국회에 4개의 사이버테러방지법이 발의된 가운데, 장여경 진보네트워크 정책활동가가 그 법안에 숨겨진 위험성을 지적하는 글을 보내왔다. 장여경 활동가는 사이버테러방지법이 통과될 경우 국정원이 민간 인터넷서비스에 무차별적으로 개입할 수 있게 된다고 지적한다. [편집자말] |
지난해 이맘 때쯤 국회 미래창조과학방송통신위원회 공청회장에 있었다. '클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률' 제정을 논의하는 자리였다. 이 신기술 법안을 둘러싼 주요 쟁점 중 하나는 뜻밖에도 국가정보원 문제였다. 정부가 발의한 법안에서 국정원이 민간 클라우드컴퓨팅서비스 '기준'을 정하도록 한 것이다.
당연한 반발이 일었다. 국민들은 정보·수사기관이 디지털 플랫폼에 개입하는 것에 민감해져 있었다. 국정원 전 원장을 비롯한 간부들이 국내정치와 선거에 개입했다는 사실이 드러났고, 국회 국정원 개혁특위는 무력하게 끝난 상황이었다. 카카오톡 압수수색 논란이 일자 외국산 메신저로 이동한 사이버망명객이 2백만 명에 달했다.
공청회장에서는 국정원이 클라우스서비스에 관여하면 국민이 국내 서비스를 불신하는 것으로 이어질 수 있다는 지적이 이어졌다. 전문가, 야당 의원은 물론 여당 일부 의원들까지 지적에 나섰다. 결국 주무부처인 미래창조과학부는 국정원 관련 조항을 제외하는 수정안을 마련하여 법안을 통과시켰다.
사이버테러방지법 통해 국정원에 민간인터넷 개입 권한 준다그로부터 1년이 지났다. 국정원 해킹사찰 의혹이 일었지만 국정원이 국회의 자료제출 요구에 버티기로 일관하며 아무것도 제대로 밝혀지지 않았다. 그 와중에 난데 없이 사이버테러방지법 논란이 불거졌다.
현재 국회에서 논의중인 테러방지법 12개 법안 가운데 4개 법안이 사이버테러방지법안이다. 파리테러 이후 급물살을 타고 있는 이 법안들을 살펴보면 국정원이 비극적인 사건을 자기 기관 욕심에 이용하는 것은 아닌지 우려가 생긴다. 왜냐하면 사이버테러방지법안들에서 국정원이 민간 인터넷 서비스를 지휘·감독할 권한을 요구하고 있기 때문이다. 클라우드컴퓨팅법에서보다 더 큰 권한이다.
국정원은 이미 국가사이버안전규정에 따라 국가망을 관리해오고 있었다. 이런 마당에 사이버테러방지법이 필요한 이유는 민간 인터넷까지 관리하기 위해서이다. 이 법안에 따르면 국정원장 산하에 설치되는 '국가사이버안전센터'는 민·관·군을 아울러 지휘·감독한다. 이렇게 국정원의 지휘·감독을 받게 될 민간에는 집적정보통신시설사업자, 즉 IDC와 주요정보통신서비스 제공자, 즉 통신사, 포털, 쇼핑몰이 포함된다. 언제? '사이버테러'를 예방하고 대응하기 위해 상시적으로.
그런데 '사이버테러'란 무엇인가? 법안에 따르면 해킹·컴퓨터 바이러스·서비스방해·전자기파 등 전자적 수단에 의하여 정보통신망을 공격하는 행위를 말한다. 그런데 인터넷에서 해킹 사고나 바이러스 유포란 것은 늘 일어나는 일이다. 결국 국정원이 상시적으로 민간 인터넷 서비스에 개입할 수 있는 것이다.
어떻게? 먼저 사이버테러 사고가 일어났을 때이다. 사고 조사결과를 보고받은 국정원은 해당 인터넷 서비스에 특정한 조치를 요구할 수 있고, 서비스 제공자는 특별한 사유가 없는 한 이에 따라야 한다. 또 국정원은 사고 발생 때뿐 아니라 이를 '예방'하기 위하여 많은 일을 할 수 있다.
국정원은 인터넷 서비스 기관들로부터 인터넷망, 소프트웨어의 취약점을 보고받는데, 보고하지 않는 기관들은 형사처벌받는다. 카카오톡 취약점을 몰라 카카오톡 해킹을 못했다면 앞으로는 보고된 취약점을 활용할 수 있을 것이다.
