통신비밀

사이버 공간의 안전을 왜 국정원이 맡아야 하나

By 2017/12/01 No Comments

지난 2016년 초, 국회에서 테러방지법이 날치기 통과한 것을 모두들 기억할 것이다. 당시 정의화 국회의장은 국가비상상태라는 황당한 명분을 들어 테러방지법을 직권상정하였다. 당시 야당 의원들은 192시간에 걸친 필리버스터를 진행했지만, 결국 법안은 국회를 통과하였다. 당시 시민들과 사회단체 활동가들도 찬바람 불던 국회 정문 앞에서 ‘시민 필리버스터’를 함께 진행하였다. 당시 시민들이 느꼈던 분노와 허탈감이 그 해 연말에 들불처럼 타올랐던 촛불시위의 하나의 밑거름이 되었을 것이다.

그런데 당시에 박근혜 정부와 새누리당이 밀어붙였던 또 하나의 법안이 있었으니, 바로 사이버테러방지법이다. 정의화 국회의장도 이것까지 직권 상정하는 것은 부담스러웠던 모양이다. 결국 사이버테러방지법은 19대 국회에서는 임기만료로 폐기되었다.

사이버테러방지법에 대한 국정원의 열망은 어제 오늘의 일은 아니었다. <국가사이버위기관리법안>, <국가 사이버테러 방지 등에 관한 법률안> 등 이름만 바뀌었을 뿐 지난 18대, 19대 국회에서 계속 발의되었던 바 있다. 19대 국회 만료로 사이버테러방지법이 폐기된 이후, 2016년 9월 1일 국정원은 다시 <국가사이버안보기본법>을 입법예고하였고, 이 법은 올 해 1월 3일 <국가사이버안보법안>이라는 이름으로 20대 국회에 발의되었다.

 

국정원은 이미 사이버 보안의 총괄책임자

그런데, 국정원은 왜 사이버테러방지법(혹은 국가사이버안보법)에 집착할까?  그 전에 알아야 할 것이 있다. 국정원은 이미 국가 사이버보안과 관련한 막강한 권한을 가지고 있다는 것이다.

국정원은 국가사이버안전과 관련한 정책 및 관리를 총괄·조정하는 권한을 가지고 있다. 이에 따라 국가사이버안전기본계획을 수립·시행하고, 국가사이버안전전략회의의 의장을 맡고 있으며, 실무총괄 단위로 ‘국가사이버안전센터’를 운영하고 있다.(국가사이버안전관리규정 5조,6조,8조) 2015년 4월 이후, ‘국가 사이버 안보 태세 강화 종합대책’에 따라 청와대 국가안보실장이 사이버 보안의 컨트롤타워를 맡는다고는 하지만, 실질적인 컨트롤타워로서의 역할은 국정원이 하는 것으로 보인다.

이 뿐만이 아니다. 국정원은 매년 공공기관 중에 대상을 선정하여 정보보안 관리실태를 평가한다. 공공기관이 도입하는 정보시스템이나 암호모듈은 국정원의 검증을 거쳐야 한다. 공공기관의 보안관제센터의 설치·운영에 관한 사항도 국정원이 담당하며, 국정원이 직접 위탁을 받을 수도 있다. (보안관제란 인터넷 트래픽을 모니터링하고, 사이버 공격이나 바이러스 등을 탐지하고, 분석하고, 대응하는 활동을 말한다.) 전기, 도로 등 공공분야의 주요 기반시설의 사이버 보안도 국정원이 책임지고 있다. 다시 말해, 공공영역의 정보통신시설의 사이버 보안은 국정원이 담당한다고 보면 된다.

그런데 이와 같이 광범한 국정원의 사이버 보안 권한의 법적 근거가 있는가? 그나마 공공분야 주요정보통신기반시설의 사이버 보안 책임은 정보통신기반보호법에 따른 것이지만, 사이버보안 총괄·조정 역할은 국가사이버안전관리규정에 근거한 것인데, 이는 법이 아니라 대통령 훈령일 뿐이다. 국정원은 바로 사이버테러방지법(혹은 국가사이버안보법)을 통해 자신의 사이버 보안 권한에 대한 법적 근거를 마련하려고 하는 것이다.

그러나 목적이 이것 뿐 만은 아니다. 국정원은 좀 더 욕심을 냈다. 바로 자신의 권한을 공공기관에서 민간영역의 정보통신망으로 확대하고자 한다. 국가사이버안보법은 법의 적용 대상을 국회·법원·헌법재판소·중앙선거관리위원회 뿐만 아니라, 민간의 주요정보통신기반시설, 국가핵심기술을 보유하고 있는 기관, 방위산업체 등도 포함하고 있다. 예를 들어, 통신업체나 삼성 같은 대기업도 포함이 될 것이다. 또한, 국가사이버안보위원회의 의결로 그 적용대상을 확대할 수 있기 때문에 포털과 언론사 역시 언제든 포함될 수 있다. 민간 정보통신망에 대한 국정원의 사찰과 감시가 우려되는 이유다.

 

국정원이 왜 사이버 보안을?

