지난 9월 1일 국가정보원은 '국가사이버안보기본법' 제정안을 입법예고했다. 결론부터 얘기하자면, 이 법은 이름만 바꾼 '사이버테러 방지법'이며, 민간 정보통신망에 대한 국정원의 감시와 사찰을 확대할 국정원 권한 강화법이다.
올해 초, 국가비상사태라는 (물론 그러한 사태는 전혀 일어나지 않았지만) 황당한 명분으로 정의화 국회의장이 테러방지법을 직권 상정하고, 192시간에 걸친 야당 의원들의 필리버스터에도 결국 국회를 통과한 것을 모두들 기억하고 있을 것이다. 당시 청와대와 새누리당이 밀어붙였던 또 하나의 법안이 사이버테러방지법이었는데, 정의화 국회의장도 이것까지 직권 상정하는 것은 부담스러웠던 모양이다. 결국 사이버테러 방지법은 19대 국회에서 임기 만료로 폐기됐다.
그러나 사이버테러 방지법에 대한 국정원의 열망은 멈추지 않는다. '국가 사이버위기 관리 법안', '국가 사이버테러 방지 등에 관한 법률안' 등 이름만 바뀌었을 뿐 18대, 19대 국회에서 계속 발의되었고, 이미 20대 국회에서도 새누리당 이철우 의원 대표 발의로 '국가 사이버안보에 관한 법률안'이 국정원의 입법예고안과 별개로 발의돼있다.
국가사이버안보 기본법을 반대해야 하는 이유
그럼, 이 법률안이 어떠한 문제가 있는지 찬찬히 들여다보자. 입법예고안은 국정원에 다음과 같은 역할을 부여하고 있다.
법안에서 국가정보원의 역할
- 지원기관에 사실상 국정원 영향 하에 있는 국가보안기술연구소 포함 (제2조 7호)
- 국가사이버안보 실무위원회 공동 운영 (제5조 3항)
- 사이버안보 기본계획 수립·시행 권한 (제7조 1항)
- 사이버안보 실태 평가 권한 (제8조)
- 국가 차원의 일원화된 신고 및 조사 체계 운영 (제12조 1항)
- '국가 안보를 위협하는 사이버 공격'의 신고 접수 (제12조 2항)
- '국가안보를 위협하는 사이버공격'에 대한 사고조사 (제12조 4항)
- 사이버위기대책본부의 구성 관여 (제15조 2항)
우선 법률안은 국정원이 국가사이버안보 실무위원회를 공동 운영하고 사이버안보 기본계획을 수립, 시행하도록 함으로써 콘트롤타워로서의 실질적인 역할을 하도록 하고 있다. 비밀정보기관에 국가 사이버보안의 콘트롤타워를 맡기는 나라는 없다. 이는 마치 미국의 국가안보국(NSA)이나 중앙정보국(CIA)이 미국 사이버보안 콘트롤타워 역할을 하는 것이나 다름없다.
또한, 법률안은 국정원이 공공기관 및 민간업체의 정보통신망에 침해 사고 조사를 명분으로 접근할 수 있도록 하고 있다. 침해사고 조사는 일종의 수사와 유사한 과정으로 볼 수 있는데, 국정원이 이를 통해 공공기관과 민간업체의 민감한 정보에 접근하여 이들을 감시, 사찰할 우려가 있다. 지난 '사이버테러방지법'에 대한 비판을 의식했는지, 이번 법률안에는 포털 등이 명시적으로 포함되어 있지는 않지만, 국가사이버안보위원회가 의결을 통해 법률의 규율 대상이 되는 '책임기관'을 지정할 수 있도록 하고 있어, 포털이나 언론 등으로 그 대상이 확대될 가능성이 존재한다.
국가정보원은 공공기관들의 사이버 보안에 대한 실태 평가도 할 수 있는데, 시행령이 어떻게 제정되느냐에 따라 법원, 국회, 헌법재판소, 선관위 등의 사이버 보안 관련 정보와 시설에 접근할 수 있다. 비밀정보기관인 국가정보원이 국회, 법원 등의 사이버 보안을 관할하는 것은 헌법기관의 독립성을 침해할 우려가 있다.
지금까지 국내 정치 개입, 민간인 사찰 등으로 물의를 빚어왔음에도 불구하고, 여전히 국회나 법원의 통제를 받지 않는 국정원이 사이버 보안을 명분으로 포털이나 주요 대기업, 언론사, 국회 등의 정보통신망에 접근하여 민감한 정보를 취득할 수 있다면 국정원의 정치 공작이 더욱 심각해질 것임은 불 보듯 뻔한 일이다.
국정원은 사이버 보안에서 손을 떼라!
이미 국정원은 '국가사이버안전관리규정'에 근거하여, 국가 및 공공기관망 에 대한 관리 권한과 함께, '국가사이버안전센터'를 통해 '민관군 사이버위협 합동대응팀'을 이끌고 있다. 또한, 정보 보호 시스템에 대한 인증, 암호 인증 등의 업무를 수행하면서, 국내 보안 업계에도 막강한 영향력을 행사하고 있다.
그러나 사이버 보안(Cyber Security)을 국가 안보(National Security)와 혼동해서는 안 된다. 물론 북한의 사이버 공격이 있을 수도 있고, 중대한 사이버 공격은 국가안보에 위협이 될 수도 있다. 그러나 모든 사이버 공격이 북한이나 국가안보에 관련된 것은 아니다. 호기심이 많은 해커에서부터 인터넷 상의 크고 작은 사기꾼이나 범죄자들까지, 혹은 해외의 정보기관이나 심지어 국정원까지 누구나 사이버 공격자가 될 수 있다. 지난 2015년, 국정원도 RCS라는 해킹 프로그램을 사용하고 악성 코드를 유포해왔음이 드러나지 않았나. 사이버보안은 예방, 탐지, 복구, 대응 등 여러 단계로 이루어져 있는데, 누가 공격자이든 정보통신망을 운영하는 기관은 자신에게 필요한 보안 조치를 취해야 한다. 조사 결과 범죄와 관련되어 있다면 경찰이나 검찰이 수사하면 된다.
국정원에 국가 사이버보안에 대한 콘트롤타워를 맡기는 것은 오프라인으로 비유하자면 국정원이 민간의 자치적인 방범부터 경찰과 검찰까지 통솔하는 것이나 다름없다. 이는 국정원의 기본 직무 범위를 한참 벗어난 것이다. 다시 말하지만, 어떤 나라가 비밀정보기관에 사이버보안에 대한 콘트롤타워를 맡기고 있는가! 국가적 콘트롤타워가 필요하다면 국회의 감독을 받을 수 있는 일반 행정기관이 담당해야 한다.
이제 국가사이버안보기본법에 대한 반대라는 네거티브적 접근에서 벗어나서, 국정원으로부터 사이버보안 업무를 분리하도록 요구해야 한다. 국정원의 개혁과 국정원에 대한 입법적, 사법적 감독의 강화와 함께 가야 하는 것은 물론이다.
시민정치시평은 참여연대 부설 참여사회연구소와 <프레시안>이 공동 기획·연재합니다.
전체댓글 0