인터넷망을 상시적으로 엿보는 것도 가능하다. 국정원은 지금도 국가보안법 수사를 위해 패킷감청기법으로 인터넷회선을 감청하고 있는데 이 법이 제정되면 일일히 영장을 받을 필요도 없어질지 모르겠다. 이 법에 따라 국정원이 만들 시행령에서 더 많은 것들을 요구할 수도 있다.
미래부가 해오던 사이버공격 관리, 왜 갑자기 국정원이?다른 나라에는 사이버테러법이 있다고? 한국도 이미 충분히 사이버테러에 대응해 왔다. 그간 우리도 수많은 개인정보 유출 사고, 해킹 사고, 디도스 공격을 경험했다. 그리고 그때마다 정부 각 부처는 대응 노하우뿐 아니라 자기 감독 권한도 하나씩 늘려 왔다. 그렇게 민간 인터넷을 관리해 온 곳이 미래창조과학부, 한국인터넷진흥원 등이다.
미래창조과학부 사이버안전센터 운영규정에서는, "사이버공격이란 해킹·컴퓨터바이러스·서비스방해·전자기파 등 전자적 수단에 의하여 정보통신망을 침입·교란·마비·파괴하거나, 정보통신망을 통해 보관 유통되는 전자문서·전자기록물을 위조·변조·유출 ·훼손하는 일체의 공격행위를 말한다"고 정의하고 있다. 사이버테러법 안에서 규율하려는 행위와 다를 바 없는 대상들을 이미 미래부가 규율해온 것이다. 그런데 왜 갑자기 비밀정보기관인 국정원이 이를 관리해야 하는지에는 아무런 설명이 없다.
지난해 반테러 보고관이 유엔 총회에서 경고했듯이 디지털 환경에서 정보기관의 정보수집을 통제하지 못한다면 국민들의 '프라이버시는 말살'될 것이다. 인터넷 회선 전체에 오가는 패킷을 들춰보는 기술은 이미 비밀이 아니며 위험한 수준까지 남용되고 있다. 인터넷회선 사업자가 웹하드 서비스를 차단하기 위해서나 이동통신사가 보이스톡과 같은 엠보입 서비스를 차별하는 데도 사용되고 있다.
하물며 디지털시대 국가 감시는 과거보다 더욱 은밀하게, 대규모로, 손쉽고도 저렴하게 엿볼 수 있는 수준이다. 인터넷에 올라온 정보를 수집해서 분석하면 어떤 사람의 행동거지는 물론 머릿속 생각까지 실시간으로 알 수 있다.
한국이 다른 나라보다 상황이 더 나쁜 이유는 국가정보기관이 매우 비대하다는 데 있다. 한국의 유일한 국가정보기관은 국내파트, 해외파트, 수사, 정보, 기획조정 직무를 한 몸에 다 가지고 있다. 때로는 영장을 가지고 감청하고 때로는 대통령 승인만으로 감청할 수 있다.
국내파트, 해외파트, 신호파트, 수사, 정보 등 정보기관'들'의 권한과 기관이 명확하게 분리되어 상호견제와 정보공유를 하도록 한 다른 나라와 너무 다르다. 그러니 한국에서 국정원의 권한 오남용을 둘러싼 논란이 그치지 않는다. 국제사회 기준으로도 문제가 있다. 올해 유엔 자유권위원회는 국정원의 통신수사를 감독할 수 있는 기제를 도입해야 한다고 한국 정부에 권고했다.
그러나 한두 명의 감독관제를 도입한다고 해서 국정원 감독이 가능할 것 같지는 않다. 이 공룡 비밀정보기관의 직무를 근본적으로 개편하지 않고는 이 기관이 진짜 하고 있는 일을 통제하는 것은 불가능할 것이기 때문이다.
국회가 해야 할 일은 국정원에 대한 국민들의 실망과 불신에 답하는 것이다. 아무 것도 변하지 않았는데 국정원의 새로운 직무를 넓혀주는 것은 국민을 배신하는 행위다. 이것은 국민의 정보인권에 관한 문제이고 정치공학적으로 교환할 대상이 아니다. 사이버테러에 더 이상의 대안은 필요 없다. 여전히 언제든지 국내정치에 개입하고 선거에 개입할 수 있는 국가정보기관을 개혁하는 것, 그것이 사이버테러보다 선결해야 할 문제이다.