국가사이버안보법은 이름만 바꾼 사이버테러방지법이고, 절대 국회를 통과해서는 안된다. 나아가 우리는 현재 국정원이 맡고 있는 사이버 보안 권한에 대해서도 이제 의문을 제기할 필요가 있다. 왜 국정원이 사이버 보안을 책임지고 있는가? 국정원이 사이버 보안을 책임지는 것이 맞는 것인가?

혹자는 사이버 공간이 점점 더 국가안보적 측면에서 중요해지고 있고, 민간과 공공의 정보통신망이 사실상 연결되어 있기 때문에 국정원이 사이버 보안을 책임져야 한다고 주장한다. 그러나 오히려 그렇기 때문에 국정원은 사이버 보안에서 손을 떼는 것이 맞다.

국가사이버안보법은 ‘사이버안보’를 “사이버공격으로부터 사이버공간을 보호함으로써 사이버공간의 기능을 정상적으로 유지하거나 정보의 안전성을 유지하여 국가의 안전을 보장하고 국민의 이익을 보호하는 것을 말한다”고 정의하고 있다. 사이버 공격으로부터 사이버 공간을 보호하는 것이 사이버 보안인데, 국정원은 ‘보안’을 슬쩍 ‘안보’로 바꾸어 놓았다. 뭔가 국가안보와 관련된 역할에 한정되는 것 같은 뉘앙스다. 그러나 모든 사이버 보안(Cyber Security)이 국가안보(National Security)와 연결되는 것은 아니다.

내 스마트폰의 보안도 사이버 보안이요, 우리 회사 서버의 보안도 사이버 보안이다. 그리고 사이버 보안은 북한의 사이버 공격만을 방어하는 것이 아니라, 모든 형태의 공격이나 위험으로부터 정보와 시스템을 보호해야 한다. 해커가 장난으로 한 것이든, 범죄집단이 금전적 이익을 목적으로 한 것이든, 북한이 한 것이든 시스템을 유지 관리하는 입장에서는 모든 형태의 공격이나 위험요소를 감시하고, 대응할 필요가 있다. 민간업체의 사이버 보안은 당연히 해당 업체가 책임질 일이다. 공공기관의 일상적인 사이버 보안 역시 해당 공공망을 책임지고 있는 기관이 담당해야 할 일이다. 나아가 공공기관의 사이버 보안 정책의 수립과 감독도 굳이 정보기관인 국정원의 역할일 필요는 없다.

북한이 사이버 공격을 할 수 있으니 국정원이 관여해야 한다고? 사이버 공간에서 공격자의 신원을 정확하게 파악하는 것은 쉽지 않다. 종종 언론을 장식하는 북한의 사이버 공격이라는 것도 사실 추정일 뿐이다. 어떤 기업이나 공공기관이 사이버 공격을 받고, 이에 대한 수사가 필요하다면 이는 수사기관이 담당해야할 일이다.

물론 국가 간에 사이버 공간을 둘러싼 군사적 긴장이 발생하기도 한다. ‘사이버 전쟁’을 어떻게 규정할 것인지 그 경계가 여전히 명확한 것은 아니지만, 사이버 전쟁이 발생하지 않도록 외교적 노력을 기울여야 할 것은 외교부이고, 군사적 의미에서 사이버 전쟁을 담당하는 것은 군이지 국정원이 아니다.

일상적인 사이버 보안 대책을 마련하는 것도, 사이버 보안 침해에 대한 수사도, 사이버 전쟁에 대한 대비도, 사이버 보안을 위한 전반적인 전략을 마련하는 것도 정보기관의 역할은 아니다. 국정원은 사이버 공간에서도 국정원의 역할을 하면 된다. 즉, 대통령이 공약한 바와 같이 해외안보정보원이 된다면, 북한을 포함하여 다른 나라의 사이버 역량에 대한 정보를 수집·분석하는 역할을 담당하면 된다. 공공기관의 전반적인 사이버 보안을 담당할 시간과 노력을 이런 역할을 잘 하는데 활용해야하지 않을까?

 

국정원은 오히려 사이버 보안을 저해한다

국정원이 사이버 보안 역할을 맡는 것은 정보기관으로서 자신의 직무를 벗어난 것일 뿐 아니라, 오히려 개인, 사회, 국가 모든 수준에서 사이버 보안을 저해할 것이다.

개인이나 기업 입장에서는 국정원을 포함한 정부 역시 자신의 사이버 보안을 위협하는 요소 중의 하나이다. 특히, 권위주의 정부일수록 더욱 그렇다. 전 세계 인권활동가들은 정부의 사이버 감시로부터 자신을 보호하기 위한 사이버 보안 방법에 대해 정보를 나누고 있다. 국정원도 RCS라는 해킹 프로그램을 몰래 사용해왔음이 드러난 바 있다. 국정원 개혁발전위원회는 RCS가 사찰 용도로는 이용되지 않았다고 결론을 내렸지만, 비밀정보기관이 또 다른 시민 감시 시스템을 사용하지 않았을 것이라는, 혹은 앞으로 사용하지 않을 것이라는 보장은 없다.

