2021년 11월 4일, 국가정보원 출신의 여당 정보위원회 간사인 더불어민주당 김병기 의원은 ‘국가사이버안보법안’(이하 김병기안)을 대표발의 하였다. 이 법안은 국가 사이버보안에 있어서 국정원의 권한을 상세히 규정하면서, 컨트롤타워로서의 위상을 확고하게 하고 있다. 그러나 사이버보안 권한은 해외정보기관으로서 국정원이 담당해야 할 역할이 아님에도, 이 법안은 국정원에게 민간의 정보통신망까지 관할하고 조사할 수 있는 권한을 부여하고 있다. 더불어민주당과 문재인 정부는 대한민국을 국정원 공화국으로 만들 셈인가. 우리는 김병기안에 반대하며 이 법안의 철회 뿐만 아니라, 국정원의 사이버보안 권한을 이양하는 방향으로 국정원법을 개정할 것을 촉구한다.
이 법안의 문제점은 아래와 같다.
첫째, 사이버보안은 해외정보기관으로서 국정원의 역할이 아니다. 김병기안은 그동안 국정원의 사이버보안 권한의 법적 근거를 마련하기 위해 수차례 발의되었다가 사회적 반발에 부딪혀 좌초되었던 사이버테러방지법과 내용적으로 크게 다르지 않다. 다만, 국정원은 지난 해 말 국정원법 개정을 통해 ‘(공공) 기관 대상 사이버공격 및 위협에 대한 예방 및 대응’을 국정원의 직무로 법적 근거를 가지게 된 바, 이번 법안을 통해 권한을 더욱 구체적으로 확립하고자 하는 것이다.
그러나 이미 국정원법 개정 당시 지적된 바와 같이, ‘(공공) 기관 대상 사이버공격 및 위협에 대한 예방 및 대응’ 즉, 사이버보안 업무는 해외정보기관이 담당해야 할 업무가 아니다. 오히려 밀행성을 속성으로 하는 정보기관이 이 업무를 담당할 경우, 민간 이해관계자와의 협력이 어려워져 오히려 국가 사이버안보에 부정적인 영향을 미칠 수 있다. 또한, 사이버보안 역시 감사원이나 국회를 통한 감독이 필요한 행정적인 업무인데, 국정원이 담당할 경우 효과적인 감독에 한계가 있을 수밖에 없다.
둘째, 김병기안은 국정원이 국가 사이버안보 업무를 총괄하도록 하고 있는데, 이 역시 국정원의 역할인지 의문이다. 지난 2017년에 국정원이 발의한 ‘국가사이버안보법안’은 그나마 형식적으로는 국가안보실장이 위원장을 맡는 대통령 소속 국가사이버안보위원회가 최고 거버넌스 역할을 하도록 하였다. 그런데 김병기안은 아예 국가정보원장이 위원장이 되는 사이버안보위원회를 국정원 내에 설치하도록 하고 있다. 국가 사이버보안 전략은 기술적인 보안 대책의 수립 뿐만 아니라 사이버범죄에 대한 수사, 국제 협력, 사이버 국방전략, 민간 이해관계자와의 협력 등을 포함한다는 점에서 , 해외정보기관인 국정원이 컨트롤타워 역할을 담당하는 것은 매우 부적절하다.
셋째, 더 큰 문제는 국정원이 민간의 정보통신망과 기기에도 자신의 영향력을 행사하고자 한다는 점이다. 김병기안은 ‘사이버안보 위협행위'(제2조 제4호)에 국가핵심기술 등 산업기술을 전자적으로 부정하게 취득하는 사이버공격행위를 포함하고 있으며, 제8조 책임기관에도 정보통신기반시설, 국가핵심기술 보유기관, 방위산업체, 집적정보통신시설사업자, 전자금융기반시설 운영사업자 등 대다수 민간기업을 이 법의 관할 대상에 포함하고 있으며, 시행령을 통해 그 범위를 확대할 수 있도록 하고 있다. 이는 2017년 국정원안에 비해서도 그 관할범위가 확대된 것이다. 또한, 국정원의 사이버보안 권한 자체가 문제가 있다는 점을 차치하고라도, 국정원법에서는 그 대상 기관을 공공기관으로 한정하고 있는 것에 비해 국가사이버안보법안은 국정원 직무 범위를 넘어 민간으로 확대하고 있는 것이다. 이는 국가정보원에 주요 민간업체에 대한 감시와 통제 권한을 부여하는 것에 다름아니다.
넷째, 수사권 이양이 시작되기도 전에, 김병기안은 국정원이 민간의 정보통신망과 컴퓨터까지 광범하게 조사할 수 있는 권한을 부여하고 있다. 이 법에서 정의하고 있는 ‘국내디지털정보보관자’는 국내 기관ㆍ법인ㆍ단체 뿐만 아니라 개인도 포함하며, ‘사이버안보위협디지털정보’는 사이버안보 위협행위에 관련된 디지털 정보를 의미하는 것으로 사실상 모든 사이버보안 사고에 관련된 것을 포함할 수밖에 없다. 전자정부법 상 전자문서의 보안침해 행위를 모두 포함할 뿐만 아니라, 국제 및 국가배후 해킹조직 등에 의한 침해행위인지는 결국 조사를 해봐야 알 수 있는 것이기 때문이다.
정보통신망 침해행위는 어차피 위법 행위이며 따라서 수사기관이 법원의 영장을 받아 적법한 절차를 거쳐 수사를 하면 된다. 굳이 김병기안과 같이 국정원에 조사권한을 부여할 필요가 있는지 의문이다. 이는 국정원이 내국인에 대한 사찰을 하지 못하도록 한 국정원법 개정의 취지가 무색하게, 해외정보기관으로 자리매김한 국정원에 여전히 내국인의 정보통신망과 컴퓨터를, 당사자도 모르게 들여다볼 수 있는 권한을 부여하는 것이기 때문이다. 사이버안보를 명분으로 들이대지만, 다시한번 강조하건대, 이는 굳이 국정원이 담당하지 않아도 무방한, 오히려 국정원이 아닌 다른 기관(예를 들어, 수사기관, 혹은 각 기관의 보안담당자)이 담당해야할 역할이다.
이 법안이 통과된다면, 문재인 정부의 국정원 개혁은 단지 한계가 있었다는 평가를 넘어 오히려 후퇴하였다는 평가를 피할 수 없을 것이다. 여전히 문제의 출발은 국정원법을 잘못 개정한 것에 있다. 국정원의 사이버보안 권한을 폐기하고 과학기술정보통신부 등 일반 행정기관이 담당하도록 이관해야 한다. 사이버안보를 위한 국가 차원의 협력은 국정원이 아니라 관련 부처를 포괄할 수 있는 거버넌스 기구를 통해 해결해야 한다.
- 김병기 의원은 국가사이버안보법안을 철회하라.
- 국회는 국정원법 개정을 통해 국정원의 사이버보안 권한을 이양하라
2021년 11월 21일
국정원감시네트워크(민들레_국가폭력피해자와 함께하는 사람들, 민주사회를 위한 변호사모임, 민주주의법학연구회, 진보네트워크센터, 참여연대, 천주교인권위원회, 투명사회를 위한 정보공개센터, 한국진보연대), 경실련