나지 않도록’만 가공하면 된다는 입법태도는 그야말로 원시적이자 안일한 태도일 수밖에 없습니다.

사. 제13조(개인정보보호)

「공공기관의 개인정보 보호에 관한 법률」은 2011년에 이미 폐지된 법률입니다. 이를 대체하여 현재 「개인정보보호법」(시행 2017.3.30. 법률 제14107호, 2016.3.29., 일부개정)이 민간부문은 물론 공공부문까지 널리 규율하고 있음은, 각종의 해킹사고를 경험해 온 일반인에게도 일종의 상식입니다. 규정(안)이 이렇듯 해당 법률조차 제대로 표기하지 못하고 있는 점을 보면 이것이 정보와 정보정책에 관한 무지 때문이 아닌가 의심되며 과연 교육부가 개인정보 보호의지가 진정으로 있는지 의문이 아닐 수 없습니다.

성명 : 전북대학교 교수회

주소 : 전라북도 전주시 덕진구 백제대로 567 진수당 364호

전화번호 : 063-270-2011