사이버 보안 정책 역시 공공정책의 하나로서 투명하고 책임성있게 수립되고 운용되어야 한다. 그런데 비밀정보기관이 사이버 보안 정책을 맡는다면, 과연 투명하고 책임성있게 운영이 될까? 사이버 보안 정책뿐만이 아니라, 국정원은 조직, 인력, 예산, 사업 등 모든 측면에서 투명하게 운영되지 않아왔다. 실제로 사이버 보안 관련해서 국정원이 수행하고 있는 정책 자료, 사업 내용, 예산 등을 파악할 수가 없다. 설사 지금보다 국정원에 대한 국회의 감독이 강화되더라도, 정보기관의 특성상 일반 정부부처에 비해 비밀성이 강하게 작용할 수밖에 없다. 이에 따라 사이버 보안 영역에서도 국정원의 권한 남용을 우려할 수 밖에 없고, 사이버 보안 정책에 대한 합리적인 토론이 가능하지 않기 때문에 오히려 국내 사이버 보안에 부정적인 영향을 초래하게 된다.

또한, 국정원이 사이버 보안을 맡을 경우 관련 이해관계자의 협력이 어렵게 된다. 미국, 유럽, 일본 등 세계 주요 국가들은 사이버 보안 정책의 수립과 집행 과정에서 다양한 이해관계자의 참여와 민간의 자율성을 강조하고 있다. 왜냐하면, 인터넷의 운영이나 기술 개발이 주로 민간 영역에서 이루어지고 있기 때문이다. 과연 민간 업체의 직원들이 국정원 직원과 동등하게 협력할 수 있을까? 여타 공공기관의 공무원들에게도 눈치를 보는 상황에서 말이다.

무엇보다 국정원에 의한 감시와 사찰, 인권 침해를 우려하지 않을 수 없다. 사이버 보안 업무의 경우 보안관제나 침해사고 분석 등의 과정에서 기업비밀이나 이용자 개인정보 등이 유출되거나 악용될 위험성이 크기 때문이다. 은밀한 감시와 사찰이 가능한 사이버 공간의 특성 상 국정원이 보안 업무를 담당하게 된다면, 권한 남용에 대한 우려가 더 커질 수 밖에 없다.

세계 주요 국가들은 사이버 보안 전략을 수립하면서 기본권의 보장, 인터넷의 개방과 혁신, 민주적인 거버넌스를 핵심적인 가치로 내세우고 있다. 밀행성과 은밀성이라는 정보기관의 특성은 이러한 핵심적인 가치와 충돌할 수밖에 없다. 세계 어느 나라에서도 비밀정보기관이 사이버 보안의 실질적인 컨트롤타워 역할을 맡고 있는 나라는 없다.

 

국정원 개혁, 사이버 보안 권한의 이양 포함해야

문재인 대통령과 더불어 민주당은 국정원을 해외안보정보원으로 개혁하겠다고 약속했다. 또한, “국정원 주도가 아닌 독자적 사이버 보안전략 컨트롤 타워 설치 및 사이버 보안 역량 강화를 위한 국가적 종합대책 수립”이라는 내용도 공약집에 포함되었다.

그러나 정확하게 사이버 보안과 관련한 국정원의 권한을 어떻게 할 것인지에 대해서는 얘기한 바가 없다. 아직까지 이 문제에는 별다른 관심 자체가 없어보이기도 한다.

하지만 사이버 보안 관련 업무는 국정원 내에서 그 비중이 점점 더 커지고 있다. 그만큼 국정원이 이 권한을 내놓기 싫어할 것이고, 이번 개혁 과정에서 저항이 클 것이라는 얘기다. 여전히 국정원이 사이버 보안 권한을 가져간다면, 사이버테러방지법이든, 국가사이버안보법이든, 어떤 이름으로라도 국정원은 자신의 권한을 법제화하고 민간으로 확대하기 위해 노력할 것이며, 사이버 공간에 대한 국정원의 감시와 사찰을 둘러싼 논란은 향후에도 계속될 것이다.

문재인 정부가 국정원을 개혁하는 이번 기회에 사이버 보안과 관련된 국정원의 권한도 확실하게 정리하기를 바란다. 국정원은 사이버 공간에서도 ‘해외안보정보원’으로서의 역할만 제대로 하면 된다. 일반적인 사이버 보안 권한은 행정자치부 등 일반 정부부처로 이관해야 한다. 국정원 산하의 국가사이버안전센터의 기능도 물론 이관되어야 할 것이다.

이러한 국정원의 권한이 법도 아닌 대통령 훈령(국가사이버안전관리규정)에 의해 이루어지고 있으니, 국회에서 논란이 될 필요도 없다. 정부가 의지가 있다면 국정원법 등 다른 법률의 개정이 없더라도 국가사이버안전관리규정을 개정할 수 있다는 것이다. 그 이후에 국정원의 국가사이버안보법이 아니라, 국내 사이버 보안 관련 법제를 제대로 정비하기 위한 ‘사이버보안기본법’을 발의한다면, 얼마든지 찬성해 줄 의향이 있다.